Написал заметку по результатам состоявшейся 28.05.2018
встречи сообщества специалистов АСУ ТП, кибербезопасности и просто
неравнодушных к теме Industrial Cybersecurity. Встреча прошла в
ставшем уже привычным формате и состоялась в рамках Kaspersky Lab CoLaboratory.
Отдельное спасибо Антону Шипулину как идейному вдохновителю мероприятия.
Презентации и видео докладов и дискуссий по их итогам
доступны: презентации докладов, записи докладов. Не буду пересказывать доклады 🙂,
сформулирую наиболее зацепившие мое сознание моменты:
Первый доклад "Positive Hack Days 8: Critical Infrastructure
Attack: City: Итоги противостояния в промышленном городе Ильи Карпова и
Евгения Дружинина, оба из "Positive Technology", стал прекрасным
отражением эволюционирования самого заметного мероприятия в области
практической безопасности, организуемого на территории РФ - PhDays.
Эксперты, на мой взгляд, честно рассказали, как
компания постепенно набирала экспертизу не только и не столько в организации
классного мероприятия, выставочной части, организации конкурсов, сколько в
самой теме автоматизированных систем управления: АСУ ТП, РСУ, АСДУ, АСДТУ, РЗА
и т.д., ну и, конечно, в киберзащищенности подобных систем.
Особенно интересным мне показались комментарии по
трансформации понимания "модели нарушителя, представленного на PhDays".
По итогам доклада я своим вопросом продолжил тему
"формирования модели нарушителя" на основе опыта проведения турниров
подобных The StandOff, релевантности полученных
результатов "реальному миру". Зал активно поддержал и совместно мы
пришли к выводу, что ряд предположений о МН, которые стали формироваться в умах
некоторых представителей сообщества, ошибочны.
Ранее много говорилось и писалось о сравнительно
низком уровне нарушителей, их потенциале, методах атак, которые они
используют в рамках конкурсов, организуемых на PhDays, что постепенно стало
формировать ложный тренд. Непосредственные участники-ветераны
"Противостояния" сошлись во мнении, что по мере увеличения главного
ресурса конкурса-времени методы и инструменты, используемые в рамках конкурсов,
становились сложнее, а состав команд становился более профессиональным. Команды
начали включать в свой состав экспертов АСУ ТП, специалистов по компьютерным
сетям и т.д., что сразу начинает сказываться на результате, который удается
достичь.
Это первый практический вывод, который можно вынести,
как из выступления, так и из конкурса в целом.
Второй вывод заключается в сформулированном авторами
доклада мнении. Чем более в рамках конкурса развиты системы мониторинга,
situational awareness тем более эффективны действия "команд
защитников".
Во втором докладe "Знакомство с методом
Security PHA Review: Знакомство с методом определения требований
кибербезопасности промышленного объекта на основе использования существующего
анализа опасных факторов
производства (PHA) методом HAZOP" Антон Шипулин ("Лаборатория
Касперского") представил пример практического подхода по форматированию
требований кибербезопасности, моделированию угроз на основе результатов
исследований, проведенных методом HAZOP и д.р., который является отражением
обсуждаемой в последние годы и выраженной в стандарте IEC 61508 Ed.2 темы
взаимосвязи Safety и CyberSecurity. Как мне показало, доклад" зашел"
в аудиторию хорошо. Тема была поддержана Дмитрием Даренским (Positive
Technology). Участники обсудили важную роль, которую играют профессиональные
сообщества в развитии методов анализа всевозможных угроз: промышленной и
информационной безопасности. Обсудили результаты, достигнутые в рабочих группах
РНК СИГРЭ Информация о деятельности групп РНК СИГРЭ.
По итогам доклада и дискуссии можно сделать следующие
вывод. Количество исследований, посвященных взаимосвязи Safety и CyberSecurity
постепенно растет. Начинают появляться комплексные инженерные методики
моделирования киберугроз и safety. О наличии такой потребности в своих докладах
я говорил не раз: Материалы выступлений, Материалы выступлений, Материалы выступлений.
Третий доклад был мой. Тема: «Модели представления managed detection and response (MDR) в АСУ ТП».
В докладе в основном старался говорить о том:
1.По какой
модели должен быть построен внешний SOC
2. Почему MDR
для ICS SOC - это важно
3. Какие
элементы автоматизированных систем необходимо "мониторить"
4. По
каким критериям их выбирать
5. Какое
ПО, СЗИ могут быть внедрены и служить источниками информации.
Немного в диалоге с аудиторией затронули тему "респонса". На
примере объекта -ПС электросетевой компании представил возможные структуры situational
awareness. В качестве вывода отмечу, что внедрение практик мониторинга,
детекта, реагирования на инциденты даже в формате «базовой архитектуры»
поднимет уровень защищенности индустриальных систем. Ограничиваться только
техникой нельзя. Необходимо заниматься выстраиванием процессов на каждом из
этапов взаимодействия. Необходимо развивать экспертизу, т.к. SOC – это люди, процессы, технологии, люди, люди. Продолжение
следует.
Апофеоз
вечера – четвертый доклад моего товарища, эксперта в области
проектирования и применения криптографических методов защиты информации в АСУ
ТП - Парьева Сергея.
1. Сергей
прочитал целую лекцию про принципы построения доверенных платформ автоматизированных
систем, TPM, "root of trust".
2. Рассказал
про сценарии безопасности, которые можно реализовать в программно технических
комплексах АСУ ТП, трендах развития мировых лидеров-вендоров АСУ и АСУ ТП.
3. Сделал
анализ развития нормативно-методических документов некоторых стран, в которых
представлены требования по применению криптографических методов защиты.
Вывод:
криптография в АСУ ТП – это не только теория, но и практика. Осознанная
необходимость реализации безопасности в АСУ. Замечу, что параллельно активно
развивается нормативно-техническое регулирование на уровне ведущих
международных организаций: IEC (МЭК), IEEE. Посмотрите, не пожалеете: презентации докладов, записи выступлений.
Комментариев нет:
Отправить комментарий