ICS+SIEM+NTA

Безопасный мониторинг
Безопасности
Дмитрий
Даренский • Образование: автоматизация технологических процессов и менеджмент пром. предприятий
• 15 лет опыта строительства технологических сетей и систем связи
руководитель практики
• 10 лет опыта создания систем АСУ ТП, ТМ, АСТУЭ, АСКУЭ, СДТУ
промышленной
кибербезопасности • 9 лет опыта создания комплексных систем безопасности в промышленности

ddarensky@ptsecurity.com
ICS security monitoring workflow

Generating security Secure data Data

Security data Data
export from presentation
data in ICS sources aggregation normalization
ICS and analysis

PTSECURITY.COM
Generating security data in ICS sources
Библиотека
"LSyslog"

Библиотека
предоставляет собой
функциональный блок
(FB), который выполняет
следующие функции:

• Устанавливает UDP-
соединение с Syslog
сервером с помощью
открытых
коммуникационных
блоков;

PTSECURITY.COM
• Встраивает тревоги
пользователя с
отметкой времени в
syslog cообщение;
• Отправляет syslog
сообщения.
Security data aggregation

for Wonderware/AVEVA Sentinel System Monitor

PTSECURITY.COM

Security data aggregation
Emerson DeltaV Event Chronical
Система DeltaV может быть настроена
на предоставление информации
журналов в SIEM или другой
инструмент мониторинга событий,
использующий один из перечисленных
интерфейсов - OPC A & E, Syslog или
WMI.
Сбором всех логов, начиная от
событий тех. процесса и заканчивая
событиями безопасности, в том числе
из журналов Windows, занимается
утилита DeltaV system Event Chronicle.
Логи собираются локально на каждой
машине и есть возможность хранить их
централизовано.
PTSECURITY.COM
DeltaV system Event Chronicle умеет
различными способами в
автоматическом режиме
экспортировать логи в файл как
целиком так и по изменению (есть
гибкая система фильтрации, можно
добавить задачу в планировщик
винды).
 Secure data export from ICS
Example: data transmission via unidirectional gateway (data diode)
Проблематика: агенту SIEM или любой другой слушалке необходимо принимать syslog из АСУ
сегмента сети через датадиод. Проблем в том, что исходная ОС ничего не знает о доступности IP
адреса SIEM и отказывается отправлять какой либо трафик через датадиод т.к. не проходит ARP
Запрос.
Решение: Использовать строго UDP отправку и прописать статичный arp в таблицу.
1) Предположим, что enp8s0 - Это порт SIEM агента который находится в сети 192.168.10.0 и имеет IP 192.168.10.150 и
MAC ff:fe:aa:13:bc:be
То есть для успешного функционирования схемы нам нужно точно знать его.
2) Назначаем второму интерфейсу незанятый адрес из сети SIEM 192.168.10.17
Если на этом этапе пытаться отправить какой либо трафик на 192.168.10.150 - он не дойдет, т.к. машина ничего не знает о хостах за
дата диодом.

PTSECURITY.COM
3) Прописываем статический arp маршрут через выходной порт SYSLOG до с IP и мак адресом SIEM агента.
arp -i enp4s0 -s 192.168.10.150 FF:FE:AA:13:BC:BE
4) arp слетает при перезагрузке, поэтому создаем скрипт /etc/network/if-up.d/add-static-arp и добавляем в него
#!/bin/sh
arp -i enp4s0 -s 192.168.10.150 FF:FE:AA:13:BC:BE
5) Делаем скрипт исполняемым
chmod +x /etc/network/if-up.d/add-static-arp
 Secure data export from ICS
Industrial Network Traffic Analysis

Engineer Operator
workstation workstation Historian SCADA Manufactoring
server DMZ
server network
Network DataDiode/ PT ISIM
Security admin
switches Packet View Network
Win Evet Log workstation
SPAN/Traffic
Broker Aggregated
Traffic
Sensor switch
Win Evet Log HTTPS/ SSH
SPAN/Traffic
Win Evet Log

Logs

Technical
Expert Positive Technologies
Security Remote
support Knowledge base
Center
connects
PLC

PTSECURITY.COM
ICS Updates servers
network
HMI Actuators Sensors, I ndicators Drives
Data normalization

Corp. area

OT network SOC/CSC

PT PLATFORM RS INDUSTRIAL
PT ISIM
traffic
Operator workstations, copy netView Incid ents
Engineer workstations ,
SCADA servers,
Sensor MP SIEM LE
Historian, OPC,
Network equipment, snmp traps netflow
Security equipment, event logs database data
Backup s ervers
PLC/RTU/Safety, Scan Scan
Network equipment, Task Reports
Security equipment
Verdicts
Scan, Poling, Probbing Requests

PTSECURITY.COM
MaxPatrol 8
Scan, Poling, Probbing Res pond

PT Multiscanner
traffic copy
 Data representation and analysis

PT ISIM (Industrial NTA) PT MaxPatrol SIEM

PTSECURITY.COM
ICS Security Monitoring
Positive Technologies design
PT IPC
Incident Cases Event & Data Sources PT ICS

Corp. center
Использование USB-устройств на MES ERP MP SIEM

Network
Microsoft System Monitoring MaxPatrol SIEM
АРМах АСУ ТП

Corp.

SOC
PT SANDBOX
MaxPatrol VM
Эксплуатация уязвимостей ассетов ПЛК/RTU/IED, SCADA/Historian
MaxPatrol SIEM
АСУ ТП Network traffic, Microsoft System Monitoring MP VM
PT ISIM
MaxPatrol SIEM
Изменение технико-экономических ПЛК/RTU/IED, SCADA/Historian
PT ISIM
показателей и мошенничество Predictive Analysis Systems Historian OPC MPX AGENT
PT SB

SENSORS
DMZ
MaxPatrol SIEM
Неавторизованное изменение ПЛК/RTU/IED, SCADA/Historian, PT ISIM
PT ISIM
проектов SCADA и ПЛК Network traffic, Microsoft System Monitoring
PT MultiScanner
Engineer Operator
Неавторизованное изменение workstation workstation Historian SCADA

Sub-n Bus
ПЛК/RTU/IED, SCADA/Historian, Network traffic MaxPatrol SIEM
конфигураций и настроек SCADA и

Substation site
Microsoft System Monitoring, Network equipment firmware PT ISIM
ПЛК

Network equipment
MaxPatrol SIEM
ВПО в сети АСУ ТП Network traffic, Anti-Malware Systems PT ISIM

PTSECURITY.COM
PT SB Network equipment

Process
MaxPatrol VM

Bus
НСД к системам управления и СКУД, Machine Vision Systems, Network traffic, HMI Meters SAFETY PLC
MaxPatrol SIEM
технологической информации Microsoft System Monitoring, Network equipment firmware
PT ISIM

MaxPatrol SIEM Transformers Reclosers

Аномалии сетевого и прикладного SCADA/Historian, Predictive Analysis Systems
PT ISIM
уровня Network traffic, Microsoft System Monitoring

Field
PT SB

Нарушения регламента эксплуатации

СКУД, MachineVision, Field Workforce Management MaxPatrol SIEM
технологических установок и ПТБ
PTSECURITY.COM
POSITIVE TECHNOLOGIES:
КИБЕРБЕЗОПАСНОСТЬ
ВАШЕЙ ОРГАНИЗАЦИИ

Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности.
Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-
риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построенына
многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.

Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов
в России — 80% участников рейтинга «Эксперт-400». Следите за нами в соцсетях (Facebook, ВКонтакте,
Twitter), а также в разделе «Новости» на сайте ptsecurity.com. PTSECURITY.COM