Мы продолжаем обзор докладов конференции GIS DAYS. Профессиональная секция PRO2 была посвящена мониторингу критической информационной инфраструктуры (КИИ), а также способам обнаружения аномалий в сетях автоматизированных систем управления технологическими процессами (АСУ ТП). Коллеги представили 11 докладов, их ревью в нашем материале.
Ведущий инженер группы интегрированных систем операционного контроля компании «Газинформсервис» Евгений Гришин рассказал о подходах к применению SOC для АСУ ТП в топливно-энергетическом комплексе.
Спикер считает, что SOC в АСУ ТП значительно отличается от обычного SOC. Главное, что влияет на подходы к его построению – это очень высокая цена ошибок при проектировании. По мнению спикера, SOC для АСУ ТП не достаточно просто собирать и анализировать события информационной безопасности, важно отслеживать информационную инфраструктуру, так как технологические площадки являются основным средством производства. Поэтому при создании системы информационной безопасности для таких объектов важно понимание принципов взаимодействия технологических единиц между собой. Учитывая все указанные факторы, спикер советует ориентироваться на решения четвертого уровня зрелости для подобных систем. Подробнее об этом на слайде.
Следующее, что рекомендует докладчик для построения таких систем –применение универсальной шины передачи данных. Это решение должно упростить работу с полученной информацией и ее анализ. Специалисты компании «Газинформсервис» имеют большой опыт построения SOC АСУ ТП разных уровней зрелости. Подробнее об этом в докладе – здесь.
Руководитель отдела развития интеллектуальных систем компании Naumen Никита Кардашин представил подход к реализации зонтичного мониторинга. По мнению спикера, зонтичный мониторинг — это концепция, которая предусматривает объединение информации из всех мониторинговых систем и всех систем управления ИТ, используемых в организации, в едином центре. Центр позволяет собирать разнородные метрики и события, привязывать их к ресурсно-сервисной модели и к системе управления ИТ-активами, чтобы однозначно идентифицировать каждое событие, происходящее в любой части инфраструктуры с конкретным учетным объектом и информационной системой. Применение зонтичного мониторинга, по мнению докладчика, позволит оценить влияние на бизнес-процессы любого события или явления, происходящего в ИТ-инфраструктуре, связать его с определенными рисками и принять решение, с каким приоритетом реагировать на него.
Подробнее о том, как можно реализовать технологию зонтичного мониторинга, при помощи разработок компании Naumen – здесь.
Менеджер отдела развития продуктов компании «ИнфоТеКС» Алексей Власенко рассказал о решениях компании, обеспечивающих безопасность АСУ ТП, и отметил, что в их организации принято выделять 3 основных подхода к обеспечению информационной безопасности в промышленных системах:
– использование наложенных средств защиты информации;
– использование встраиваемых средств защиты информации;
– комбинированная защита (наложенные и встраиваемые средства).
Для реализации первого подхода в компании разработали линейку промышленных шлюзов безопасности, при помощи которых можно осуществлять различные сценарии защиты информации, например, удаленное подключение для обслуживания или защиты полевых шин. Также шлюзы поддерживают резервирование каналов связи с помощью беспроводных модулей передачи данных, обеспечивая защиту каналов связи и сетевое экранирование.
Для реализации второго подхода, коллеги создали решение, включающее в себя сразу несколько продуктов, интегрирующихся в автоматизированные системы управления и в системы межмашинного взаимодействия для осуществления криптографической защиты информации.
Подробнее о возможной схеме построения АСУ ТП, с использованием продуктов компании «ИнфоТеКС», в полном докладе – здесь.
Руководитель группы управления продуктами компании «Газинформсервис» Сергей Никитин рассказал о надежном отечественном решении – комплексе Efros Config Inspector, которое поможет сделать процесс обеспечения информационной безопасности проще. Комплекс умеет: обнаруживать «лишние» правила межсетевых экранов, контролировать корректность политик фильтрации трафика, анализировать взаимодействие зон сети, собирать и обрабатывать статистики Netflow/IPFIX, создавать дашборды для оценки безопасности бизнес-единиц, вести защищенную базу конфигураций и не только.
Важно отметить, что Efros Config Inspector выполняет требования Приказов №17, 21, 31, 239 ФСТЭК. Практика его использования доказывает, что без применения сложных алгоритмов машинного обучения можно эффективно защищать объекты КИИ.
Доклад спикера – здесь.
Технический менеджер компании «АЛТЭКС-СОФТ» Дмитрий Черняков представил возможности применения сканера безопасности в современной инфраструктуре защиты информационных систем.
Разработка компании является средством для анализа защищенности и управления информационной безопасностью, обеспечивающим поиск и предотвращение уязвимостей, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критичных обновлений или нарушением принятых политик безопасности.
Спикер считает, что сканирование АСУ ТП в объектах КИИ нужно начинать с аудита среды функционирования, продолжить анализом трафика и сканированием платформ и протоколов (АСУ ТП, SCADA). О том, как этот алгоритм реализуется с помощью продукта компании, можно узнать в докладе – здесь.
Директор по развитию продуктов для защиты АСУ ТП компании InfoWatch ARMA Игорь Душа представил доклад об эшелонированной защите объектов КИИ и соответствующих возможностях системы InfoWatch ARMA.
По мнению Игоря, специалисты по защите информации в промышленных сетях сегодня решают одновременно два блока задач: внедрение средств защиты промышленных систем и поиск таких средств, которые бы соответствовали современным требованиям законодательства.
Игорь отмечает, что у компании InfoWatch ARMA есть целая линейка решений, которые позволяют объединить все механизмы в единую систему, собрать логи, сгенерировать инцидент и выстроить процесс управления информационной безопасности на предприятии, выполнив рекомендации ФСТЭК, несмотря на все сложности работы с АСУ ТП.
Подробнее о компании и ее продуктах можно узнать, ознакомившись с докладом – здесь.
Заместитель генерального директора по научно-технической работе ООО «УЦСБ» Николай Домуховский рассказал о технологиях мониторинга ИБ промышленных систем.
По мнению Николая, несмотря на то, что все хорошо знакомы с классическим циклом PDСA (цикл качества Деминга: plan, do, check, act), все еще остается существенный разрыв между последовательностью, прописанной на бумаге, и реальными процессами, происходящими в системе. Для оптимизации и улучшения работы требуется обратная связь, которую может предоставить система мониторинга информационной безопасности.
С технической точки зрения уже сегодня можно выстроить такую систему мониторинга. Она представлена на слайде ниже:
Процесс создания и внедрения таких систем подробнее представлен в докладе спикера – здесь.
Ведущий консультант по информационной безопасности компании R-Vision Марат Рахимов выступил с докладом: «Реагирование на инциденты КИИ». По словам спикера, на базе двух платформ компании R-Vision заказчик может полностью выстроить процесс категорирования объектов КИИ и реагирования на инциденты.
Хотите узнать подробнее о решениях R-Vision? Доклад – здесь.
Следующим свой доклад представил консультант по безопасности компании Check Point Software Technologies Антон Березовский. Антон рассказал об обнаружении аномалий в сетях АСУ ТП с использованием методов машинного обучения. Докладчик посоветовал всем, кто работает с объектами КИИ, придерживаться рекомендаций, приведенных на слайде ниже.
Разработки компании Check Point позволяют осуществлять контроль трафика и рабочих станций, проводить анализ событий безопасности, производить специализированную защиту от угроз.
Подробнее о том, как работают эти решения, представлено в докладе – по ссылке.
Директор по маркетингу технологий компании «Акронис Инфозащита» Андрей Крючков поделился с участниками GIS DAYS интересной информацией: уничтожение петабайта данных требует 0.0001 Дж, тогда как уничтожение одного здания требует более 1,000,000,000 Дж.
Раз уж данные так легко потерять, Андрей предлагает выстраивать защиту информации сразу по пяти направлениям: сохранность (копирование данных), доступность (возможность получения данных при необходимости), приватность (контроль доступа, защита от утечек), аутентичность (соответствие оригиналу, подлинность), безопасность (защита от зловредных действий). Для выполнения этих требований в арсенале компании есть 2 продукта, включенных в реестр отечественного программного обеспечения. Также в компании разработаны решения для облачных сервис-провайдеров и технология, использующая искусственный интеллект для обеспечения защиты данных.
Подробнее о них в докладе спикера – здесь.
Руководитель направления услуги и сервисы SOC Андрей Прошин и менеджер по развитию бизнеса кибербезопасности АСУ ТП Виталий Сиянов из компании «Ростелеком-Солар» рассказали о мониторинге информационной безопасности АСУ ТП.
Они выделяют 3 подхода к организации мониторинга АСУ ТП:
— реализовывать все процедуры мониторинга силами специалистов компании;
— доверить обслуживание всей инфраструктуры сторонней компании;
— выбрать гибридную модель (инфраструктура и средства защиты находятся у заказчика, а привлеченная компания обслуживает средства защиты и анализирует инциденты в своем SOC).
Коллеги рекомендуют работать в рамках гибридного метода и готовы предоставить свои решения для реализации такого подхода.
Подробнее в докладе – здесь.
В ближайшее время мы опубликуем обзор заключительной сессии PRO3 конференции GIS DAYS 2020. Следите за новостями компании «Газинформсервис» и не забывайте подписываться на наш YouTube канал.
Ведущий инженер группы интегрированных систем операционного контроля компании «Газинформсервис» Евгений Гришин рассказал о подходах к применению SOC для АСУ ТП в топливно-энергетическом комплексе.
Спикер считает, что SOC в АСУ ТП значительно отличается от обычного SOC. Главное, что влияет на подходы к его построению – это очень высокая цена ошибок при проектировании. По мнению спикера, SOC для АСУ ТП не достаточно просто собирать и анализировать события информационной безопасности, важно отслеживать информационную инфраструктуру, так как технологические площадки являются основным средством производства. Поэтому при создании системы информационной безопасности для таких объектов важно понимание принципов взаимодействия технологических единиц между собой. Учитывая все указанные факторы, спикер советует ориентироваться на решения четвертого уровня зрелости для подобных систем. Подробнее об этом на слайде.
Следующее, что рекомендует докладчик для построения таких систем –применение универсальной шины передачи данных. Это решение должно упростить работу с полученной информацией и ее анализ. Специалисты компании «Газинформсервис» имеют большой опыт построения SOC АСУ ТП разных уровней зрелости. Подробнее об этом в докладе – здесь.
Руководитель отдела развития интеллектуальных систем компании Naumen Никита Кардашин представил подход к реализации зонтичного мониторинга. По мнению спикера, зонтичный мониторинг — это концепция, которая предусматривает объединение информации из всех мониторинговых систем и всех систем управления ИТ, используемых в организации, в едином центре. Центр позволяет собирать разнородные метрики и события, привязывать их к ресурсно-сервисной модели и к системе управления ИТ-активами, чтобы однозначно идентифицировать каждое событие, происходящее в любой части инфраструктуры с конкретным учетным объектом и информационной системой. Применение зонтичного мониторинга, по мнению докладчика, позволит оценить влияние на бизнес-процессы любого события или явления, происходящего в ИТ-инфраструктуре, связать его с определенными рисками и принять решение, с каким приоритетом реагировать на него.
Подробнее о том, как можно реализовать технологию зонтичного мониторинга, при помощи разработок компании Naumen – здесь.
Менеджер отдела развития продуктов компании «ИнфоТеКС» Алексей Власенко рассказал о решениях компании, обеспечивающих безопасность АСУ ТП, и отметил, что в их организации принято выделять 3 основных подхода к обеспечению информационной безопасности в промышленных системах:
– использование наложенных средств защиты информации;
– использование встраиваемых средств защиты информации;
– комбинированная защита (наложенные и встраиваемые средства).
Для реализации первого подхода в компании разработали линейку промышленных шлюзов безопасности, при помощи которых можно осуществлять различные сценарии защиты информации, например, удаленное подключение для обслуживания или защиты полевых шин. Также шлюзы поддерживают резервирование каналов связи с помощью беспроводных модулей передачи данных, обеспечивая защиту каналов связи и сетевое экранирование.
Для реализации второго подхода, коллеги создали решение, включающее в себя сразу несколько продуктов, интегрирующихся в автоматизированные системы управления и в системы межмашинного взаимодействия для осуществления криптографической защиты информации.
Подробнее о возможной схеме построения АСУ ТП, с использованием продуктов компании «ИнфоТеКС», в полном докладе – здесь.
Руководитель группы управления продуктами компании «Газинформсервис» Сергей Никитин рассказал о надежном отечественном решении – комплексе Efros Config Inspector, которое поможет сделать процесс обеспечения информационной безопасности проще. Комплекс умеет: обнаруживать «лишние» правила межсетевых экранов, контролировать корректность политик фильтрации трафика, анализировать взаимодействие зон сети, собирать и обрабатывать статистики Netflow/IPFIX, создавать дашборды для оценки безопасности бизнес-единиц, вести защищенную базу конфигураций и не только.
Важно отметить, что Efros Config Inspector выполняет требования Приказов №17, 21, 31, 239 ФСТЭК. Практика его использования доказывает, что без применения сложных алгоритмов машинного обучения можно эффективно защищать объекты КИИ.
Доклад спикера – здесь.
Технический менеджер компании «АЛТЭКС-СОФТ» Дмитрий Черняков представил возможности применения сканера безопасности в современной инфраструктуре защиты информационных систем.
Разработка компании является средством для анализа защищенности и управления информационной безопасностью, обеспечивающим поиск и предотвращение уязвимостей, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критичных обновлений или нарушением принятых политик безопасности.
Спикер считает, что сканирование АСУ ТП в объектах КИИ нужно начинать с аудита среды функционирования, продолжить анализом трафика и сканированием платформ и протоколов (АСУ ТП, SCADA). О том, как этот алгоритм реализуется с помощью продукта компании, можно узнать в докладе – здесь.
Директор по развитию продуктов для защиты АСУ ТП компании InfoWatch ARMA Игорь Душа представил доклад об эшелонированной защите объектов КИИ и соответствующих возможностях системы InfoWatch ARMA.
По мнению Игоря, специалисты по защите информации в промышленных сетях сегодня решают одновременно два блока задач: внедрение средств защиты промышленных систем и поиск таких средств, которые бы соответствовали современным требованиям законодательства.
Игорь отмечает, что у компании InfoWatch ARMA есть целая линейка решений, которые позволяют объединить все механизмы в единую систему, собрать логи, сгенерировать инцидент и выстроить процесс управления информационной безопасности на предприятии, выполнив рекомендации ФСТЭК, несмотря на все сложности работы с АСУ ТП.
Подробнее о компании и ее продуктах можно узнать, ознакомившись с докладом – здесь.
Заместитель генерального директора по научно-технической работе ООО «УЦСБ» Николай Домуховский рассказал о технологиях мониторинга ИБ промышленных систем.
По мнению Николая, несмотря на то, что все хорошо знакомы с классическим циклом PDСA (цикл качества Деминга: plan, do, check, act), все еще остается существенный разрыв между последовательностью, прописанной на бумаге, и реальными процессами, происходящими в системе. Для оптимизации и улучшения работы требуется обратная связь, которую может предоставить система мониторинга информационной безопасности.
С технической точки зрения уже сегодня можно выстроить такую систему мониторинга. Она представлена на слайде ниже:
Процесс создания и внедрения таких систем подробнее представлен в докладе спикера – здесь.
Ведущий консультант по информационной безопасности компании R-Vision Марат Рахимов выступил с докладом: «Реагирование на инциденты КИИ». По словам спикера, на базе двух платформ компании R-Vision заказчик может полностью выстроить процесс категорирования объектов КИИ и реагирования на инциденты.
Хотите узнать подробнее о решениях R-Vision? Доклад – здесь.
Следующим свой доклад представил консультант по безопасности компании Check Point Software Technologies Антон Березовский. Антон рассказал об обнаружении аномалий в сетях АСУ ТП с использованием методов машинного обучения. Докладчик посоветовал всем, кто работает с объектами КИИ, придерживаться рекомендаций, приведенных на слайде ниже.
Разработки компании Check Point позволяют осуществлять контроль трафика и рабочих станций, проводить анализ событий безопасности, производить специализированную защиту от угроз.
Подробнее о том, как работают эти решения, представлено в докладе – по ссылке.
Директор по маркетингу технологий компании «Акронис Инфозащита» Андрей Крючков поделился с участниками GIS DAYS интересной информацией: уничтожение петабайта данных требует 0.0001 Дж, тогда как уничтожение одного здания требует более 1,000,000,000 Дж.
Раз уж данные так легко потерять, Андрей предлагает выстраивать защиту информации сразу по пяти направлениям: сохранность (копирование данных), доступность (возможность получения данных при необходимости), приватность (контроль доступа, защита от утечек), аутентичность (соответствие оригиналу, подлинность), безопасность (защита от зловредных действий). Для выполнения этих требований в арсенале компании есть 2 продукта, включенных в реестр отечественного программного обеспечения. Также в компании разработаны решения для облачных сервис-провайдеров и технология, использующая искусственный интеллект для обеспечения защиты данных.
Подробнее о них в докладе спикера – здесь.
Руководитель направления услуги и сервисы SOC Андрей Прошин и менеджер по развитию бизнеса кибербезопасности АСУ ТП Виталий Сиянов из компании «Ростелеком-Солар» рассказали о мониторинге информационной безопасности АСУ ТП.
Они выделяют 3 подхода к организации мониторинга АСУ ТП:
— реализовывать все процедуры мониторинга силами специалистов компании;
— доверить обслуживание всей инфраструктуры сторонней компании;
— выбрать гибридную модель (инфраструктура и средства защиты находятся у заказчика, а привлеченная компания обслуживает средства защиты и анализирует инциденты в своем SOC).
Коллеги рекомендуют работать в рамках гибридного метода и готовы предоставить свои решения для реализации такого подхода.
Подробнее в докладе – здесь.
В ближайшее время мы опубликуем обзор заключительной сессии PRO3 конференции GIS DAYS 2020. Следите за новостями компании «Газинформсервис» и не забывайте подписываться на наш YouTube канал.