O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

4 сценария мониторинга ИБ изолированных промышленных площадок

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 20 Anúncio

4 сценария мониторинга ИБ изолированных промышленных площадок

Baixar para ler offline

Презентация для SOC Forum 2021 с кратким обзором подходов к мониторингу ИБ изолированных от внешнего мира промышленных площадок

Презентация для SOC Forum 2021 с кратким обзором подходов к мониторингу ИБ изолированных от внешнего мира промышленных площадок

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 4 сценария мониторинга ИБ изолированных промышленных площадок (20)

Anúncio

Mais de Aleksey Lukatskiy (10)

Mais recentes (20)

Anúncio

4 сценария мониторинга ИБ изолированных промышленных площадок

  1. 1. Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com Как мониторить ИБ изолированной от внешнего мира производственной площадки? 4 практичных сценария
  2. 2. Программа ‣ Нюансы мониторинга изолированных от внешнего мира сред ‣ Чем нам помогут злоумышленники? ‣ Выгрузка телеметрии ‣ Локальный мини-SOC ‣ Однонаправленные МСЭ ‣ Подход C-Bridge
  3. 3. 3 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Миф об изолированности
  4. 4. 4 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Желание мониторинга изолированных промышленных площадок
  5. 5. 5 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Получая данные об уязвимостях и событиях
  6. 6. 6 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Чем нам могут помочь злоумышленники? • Отчет ESET с анализом 17 семейств вредоносных программ, попавших в изолированные от внешнего мира сети - USBStealer, Stuxnet, Flame, Gauss, USBFerry, Brutal Kangaroo, PlugX, Ramsay и т.п. • Все используют USB для заражения и слива данных из изолированных сетей
  7. 7. 7 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №1 Выгрузка данных на USB и загрузка их на платформу SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Интеграция в централизованный SOC • Недостатки - Необходима локальная система консолидации событий безопасности для централизованного сбора всех событий ИБ - Снижение оперативности
  8. 8. 8 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Понимает ли SOC-платформа промышленные протоколы?
  9. 9. 9 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №2 Локальный мини-SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Оперативность анализа • Недостатки - Отсутствие централизованного сбора и корреляции всех событий ИБ между площадками и офисными сетями
  10. 10. 10 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор событий безопасности внутри изолированной площадки
  11. 11. 11 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Коммерческие решения по мониторингу угроз Cisco Cyber Vision Claroty PT ISIM
  12. 12. 12 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • Кластер контейнеров Docker под разные задачи системы • Анализ PCAP или данных от Zeek (бывшая Bro) • Визуализация данных с помощью Kibana • Поиск и анализ сетевых сессий • Базируется на open source Malcolm или что-то аналогичное на базе open source https://github.com/Information-Warfare-Center/CSI-SIEM/
  13. 13. 13 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №3 Однонаправленный МСЭ • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками • Недостатки - Фактически нарушается требование изолированности - Отсутствует функция реагирования - Необходимость понимания всех циркулируемых протоколов для их передачи на платформу SOC (или консолидация)
  14. 14. 14 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №4 Подход C-Bridge • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками - Мобильность • Недостатки - Фактически нарушается требование изолированности
  15. 15. 15 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • В дополнение к межсетевому экранированию: • Предотвращение вторжений • Песочница • Генерация несемплированного Netflow и передача в NDR • Мониторинг DNS • Сканер уязвимостей • DLP-функциональность (при необходимости) • Сбор Syslog • Мониторинг промышленных протоколов • Система коммуникации (4G/5G) с защитой канала связи (VPN) Программные компоненты C-Bridge
  16. 16. 16 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
  17. 17. 17 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
  18. 18. 18 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C-Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
  19. 19. 19 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public В качестве резюме Универсального решения не существует • Локальный мониторинг без какой-либо централизации • Передача собранной телеметрии ИБ на флешке • Передача в одном направлении через однонаправленные МСЭ • Использование подхода C- Bridge
  20. 20. alukatsk@cisco.com

×