3 subscribers
17 photos
1 file
21 links
АПАТОР для Ethernet / Cam switch for Ethernet
Download Telegram
Целенаправленные атаки на энергетическую инфраструктуру могут быть довольно эффективны. По моему опыту даже люди, создающие АСУ ТП для объектов КИИ, свято верят что эти системы изолированы от сети Интернет. Это очень серьезная недооценка реальной ситуации.
https://twitter.com/zlonov/status/1352318087203323906?s=20
На проходящем в Москве форуме по информационной безопасности представитель Норильского Никеля в своем докладе сказал о том, что удаленный доступ привилегированных пользователей или локальный доступ подрядчиков к АСУ ТП является одной из наиболее актуальных угроз. Ввиду этого использование etherCUT для контроля удаленных каналов связи и создания в АСУ ТП стационарных точек подключения для персонала подрядчиков является хорошим решением.
https://www.tbforum.ru/2021/program/asu-tp
Проекту etherCUT уже 1 год! Об итогах года и перспективах читайте https://ethercut.ru/news_4/
На прошлой неделе в Москве прошла конференция ИБ АСУ ТП КВО. В докладе представителя АО "Транснефть" в числе мер по реализации мер по ИБ АСУ ТП приводится требование по созданию легитимного механизма защищенного удаленного доступа к АСУ ТП. Это очень важный шаг, который должны продумать и другие субъекты КИИ. На многих объектах КИИ удаленный доступ к АСУ ТП негласно при необходимости используется. Причем в отличии от Транснефти, где речь идет о доступе к АСУ ТП из своей же технологической сети, у других субъектов доступ может осуществляться с использованием сети Интернет. Существование легитимного механизма защищенного удаленного доступа очевидно лучшее решение по сравнению с нелегально подключенным к АРМ инженера сотовым телефоном. И в рамках организации такого легитимного механизма удаленного доступа должен использоваться etherCUT - он обеспечивает формализацию процедуры удаленного доступа и контроль использования канала связи. Вместе со средствами информационной безопасности (МЭ) такое решение создает на
В презентации Ростелеком-Солар приводятся данные о том, что подрядчики вносят до 20% в вероятность успешной атаки на целевой объект. Для информационной безопасности АСУ ТП данный фактор может быть даже острее. И в данном случае необходимо создавать в сетях объектов КИИ и сегментах сетей АСУ ТП жестко контролируемые точки подключения специалистов подрядных организаций. Настройка сетевых правил и ограничений для таких точек + физический контроль (etherCUT) является хорошим решением.
В отчете Лаборатории Касперского по ландшафту угроз АСУ ТП 2020 приводятся данные о том, что удаленные пользователи могут подключиться по RDP к примерно 1.2% рабочих станций и серверов в составе действующих АСУ ТП. На самом деле это очень высокая цифра. И она говорит о двух важных вещах:

1. Удаленный доступ своего персонала или персонала подрядчика к АСУ ТП востребован заказчиками
2. Процедуры доступа не регламентированы и не контролируются

Для тех объектов, на которых заказчик считает необходимым существование процедуры удаленного доступа к АСУ ТП, его надо легитимизировать. Это означает создание регламента удаленного доступа (инструкции) и обеспечение такой возможности с использование специализированных программно-аппаратных (МЭ) и аппаратных (etherCUT) средств.

Использование МЭ и ethetCUT для контроля удаленного доступа с повышенными привилегиями позволяет создать надежную схему создания удаленного канала связи с ограниченным временем активации и контролем его использования.

https://ics-cert.kaspersky.ru/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/
Наш партнер компания ООО "Модульные Системы Торнадо" успешно завершила тест на интеграцию с ПО ИБ АСУ ТП разработки INFOWATCH

https://www.infowatch.ru/company/presscenter/news/realizovana-sovmestimost-arma-s-asu-tp-modulnye-sistemy-tornado
Использование etherCUT для отделения и контролируемого подключения серверов бэкапов АСУ ТП к сети АСУ ТП

https://ethercut.ru/exmpl_backup/
Компания etherCUT проводит разработку модуля etherCUT с функцией управления из АСУ ТП. Ожидаемы срок доступности к заказу модуля etheCUT-BT/DIN-DO - ноябрь 2021 года. Модуль будет включать соединение Ethernet при подаче питания 24В и размыкать соединение при отключении питания. Принцип реализации функции размыкания останется таким же, как и в механическом варианте модуля etherCUT-BT/DIN, что обеспечит высокие характеристики по электромагнитной совместимости. Появление такого модуля позволит на алгоритмическом уровне управлять соединениями Ethernet, при необходимости в цепи управления модулем также могут подключаться ручные переключатели для реализации функции запрета включения.
Наша партнерская компания "Модульные Системы Торнадо" совместно с компанией InfoWatch завтра проводят совместный вебинар

https://www.infowatch.ru/resources/webinar/tipovoy-proekt-zaschischennoy-asu-tp-dlya-tek-po-novoy-metodike-fstek
Алексей Комаров в своем блоге по ИБ сопроводил приказ №239 ФСТЭК по ИБ АСУ ТП подробными вариантами реализации на основе решений российских компаний разработчиков. В раздел по защите информационных систем (ЗИС) в пункты ЗИС.4 и ЗИС.35 включено использование etherCUT.

https://zlonov.com/measures/#xi-защита-информационной-автоматизированной-системы-и-ее-компонентов-зисhttps://zlonov.com/measures/#xi-защита-информационной-автоматизированной-системы-и-ее-компонентов-зис
Самая встребованная модель на сегодня это etherCUT-BT/DIN, она предназначена для монтажа на DIN рейку. Модель etherCUT-BT/SF предназначена для врезки в стол оператора. Модель комплектуется специальной монтажной плитой.
К международному дню защиты информации наши регуляторы утвердили новые стандарты в части защиты сетей.

Интересно отметить, что современные сети передачи данных по своему уровню возможного влияния на технологический процесс и безопасность объектов с точки зрения регулятора уже идентичны электросетям с уровнем напряжения выше 1000В. Такая аналогия может стать актуальной после прочтения первого стандарта в части управления сетью:
ГОСТ Р ИСО/МЭК 27033-2-2021 раздел 8.4: Организационные меры обеспечения безопасности могут включать в себя правильное назначение прав административного персонала, эксплуатационные принципы, такие как принцип «четырех глаз» (для принятия решения требуется одобрение сразу нескольких людей)…..

Принцип «четырех глаз» является прямой аналогией нормам, заложенным в ПУЭ в части порядка обслуживания электроустановок напряжением выше 1000В. Таким образом видится, что на объектах КИИ с АСУ ТП возможно не сразу но со временем порядок работы с сетью в части ее переконфигурирования или модификации должен быть организационно оформляться соответствующими допусками и разрешениями. В настоящее время на многих объектах КИИ такие действия персонала никак не фиксируются и не регламентируются, поскольку для их проведения часто нет необходимости оформления допуска персонала к шкафам АСУ ТП – все работы могут выполняться с локальных АРМ АСУ ТП.

В стандарте ГОСТ Р ИСО/МЭК 27019-2021 раздел 9.1.2 зафиксированы принципы, ранее изложенные в стандарте ПАО ФСК ЕЭС СТО 56947007- 29.240.10.302-2020:
Для защиты сетевого оборудования, обеспечивающего доступ к критическим сетям, необходимо учитывать следующее: Удаление или отключение с помощью программного обеспечения или физического отключения всех служб и портов сетевого оборудования, не требующихся для нормальной эксплуатации (например неиспользуемые порты коммутатора), аварийная эксплуатация или техническое обслуживание, включая как коммуникационные порты, так и физические порты ввода-вывода.

На практике отключение всех портов не всегда удобно. Как правило, для диагностики и обслуживания необходимо иметь в разных локациях оборудования АСУ ТП точки подключение ноутбуков наладочного персонала. Для этих целей необходимо определять стационарные точки такого подключения с обеспечением контроля их активации.

Для удаленного доступа в новых стандартах прямо определяется необходимость регламентации физического доступа:
ГОСТ Р 59383-2021 раздел 4.2: Взаимосвязь между логическим и физическим доступом. В настоящем стандарте основное внимание уделяется управлению логическим доступом. Как правило, управление логическим доступом интегрировано с управлением физическим доступом. Логический доступ к ресурсу в автоматизированной (информационной) системе организации должен поддерживаться защищенной физической инфраструктурой, обеспечивающей эффективный набор мер защиты и ограничений на действия субъектов доступа.

В современных реалиях удаленный доступ к диагностике и настройке АСУ ТП объектов является достаточно актуальным. И этот доступ может организовываться как через корпоративные сети, так и через сети общего пользования. И в том и в другом случае должен решаться вопрос организации логического доступа к сети. Однако вопрос по организации ограничения физического доступа должен затрагивать не только возможность «включится» физически в сеть со стороны злоумышленника, но и вопрос контроля времени активной сессии удаленного управления с последующим физическим размыканием канала удаленного доступа со стороны объекта. Как правило, оценка потребного времени удаленного обслуживания АСУ ТП в течение года может не превышать 50 часов. В этом смысле ручное подключение удаленных каналов связи только на время выполнения работ существенно влияет на поверхность атаки (доступное время активного состояния канала связи с потенциально повышенными привилегиями будет незначительным для того чтобы рассматривать этот метод проникновения как приоритетный).
Коллеги из УЦСБ в статье, посвященной SOC для АСУ ТП, так же как etherCUT поддерживают мнение о необходимости физической сегментации сетей АСУ ТП в случае инцидентов: Позитивным же аспектом более высокой сегментации является, например, возможность оперативной принудительной изоляции отдельных производств от остальной сети в случае выявления атаки.

Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/SOC-for-Industrial-Control-System

Различные аспекты применения физической сегментации ЛВС АСУ ТП будут рассмотрены в нашем докладе на юбилейной конференции ИБ АСУТП КВО 2-3 марта в Москве https://ибкво.рф/
2-3 марта 2022 г. в Москве состоится Десятая юбилейная конференция «Информационная безопасность автоматизированных систем управления технологическими процессами критически важных объектов». Мероприятие традиционно проходит при участии ФСТЭК России, ФСБ России, отраслевых регуляторов, профильных органов власти ряда стран СНГ.

Компания etherCUT выступит во второй день конференции с докладом о возможных сценариях повышения эффективности киберзащиты АСУ ТП. Презентация доклада будет опубликована на сайте компании после завершения конференции.
Live stream started
Пополнение в списке заказчиков - одно из инжиниринговых подразделений корпорации стало клиентом etherCUT.
В текущих условиях повышения стоимости комплектующих стоимость etherCUT остается на уровне января 2022г. Стоимость не изменилась ввиду высокой доли российских комплектующих (более 90% по цене) и значительного увеличения объема производства.