System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Transkrypt

1 System Zarządzania Procesami Bezpieczeństwa - CRIMSON Warszawa, luty 2017

2 To dopiero początek RODO Dyrektywa NIS eprivacy Swobodny przepływ danych Dostępność stron i aplikacji mobilnych Ochrona własności intelektualnej Zatwierdzone Zatwierdzone Propozycja Propozycja Zatwierdzone Od Od Od Wszyscy Infrastruktura Krytyczna Wszyscy Wszyscy Sektor Publiczny Współpraca przy tworzeniu kodeksów postępowania Współpraca z partnerami Firmami konsultingowymi Firmami prawnymi Twórcami rozwiązań IT 2 Warszawa, listopad 2017

3 Zarządzanie bezpieczeństwem 3 Warszawa, listopad 2017

4 Zabezpieczenie systemów sterowania 4 Warszawa, listopad 2017

5 Podstawowe podejście do bezpieczeństwa 5 Warszawa, listopad 2017

6 Metodyka 6 Warszawa, listopad 2017

7 Obszar kompetencji Atende. 7 Warszawa, listopad 2017

8 Security GAP 8 Warszawa, listopad 2017

9 Zabezpieczenie systemów sterowania 1 2 Dedykowane rozwiązania Nowe podejście Wyjście ze schematu Brak kompleksowości Łatwa integracja Brak monitoringu Gaz Uniwersalne podejście Doświadczenie klienta Dynamiczny rynek 9 Warszawa, listopad 2017

10 Zabezpieczenie systemów IT 10 Warszawa, listopad 2017

11 Podatność systemów IT/OT na włamania 11 Warszawa, listopad 2017

12 Podatność systemów IT/OT na włamania Techniki ataków są adoptowane ze świata IT Podatność systemów OT w każdej warstwie jest większa niż systemów IT. Skutki ataku są potencjalnie bardzo groźne. Dodatkowe zagrożenia Niska świadomość na zagrożenia u personelu Szkolenie operatorów w reakcji na inne zagrożenie niż cybernetyczne. Logistycznie skomplikowany proces aktualizacji w systemach OT. Naturalne dążenie do dostępności systemów sterowania procesów z każdego miejsca i dla każdego uprawnionego Internet rzeczy, chmurny, zdalne centra eksperckie 12 Warszawa, listopad 2017

13 Wektory Ataku Warstwa I Systemy IT Sieci. Systemy operacyjne. Aplikacje Warstwa II Systemy ICS Systemy DCS Systemy SCADA Sterowniki PAC/PLC Systemy bezpieczeństwa SIS, Awaryjne zatrzymanie instalacji ESD Panele sterownicze HMI. Itp.. Warstwa III Urządzenia Obiektowe Zawory regulacyjne Napędy elektryczne Pomiary wielkości fizycznych itp. 13 Warszawa, listopad 2017

14 Zabezpieczenia Zagrożenie pochodzi z IT? Obrona także technikami IT? Fire-Wall Kryptografia / Szyfrowanie VPN Separacja i Segmentacja sieci Skanery i analizatory ruchu (IDS/IPS) Rozwiązania są znane i dostępne na rynku Są znane atakującym. Zostały przynajmniej raz złamane Zabezpieczenia tworzono o specyfikę rynku IT. 14 Warszawa, listopad 2017

15 Organizacja i Nadzór Priorytety dla IT i OT 15 Warszawa, listopad 2017

16 Zabezpieczenie systemów sterowania TECHNOLOGIA SIEĆ I TELEKOMUNIKACJA WIRTUALIZACJA 16 Warszawa, listopad 2017

17 Punkty styku 17 Warszawa, listopad 2017

18 Zabezpieczenie systemów sterowania Sieci innych podmiotów gazowniczych Połączenia z innymi systemami zarządzania Internet CPD Sieć biurowa Sieć CPD Sieć TAN rezerwowa Sieć Technologiczna TAN Sieć TAN podstawowa Dyspozycja Połączenia z siecią biurową i CPD Sieć Dyspozytorska Obiekty gazownicze 18 Warszawa, listopad 2017

19 Zabezpieczenie systemów sterowania 1 Zdefiniuj zdefiniuj luki, określ wymagania Testowanie krytycznych procesów produkcyjnych 2 Wymyśl zrozum wektory zagrożeń, wymyśl mechanizm zabezpieczeń Testowanie rozległych instalacji 3 Zaprojektuj Zaprojektuj nowoczesną architekturę 4 Testuj Przetestuj funkcjonalność, potwierdź założenia 19 Warszawa, listopad 2017

20 Zabezpieczenie systemów sterowania PoC Budowa poprzez Proof of Concepts Doskonalenie poprawa istniejących mechanizmów bezpieczeństwa i wprowadzanie innowacji Korzyści Skalowanie wdrażanie sprawdzonych rozwiązań cybernetycznych Cyber odporność Niezawodność Bezpieczeństwo Procesowe Efektywność operacyjna Implementacja skalowalne koncepcje architektury bezpieczeństwa następnej generacji 20 Warszawa, listopad 2017

21 Opis rozwiązania (2/4) - architektura 21 Warszawa, listopad 2017

22 Kontekst System powstał jako produkt projektu realizowanego dla MON przez konsorcjum: Atende, Atende Software i NASK. Projekt trwał 24 miesiące i był finansowany przez NCBIR Produktem jest prototyp IX stopnia gotowości. System kompletny funkcjonalnie, przetestowany i gotowy do wdrożenia Wymagania zdefiniowane przez MON, pokrywające się w większości z dyrektywą NIS Zespół Atende nabył kompetencje w zakresie rozwiązań związanych z bezpieczeństwem IT 22 Warszawa, listopad 2017

23 Opis rozwiązania (3/4) - funkcjonalności Obsługa cyklu życia elementu infrastruktury: projektowanie, wdrożenie, monitorowanie działania, wycofanie Ewidencja infrastruktury i oprogramowania Monitorowanie infrastruktury pod kątem zgodności z przyjętymi politykami bezpieczeństwa i obecnością podatności; wskazanie oceny ryzyka Import bazy o podatnościach/politykach bezpieczeństwa z systemów zewnętrznych oraz możliwość wprowadzania przez użytkownika 23 Warszawa, listopad 2017

24 Opis rozwiązania (4/4) funkcjonalności cd Obsługa incydentów Alarmy wynikające z działania agenta Integracja z systemami zewnętrznymi przy użyciu protokołu syslog Integracja z systemem n6 Import/eksport z pomiędzy zewnętrznymi zespołami typu CERT Możliwość wprowadzania przez operatora Podział ze względu na priorytet/wagę; obsługa potencjalnie przez różne zespoły Raportowanie Wizualizacja danych na mapie (integracja OpenStreetMaps) 24 Warszawa, listopad 2017

25 Zgodność z uznanymi standardami (1/2) System oparty jest o grupę standardów Security Content Automation Protocol (SCAP) rozwijanych przez NIST (USA) Języki: OVAL (Open Vulnerability and Assessment Language) 5.x standard określający format danych bazujący na XML i służący opisywaniu podatności oraz błędów w oprogramowaniu, testów ich występowania i sposobów zapobiegania, oraz raportowaniu o nich XCCDF (Extensible Configuration Checklist Description Format) 1.2 standard określający sposób wyrażania wymagań co do systemu i raportowania wyników oceny zgodności w języku XML OCIL (Open Checklist Interactive Language) 2.0 standard opisu kwestionariuszy, pozwalających na dostosowanie do polityki bezpieczeństwa IODEF (Incident Object Description and Exchange Format) standard przeznaczony do opisu i wymiany informacji o incydentach pomiędzy zespołami CERT/CSIRT nie wchodzi w skład SCAP, ale uzupełnia go 25 Warszawa, listopad 2017

26 Korzyści Dobrze określony i sprawdzony model danych Możliwość automatycznej wymiany danych o incydentach z zewnętrznymi zespołami CSIRT Możliwość wymiany danych o podatnościach (automatyczny import z zewnętrznych baz podatności) Jednoznaczna identyfikacja podatności i zmiennych konfiguracyjnych (słowniki) Możliwość półautomatycznej weryfikacji podatności spoza obszaru IT, np. bezpieczeństwo fizycznie Agregacja danych z wielu źródeł - raportowanie w jednym miejscu Wykorzystanie powszechnie rozpoznawanej skali ważności dla podatności Możliwość szybkiego rekonfigurowania procesów biznesowych Niski koszt środowiska (wykorzystanie narzędzi opartych o wolne licencje) 26 Warszawa, listopad 2017

27 Dziękuję za uwagę. 27 Warszawa, listopad 2017