Check Point
Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů Petr Frýdl, ICZ a. s. 2014
DOKUMENT | Check Point
www.i.cz
1
Nový proaktivní systém ochrany informací ► Jaká data firmám nejčastěji unikají? ● Personální informace ● Obchodní kontrakty ● Road-Mapy = marketingové plány ● ● ● ●
Obchodní plány Cenové plány a strategie Ceníky určené pro partikulární skupiny adresátů Dokumenty z oddělení výzkumu a vývoje
DOKUMENT | Check Point
www.i.cz
2
Nový proaktivní systém ochrany informací ► Jak unikají firemní data? ● Nedbalost/omyl zaměstnanců – přes 80% • Především e-maily • Cloudové služby pro ukládání/posílání souborů ● Úmyslné jednání s využitím • Veřejných e-mailových služeb • Veřejných úložišť – úschovna, drop-box,… • Počítačových periférií – USB, tablety, smart-phones • Anonymizérů – Anonymouse, HideMyAss,.. ● Malware – útoky z Internetu (externí sítě)
DOKUMENT | Check Point
www.i.cz
3
Nový proaktivní systém ochrany informací ► DLP ● Tradiční reaktivní způsob ochrany firemních informací ● Relativně náročná implemenace • Definice inspekčních bodů – kde? Jak? • Definice a vymezení sledovaných datových struktur • Procesní příprava - schvalovací strom, zastupitelnost, … • Tvorba nových firemních vzorů dokumentů a workflow – šablony formulářů s vodoznaky,… ● Zajištění souladu s legislativou ● Neustále živý systém – nikdy není hotovo ● TCO není cena SW a počáteční implementace!!!
DOKUMENT | Check Point
www.i.cz
4
Nový proaktivní systém ochrany informací ► Check Point Secure Mobile Documents ● Nový Proaktivní systém ochrany informací • Kdekoliv • kdykoliv ● ● ● ●
Vznikl na základě požadavků klientů = ze života Snadná a rychlá implementace Nízké TCO Dynamicky reaguje na změny ve struktuře firmy
● Permanentní nebo časové licence ● Platí jen ten, kdo vytváří dokumenty – ne čtenář ● Cloud nebo tzv. „on-premise“ ● PoC zdarma DOKUMENT | Check Point
www.i.cz
5
Nový proaktivní systém ochrany informací ► Secure Mobile Documents ● Jak systém funguje? • Kryptuje dokumenty pomocí kombinace AES a RSA • Centrální server spravuje klíče a db uživatelů • Multidomain systém = 1 administrátor pro více oddělených komunit uživatelů • Aktuálně pro – MS Office – Adobe Acrobat
DOKUMENT | Check Point
www.i.cz
6
Nový proaktivní systém ochrany informací ► Secure Mobile Documents ● Jak si vyzkoušet za 30 minut? • Založení účtu na documentsecurity.checkpoint.com – 5 minut • Vytvoření účtu/skupiny pro příjemce dokumentu – 5 minut • Download SW klienta na pc – 10 minut • Otevření, zakryptování a odeslání dokumentu – 10 minut
DOKUMENT | Check Point
www.i.cz
7
Ochrana SCADA/ICS systémů ► Slovník ● SCADA - Supervisory Control And Data Acquisition ● ICS - Industrial Control Systems ● Wikipedie - "dispečerské řízení a sběr dat". • software, který z centrálního pracoviště monitoruje průmyslová a jiná technická zařízení a procesy a umožňují jejich ovládání
● Příklad: • Průmyslové procesy – rafinerie,.. • Sledování spotřeby v zařízeních jako průmyslové závody, městské aglomerace, lodě apod.
DOKUMENT | Check Point
www.i.cz
8
Ochrana SCADA/ICS systémů ► Schématický popis fungování ● Centrální řídící systém • Monitoruje, spravuje a řídí ● Periferní zařízení • Čidla, ovládané stroje a přístroje ● Komunikační protokoly • OPC UA, IEC 60870-6 (ICCP), MMS, Modbus, DNP3, IEC-60870-5-104, BACNet, Profinet ● Komunikační trasy • Lokální – většinou serial bus • Dálkové – Internet, GSM,…
DOKUMENT | Check Point
www.i.cz
9
Ochrana SCADA/ICS systémů ► Kde je problém a bezpečnostní riziko? ● Postupem času část trasy vede přes TCP/IP sítě • Jednodušší implementace rozsáhlých celků • Využití stávající počítačové infrastruktury • Nižší náklady ● Centrální řídící systém většinou definuje jen role uživatelů v rámci tohoto systému ● Často protokoly přenáší v paketech „clear“ informace ● Chybí autentizace a kryptování přenosů ze vzdálených lokalit
DOKUMENT | Check Point
www.i.cz
10
Ochrana SCADA/ICS systémů ► Jak tuto oblast řeší Check Point? ● Využívá standardních funkcí v systému = nevyžaduje další investice • Firewall - Povoluje a řídí kdo, kam a protokol
• IPS - Ochrana před napadením pomocí SW kódu • Application Control – kdo může poslat příkaz write? • VPN – zabezpečení vzdálené komunikace periferií – IPsec a SSL protokoly – autentizace, kryptování – bezpečný tunel • SmartLog, SmartEvent, SmartTracker a Reporter – Monitoring – Reporting + Alerting DOKUMENT | Check Point
www.i.cz
11
Ochrana SCADA/ICS systémů
DOKUMENT | Check Point
www.i.cz
12
Ochrana SCADA/ICS systémů
DOKUMENT | Check Point
www.i.cz
13
Ochrana SCADA/ICS systémů
DOKUMENT | Check Point
www.i.cz
14
Ochrana SCADA/ICS systémů
DOKUMENT | Check Point
www.i.cz
15
Děkuji za pozornost Petr Frýdl Petr
[email protected] +420 724 429 548 ICZ a.s. Infrastruktura - Security www.i.cz
DOKUMENT | Check Point
www.i.cz
16
