More Related Content Similar to 4 сценария мониторинга ИБ изолированных промышленных площадок (20) More from Aleksey Lukatskiy (10) 4 сценария мониторинга ИБ изолированных промышленных площадок2. Программа
‣ Нюансы мониторинга изолированных
от внешнего мира сред
‣ Чем нам помогут злоумышленники?
‣ Выгрузка телеметрии
‣ Локальный мини-SOC
‣ Однонаправленные МСЭ
‣ Подход C-Bridge
3. 3
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public
Миф об изолированности
4. 4
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public
Желание мониторинга изолированных
промышленных площадок
5. 5
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public
Получая данные об уязвимостях и событиях
6. 6
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public
Чем нам могут помочь злоумышленники?
• Отчет ESET с анализом 17 семейств
вредоносных программ, попавших в
изолированные от внешнего мира
сети
- USBStealer, Stuxnet, Flame, Gauss,
USBFerry, Brutal Kangaroo, PlugX, Ramsay
и т.п.
• Все используют USB для заражения и
слива данных из изолированных
сетей
7. 7
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий №1
Выгрузка данных на USB и
загрузка их на платформу SOC
• Преимущества
- Отсутствие необходимости
нарушать изолированность
сети
- Интеграция в
централизованный SOC
• Недостатки
- Необходима локальная
система консолидации
событий безопасности для
централизованного сбора
всех событий ИБ
- Снижение оперативности
8. 8
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Понимает ли SOC-платформа промышленные
протоколы?
9. 9
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий №2
Локальный мини-SOC
• Преимущества
- Отсутствие необходимости
нарушать изолированность
сети
- Оперативность анализа
• Недостатки
- Отсутствие
централизованного сбора и
корреляции всех событий ИБ
между площадками и
офисными сетями
10. 10
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сбор событий безопасности внутри изолированной
площадки
11. 11
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Коммерческие решения по мониторингу угроз
Cisco Cyber Vision
Claroty
PT ISIM
12. 12
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Кластер контейнеров Docker
под разные задачи системы
• Анализ PCAP или данных от
Zeek (бывшая Bro)
• Визуализация данных с
помощью Kibana
• Поиск и анализ сетевых
сессий
• Базируется на open source
Malcolm или что-то аналогичное на базе open source
https://github.com/Information-Warfare-Center/CSI-SIEM/
13. 13
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий №3
Однонаправленный МСЭ
• Преимущества
- Высокий уровень
защищенности
- Оперативность анализа
- Корреляция событий между
площадками
• Недостатки
- Фактически нарушается
требование изолированности
- Отсутствует функция
реагирования
- Необходимость понимания всех
циркулируемых протоколов для
их передачи на платформу SOC
(или консолидация)
14. 14
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий №4
Подход C-Bridge
• Преимущества
- Высокий уровень
защищенности
- Оперативность анализа
- Корреляция событий между
площадками
- Мобильность
• Недостатки
- Фактически нарушается
требование изолированности
15. 15
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• В дополнение к межсетевому экранированию:
• Предотвращение вторжений
• Песочница
• Генерация несемплированного Netflow и передача в NDR
• Мониторинг DNS
• Сканер уязвимостей
• DLP-функциональность (при необходимости)
• Сбор Syslog
• Мониторинг промышленных протоколов
• Система коммуникации (4G/5G) с защитой канала связи (VPN)
Программные компоненты C-Bridge
16. 16
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наполнение C-Bridge
• Стойка может быть высотой до
20 RU
• Сейчас стойка заполнена на 16
RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12 RU
для целей безопасности и
мониторинга
17. 17
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и внешней
«дверцах» C-Bridge
• Закрытые двери не мешают работать
с проводами для их подключения к
сети и питанию
• После подключения внешняя дверца
может быть оставлена открытой для
обеспечения вентиляции
18. 18
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Создание многоуровневой
архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с модулем
Etherswitch, FTD для ISR (UCS-E)
и UCS-E для CSIRT VMs, до
~300Mbps
• Средняя: 3RU = ISR4451 с
модулем коммутации и 2x UCS-E
для CSIRT VMs + ASA5555X-FTD,
до ~600Mbps
• Большое: стандартное решение
на ½ стойки C-Bridge, 1Gbps+
Облегченная версия C-Bridge
ß vs à
19. 19
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
В качестве резюме
Универсального решения не
существует
• Локальный мониторинг без
какой-либо централизации
• Передача собранной
телеметрии ИБ на флешке
• Передача в одном
направлении через
однонаправленные МСЭ
• Использование подхода C-
Bridge