SlideShare a Scribd company logo

4 сценария мониторинга ИБ изолированных промышленных площадок

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация для SOC Forum 2021 с кратким обзором подходов к мониторингу ИБ изолированных от внешнего мира промышленных площадок

Technology
1 of 20
Download to read offline
Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com Как мониторить ИБ изолированной от внешнего мира производственной площадки? 4 практичных сценария
Программа ‣ Нюансы мониторинга изолированных от внешнего мира сред ‣ Чем нам помогут злоумышленники? ‣ Выгрузка телеметрии ‣ Локальный мини-SOC ‣ Однонаправленные МСЭ ‣ Подход C-Bridge
3 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Миф об изолированности
4 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Желание мониторинга изолированных промышленных площадок
5 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Получая данные об уязвимостях и событиях
6 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Чем нам могут помочь злоумышленники? • Отчет ESET с анализом 17 семейств вредоносных программ, попавших в изолированные от внешнего мира сети - USBStealer, Stuxnet, Flame, Gauss, USBFerry, Brutal Kangaroo, PlugX, Ramsay и т.п. • Все используют USB для заражения и слива данных из изолированных сетей
7 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №1 Выгрузка данных на USB и загрузка их на платформу SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Интеграция в централизованный SOC • Недостатки - Необходима локальная система консолидации событий безопасности для централизованного сбора всех событий ИБ - Снижение оперативности
8 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Понимает ли SOC-платформа промышленные протоколы?
9 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №2 Локальный мини-SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Оперативность анализа • Недостатки - Отсутствие централизованного сбора и корреляции всех событий ИБ между площадками и офисными сетями
10 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор событий безопасности внутри изолированной площадки
11 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Коммерческие решения по мониторингу угроз Cisco Cyber Vision Claroty PT ISIM
12 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • Кластер контейнеров Docker под разные задачи системы • Анализ PCAP или данных от Zeek (бывшая Bro) • Визуализация данных с помощью Kibana • Поиск и анализ сетевых сессий • Базируется на open source Malcolm или что-то аналогичное на базе open source https://github.com/Information-Warfare-Center/CSI-SIEM/
13 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №3 Однонаправленный МСЭ • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками • Недостатки - Фактически нарушается требование изолированности - Отсутствует функция реагирования - Необходимость понимания всех циркулируемых протоколов для их передачи на платформу SOC (или консолидация)
14 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №4 Подход C-Bridge • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками - Мобильность • Недостатки - Фактически нарушается требование изолированности
15 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • В дополнение к межсетевому экранированию: • Предотвращение вторжений • Песочница • Генерация несемплированного Netflow и передача в NDR • Мониторинг DNS • Сканер уязвимостей • DLP-функциональность (при необходимости) • Сбор Syslog • Мониторинг промышленных протоколов • Система коммуникации (4G/5G) с защитой канала связи (VPN) Программные компоненты C-Bridge
16 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
17 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
18 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C-Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
19 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public В качестве резюме Универсального решения не существует • Локальный мониторинг без какой-либо централизации • Передача собранной телеметрии ИБ на флешке • Передача в одном направлении через однонаправленные МСЭ • Использование подхода C- Bridge
alukatsk@cisco.com

Recommended

13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 

Recommended

13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
 
Построение технологических сетей связи
Построение технологических сетей связиПостроение технологических сетей связи
Построение технологических сетей связи
Cisco Russia
 

More Related Content

What's hot

Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
 

What's hot (20)

От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
 

Similar to 4 сценария мониторинга ИБ изолированных промышленных площадок

Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
Cisco Russia
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation Firewalls
Cisco Russia
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
ifedorus
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
Cisco Russia
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Компания УЦСБ
 
Архитектура и решения компании Cisco для систем видеонаблюдения
Архитектура и решения компании Cisco для систем видеонаблюденияАрхитектура и решения компании Cisco для систем видеонаблюдения
Архитектура и решения компании Cisco для систем видеонаблюдения
Cisco Russia
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
Cisco Russia
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
Cisco Russia
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
Cisco Russia
 

Similar to 4 сценария мониторинга ИБ изолированных промышленных площадок (20)

Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Построение технологических сетей связи
Построение технологических сетей связиПостроение технологических сетей связи
Построение технологических сетей связи
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation Firewalls
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
 
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
 
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейЭталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
 
Архитектура и решения компании Cisco для систем видеонаблюдения
Архитектура и решения компании Cisco для систем видеонаблюденияАрхитектура и решения компании Cisco для систем видеонаблюдения
Архитектура и решения компании Cisco для систем видеонаблюдения
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?
 
Презентация Cisco IoT System в Москве
Презентация Cisco IoT System в МосквеПрезентация Cisco IoT System в Москве
Презентация Cisco IoT System в Москве
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (10)

Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

4 сценария мониторинга ИБ изолированных промышленных площадок

  • 1. Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com Как мониторить ИБ изолированной от внешнего мира производственной площадки? 4 практичных сценария
  • 2. Программа ‣ Нюансы мониторинга изолированных от внешнего мира сред ‣ Чем нам помогут злоумышленники? ‣ Выгрузка телеметрии ‣ Локальный мини-SOC ‣ Однонаправленные МСЭ ‣ Подход C-Bridge
  • 3. 3 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Миф об изолированности
  • 4. 4 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Желание мониторинга изолированных промышленных площадок
  • 5. 5 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Получая данные об уязвимостях и событиях
  • 6. 6 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Чем нам могут помочь злоумышленники? • Отчет ESET с анализом 17 семейств вредоносных программ, попавших в изолированные от внешнего мира сети - USBStealer, Stuxnet, Flame, Gauss, USBFerry, Brutal Kangaroo, PlugX, Ramsay и т.п. • Все используют USB для заражения и слива данных из изолированных сетей
  • 7. 7 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №1 Выгрузка данных на USB и загрузка их на платформу SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Интеграция в централизованный SOC • Недостатки - Необходима локальная система консолидации событий безопасности для централизованного сбора всех событий ИБ - Снижение оперативности
  • 8. 8 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Понимает ли SOC-платформа промышленные протоколы?
  • 9. 9 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №2 Локальный мини-SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Оперативность анализа • Недостатки - Отсутствие централизованного сбора и корреляции всех событий ИБ между площадками и офисными сетями
  • 10. 10 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор событий безопасности внутри изолированной площадки
  • 11. 11 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Коммерческие решения по мониторингу угроз Cisco Cyber Vision Claroty PT ISIM
  • 12. 12 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • Кластер контейнеров Docker под разные задачи системы • Анализ PCAP или данных от Zeek (бывшая Bro) • Визуализация данных с помощью Kibana • Поиск и анализ сетевых сессий • Базируется на open source Malcolm или что-то аналогичное на базе open source https://github.com/Information-Warfare-Center/CSI-SIEM/
  • 13. 13 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №3 Однонаправленный МСЭ • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками • Недостатки - Фактически нарушается требование изолированности - Отсутствует функция реагирования - Необходимость понимания всех циркулируемых протоколов для их передачи на платформу SOC (или консолидация)
  • 14. 14 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №4 Подход C-Bridge • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками - Мобильность • Недостатки - Фактически нарушается требование изолированности
  • 15. 15 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • В дополнение к межсетевому экранированию: • Предотвращение вторжений • Песочница • Генерация несемплированного Netflow и передача в NDR • Мониторинг DNS • Сканер уязвимостей • DLP-функциональность (при необходимости) • Сбор Syslog • Мониторинг промышленных протоколов • Система коммуникации (4G/5G) с защитой канала связи (VPN) Программные компоненты C-Bridge
  • 16. 16 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
  • 17. 17 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
  • 18. 18 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C-Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
  • 19. 19 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public В качестве резюме Универсального решения не существует • Локальный мониторинг без какой-либо централизации • Передача собранной телеметрии ИБ на флешке • Передача в одном направлении через однонаправленные МСЭ • Использование подхода C- Bridge