понедельник, 28 сентября 2015 г.

Безопасность АСУ ТП на BIS-Summit 2015

С небольшим опозданием хочу поделиться впечатлением от участия в прошедшей 18 сентября в Москве конференции «BUSINESS INFORMATION SECURITY SUMMIT 2015». Считаю мероприятие одним из выдающихся событий российской отрасли информационно безопасности, как по части организации, так и по части интересного содержания, интересных докладчиков, и участников конференции.

Участвуя в конференции, я преследовал цель узнать об изменениях и новостях по теме безопасности АСУ ТП у производителей решений, заказчиков, регуляторов и других участников отрасли. Кратко опишу, что удалось узнать и обсудить по теме.

В своем выступлении «Эволюция роли ИБ в бизнесе широкими мазками», говоря о основных направлениях развития рынка исполнительный директор компании InfoWatch Всеволод Иванов назвал защиту от атак на АСУ ТП одной из точек роста. Некоторые коллеги походу говорили, что названные направления выделяются только потому, что компания предлагает продукты в данных направлениях. Однако я же считаю наоборот, компания видит потребность бизнеса в решении данных проблем и на основании этого занимается созданием и развитием продуктов, отвечающих потребностям рынка.

Собственно, в «зоне технологий» продукт InfoWatch Automated System Advanced Protector (ASAP) был представлен в виде стенда, с демонстрацией работы. Стенд представлял собой модель автоматического склада. С помощью представленного на стенде пульта или удаленно со SCADA системы возможно было управлять перемещениями груза между ячейками стенда с использованием 3-х осевого манипулятора. Демонстрация включала в себя «врезку» злоумышленника в Ethernet сеть (двумя интерфейсами на компьютере злоумышленника, в режиме моста), атаку ARP-spoofing, запуск эксплойта на уязвимость SCADA системы и последующий захват управления складом и вызов нештатной работы системы. Решение (может быть установлено как в разрыв, так и на SPAN порт) обнаруживало данные атаки и уведомляло оператора. Хочется отметить что при такой демонстрации не видна специфика решения для промышленных систем, т.к. подобные атаки способны обнаружить традиционные IDS. Однако коллеги продемонстрировали возможность решения обнаруживать попытки нарушения технологического процесса путем манипуляций параметрами техпроцесса (оператор допустил ошибку, пытаясь положить груз в занятую ячейку).

Кроме того, коллеги рассказали, что ведут работу над программным обеспечением, выполняющим функции «песочницы», для элементов SCADA систем на АРМ операторов и серверов, для предотвращения внешнего воздействия на данные элементы.



В секции для стартапов «StandUp for StartUp», было два коротких выступления по теме безопасности промышленных систем:
  • «Инновации в вопросах построения системы защиты АСУ ТП», Игорь Душа рассказал о продукте InfoWatch Automated System Advanced Protector (ASAP)
  • «Информационная безопасность АСУТП, задачи, проблемы, решения», Евгений Генгринович рассказал о разработке российского программного аппаратного однонаправленного шлюза / «Дата Диода» с поддержкой из коробки большого количества промышленных протоколов. 

Секцию открывал Сергей Ходаков, руководитель направления информационной безопасности, Кластер ИТ, Фонда «Сколково», с которым удалось пообщаться в кулуарах. Сергей рассказал, что на проходящий конкурс «Skolkovo Cybersecurity Challenge» уже подано немало заявок по тематике безопасности промышленных систем. Так что стоит в ближайшее время ждать новостей о новых продуктах. Возможно уже на конференции «Skolkovo CyberDay 2015», которая пройдет 17 декабря, в рамках которой будет круглый стол: «Актуальные проблемы информационной безопасности промышленных систем SCADA и Internet of Things».


Еще одно выступление по теме «Специфика защиты индустриальных сетей от современных кибер угроз» Алексея Лафицкого (Лаборатория Касперского), я к сожалению, пропустил. Но подход коллег из Лаборатории Касперского я неоднократно слышал на различных мероприятиях. Лаборатория Касперского давно уделяет значительно внимание данной теме, и имеет сформированный портфель услуг и продуктов по теме. 

Президент Ассоциации BISA Рустэм Хайретдинов в своем выступлении «Непрерывная активная безопасность как ответ на современные угрозы» обратил внимание что в настоящее время наметилась такая тенденция, что реакция на угрозы безопасности перекладывается с технических средств на человека. А технические средства все больше оставляют за собой функции обнаружения, мониторинга и расследования реализованных угроз. В частности, данный подход замечен и в решениях по безопасности АСУ ТП. Рустем предполагает, что вызвано это нежеланием создателями технических средств безопасности брать на себя ответственность за работу систем, нежеланием прилагать усилия по совершенствованию решений для исключения случаев ложных срабатываний и недопущения помех штатной работе целевых систем. Относительно АСУ ТП хочется сказать, что многие производители решений ИБ стараются подходить к решению проблем активно и ответственно, но встречают возражения со стороны подразделений автоматизации, не доверяющих новым средствам в их среде. В ответ на эти возражения, в качестве компромисса, разработчики средств безопасности вынуждены придерживаться пассивного подхода (network security management, обнаружение аномалий, и т.д.)

Ну и кроме выступлений удалось очень интересно пообщаться по теме в кулуарах со многими специалистами, связанными с безопасностью промышленных систем. В частности, удалось в живую увидеться и обсудить тему с коллегами: Ильей Борисовым (CISO ThyssenKrupp Industrial Solutions) и Петром Павловым (специалист по промышленным информационным системам MARS), с которыми знаком по совместному участию в тематической Faceebook группе «Кибербезопасность АСУ ТП». Особенно хочется отметить у коллег сочетание знаний по технологическим процессам, автоматизации и безопасности IT, что пока редко встретишь в среде специалистов по информационной безопасности АСУ ТП (хотя ситуация меняется в лучшую сторону).


Кстати первая встреча участников группы «Кибербезопасность АСУ ТП» состоялось на прошедшей неделе, отчет об этом событии можно прочитать в блоге Алексея Комарова. Группа является удобной открытой онлайн площадкой для обсуждения темы и может послужить хорошей основой для развития российского сообщества специалистов по безопасности промышленных систем.

Ну вот и все что удалось узнать на конференции, возможно тема поднималась и в других выступлениях, которые я пропустил из-за богатого кулуарного общения. Если было еще что-то по теме, напишите, пожалуйста, в комментариях.

В заключение хотел бы поблагодарить организаторов BIS-Summit и отдельно главного редактора ассоциации BISA Олега Седова за возможность стать частью конференции.


Источник: shipulin.blogspot.com 

Комментариев нет :

Отправить комментарий