От каких киберугроз нужно защищать технологические сети АСУ ТП и для чего нужны наложенные сетевые средства защиты? В чём здесь заключается российская специфика и каковы требования к обеспечению кибербезопасности промышленных сетей? Нужны ли контроллерам и датчикам специальные ИБ-инструменты и поможет ли на производстве SIEM? Как применять IPS-решения и другие активные инструменты в условиях ограничений задаваемых требованиями ко критической инфраструктуре?
- Введение
- Базовые подходы к информационной безопасности в АСУ ТП
- Практика использования инструментов информационной безопасности в промышленности
- Как внедрять проекты по защите сетей АСУ ТП
- Выводы
Введение
Быстрое развитие «классических» корпоративных средств информационной безопасности, нацеленных на защиту офисной инфраструктуры, зачастую оставляет в тени сегмент производственных сетевых систем. Между тем защита сетей АСУ ТП ставит перед специалистами задачи не менее, а иногда более масштабные и сложные, нежели в случае с обычным, «гражданским» сегментом. Как обеспечить безопасность технологических сетей, подходят ли для этой цели обычные средства защиты и каковы преимущества накладных инструментов перед встроенными средствами защиты АСУ ТП, мы обсудили в ходе прямого эфира проекта AM Live с представителями вендоров и интеграторов, работающих в этой сфере.
Участники дискуссии:
- Роман Краснов, руководитель направления информационной безопасности промышленных предприятий компании Positive Technologies.
- Игорь Душа, технический директор компании InfoWatch ARMA.
- Александр Познякевич, менеджер по развитию бизнеса, направление защиты промышленных инфраструктур компании «Лаборатория Касперского».
- Дмитрий Овчинников, главный специалист группы архитектурных решений защиты ИТ-инфраструктуры компании «Газинформсервис».
- Иван Устыленко, руководитель международного направления компании CyberLympha.
Ведущий и модератор прямого эфира: Виталий Сиянов, менеджер по развитию бизнеса кибербезопасности АСУ ТП компании «Ростелеком-Солар».
Базовые подходы к информационной безопасности в АСУ ТП
Поскольку тема защиты технологических сетей обсуждается в ИБ-сообществе не столь часто, как вопросы безопасности корпоративной инфраструктуры, ведущий предложил для начала определиться, чем же различаются эти понятия.
Дмитрий Овчинников:
— В сетях АСУ ТП используются такие элементы, как датчики, исполняемые механизмы и программируемые логические контроллеры. Если в классических корпоративных сетях активно применяются беспроводная связь и протокол Ethernet, то для связи между элементами промышленных сетей существует гораздо более широкий выбор технологий. Помимо Ethernet тут могут использоваться специально разработанные промышленные шины, например Modbus.
Как подчеркнул эксперт, в классических сетях основание экосистемы образуют пользователи, которые подключаются к коммутаторам уровня доступа, а далее идут коммутаторы уровня распределения и ядро сети. В АСУ ТП пользователь находится на самом верху и занимается управлением вверенными ему устройствами. Говоря о безопасности в сетях АСУ ТП, нельзя забывать, что уровни рисков у них гораздо выше, нежели у корпоративных. Инциденты в сетях АСУ ТП могут привести к техногенной катастрофе, в то время как в классических сетях — только к репутационным и финансовым потерям.
В продолжение темы модератор задал вопрос: какие риски и угрозы актуальны для сетей АСУ ТП сегодня?
Александр Познякевич:
— Как следует из отчёта нашего ICS CERT о ландшафте киберугроз в АСУ ТП за первое полугодие 2021 года, во всём мире порядка 32 % промышленных ARM-серверов подвергаются тем или иным атакам. В России этот процент выше — порядка 40 %. Как правило, это достаточно типовые угрозы, связанные с интернетом: запуск сторонних скриптов, перенаправление на вредоносные ресурсы. На втором месте — подключение USB-устройств и связанные с этим атаки троянов, вирусов, программ-шифровальщиков. На третьем — вредоносные почтовые вложения.
Спикер также заметил, что кроме массовых атак за первое полугодие 2021 года зафиксировано более десяти таргетированных кампаний, организованных APT-группировками. Количество направленных атак против промышленного сегмента ежегодно увеличивается: если раньше можно было говорить о нескольких атаках в год, то теперь счёт идёт на десятки. Более того, появились команды, которые специализируются на определённой сфере промышленности.
Игорь Душа:
— Существует миф, что целевые атаки на промышленный сегмент имеют так называемую «государственную» направленность. Однако мы наблюдаем, что значительная часть группировок переходит в экономическую сферу и стремится заработать деньги. Поэтому количество шифровальщиков, целенаправленно доставленных в промышленную инфраструктуру, растёт не только в России, но и за рубежом. Достаточно вспомнить атаку на трубопроводную систему Colonial Pipeline. Нужно отметить, что такие инциденты довольно резко изменяют отношение к информационной безопасности со стороны предприятий.
Чтобы более чётко увидеть ландшафт угроз в промышленной сфере, мы решили обсудить с экспертами AM Live, какие отрасли промышленности в России чаще всего являются объектами целевых атак.
Роман Краснов:
— С точки зрения специалиста по информационной безопасности статистика разделения атак по отраслям не так важна, поскольку даже один инцидент имеет значение. Если просто посчитать статистику, то в промышленности главной целью злоумышленников будет топливно-энергетический комплекс. Наверное, так происходит потому, что у ТЭК — самая большая поверхность атаки, с точки зрения распределённости инфраструктуры, количества объектов и других параметров.
Тем не менее гость студии обратил внимание на то, что не только энергетика интересует киберпреступников: фиксируются атаки на фармацевтику, оборонный и военно-промышленный комплекс и другие предприятия. Информационное поле — очень закрытое, поэтому иногда в этой сфере существуют проблемы не с прямой, а с обратной атрибуцией атак. Не «кто взломал?», а «кого взломали?».
Ещё несколько лет назад классическая информационная безопасность считалась уделом исключительно корпоративного сегмента, в то время как руководители промышленных предприятий часто не видели необходимости инвестиций в эту сферу. Как обстоят дела сейчас и готова ли промышленность вкладываться в ИБ?
Иван Устыленко:
— В России имеется развитое законодательство в сфере ИБ, есть соответствующие федеральные законы. Бизнес, оценивая риски, смотрит не только на возможные потери, но на регуляторные инструменты, которые могут быть к нему применены. Поэтому крупные предприятия занимаются информационной безопасностью, тем более что для владельцев критической инфраструктуры требования достаточно чётко определены государством — практически, написаны готовые инструкции.
По мнению спикера, средний бизнес также движется в сторону большей информационной безопасности. Общая тенденция — положительная: не все ещё осознают необходимость ИБ, но все как минимум стараются соответствовать требованиям.
Практика использования инструментов информационной безопасности в промышленности
Переходя к более подробному рассмотрению вопроса безопасности АСУ ТП, мы попытались понять, существует ли конкуренция между встроенными средствами защиты промышленного оборудования и накладными инструментами. Как отметили гости прямого эфира, производители оборудования для промышленных сетей не спешат встраивать в них собственные средства борьбы с угрозами, однако выпускают довольно подробные рекомендации по обеспечению безопасности. В некоторых случаях такие организационные меры помогут защитить инфраструктуру, однако как универсальное средство их использовать нельзя. Кроме того, инженеры АСУ ТП не всегда в состоянии обеспечить выполнение таких регламентов — у них для этого нет необходимых знаний и опыта.
Большинство зрителей прямого эфира используют на своих предприятиях и встроенные, и дополнительные средства безопасности. Таковы результаты проведённого нами опроса. За гибридную защиту высказались 63 % респондентов, в то время как доля пользователей исключительно встроенных решений составила 19 %. Вообще не защищают инфраструктуру АСУ ТП 18 % опрошенных.
Рисунок 1. Какие средства сетевой безопасности вы используете в технологической сети?
Если говорить только о средствах накладной безопасности, то у кого было бы удобнее их покупать потенциальным заказчикам? Зрители прямого эфира в большинстве своём (40 %) отдают в этом вопросе предпочтение вендорам ИБ. К вендорам АСУ ТП за безопасностью пойдут только 17 % опрошенных, а 24 % выбирают между возможными поставщиками только на основании цены. Затруднились дать ответ на этот вопрос 19 % респондентов.
Рисунок 2. У кого вам было бы удобнее покупать наложенные средства сетевой безопасности?
Продолжая дискуссию, ведущий онлайн-конференции поинтересовался у экспертов: что делать, если промышленная сеть изолирована и на предприятии организован так называемый «воздушный зазор»? Нужны ли средства безопасности для такой инфраструктуры? Спикеры AM Live назвали как минимум три недостатка «воздушного зазора»:
- Часто он существует только на бумаге — инфраструктура меняется, приобретается новое оборудование, прокладываются новые сети.
- «Воздушный зазор» не может защитить от вредоносных действий инсайдеров, непреднамеренных действий сотрудников или внешних подрядчиков.
- Изоляция требует дополнительных затрат на контроль соблюдения принятых мер.
В продолжение дискуссии мы решили обсудить, какие средства защиты используются для обеспечения безопасности инфраструктуры АСУ ТП. Можно ли для этих целей применять обычные «гражданские» инструменты и чем от них отличаются специализированные решения для защиты технологических сетей? Как рассказали гости нашей студии, для защиты производственных сетевых систем применяются системы управления доступом — межсетевые экраны, инструменты IPS / IDS. Для того чтобы обеспечить видимость и доступность инфраструктуры, понимать конфигурацию устройств, применяются системы управления и мониторинга сети. Кроме того, для управления инцидентами и организации процесса реагирования на них понадобятся SIEM-системы.
Часто промышленные предприятия, что называется, «идут по регламенту» и подбирают средства безопасности руководствуясь 239-м приказом ФСТЭК России. Как отметили спикеры, необходимость использовать промышленные инструменты защиты определяется в первую очередь рисками, которые существуют на производстве. Если обычные средства безопасности могут предотвратить их возникновение, значит, их допустимо применять, однако специализированные задачи АСУ ТП часто не позволяют этого достичь.
Команда специалистов, которая занимается мониторингом и реагированием, также должна понимать специализацию промышленного трафика. Чем сложнее инфраструктура, тем больше значение такой специализации.
Как внедрять проекты по защите сетей АСУ ТП
Какие трудности ожидают заказчиков на пути обеспечения безопасности промышленной инфраструктуры? Об этом мы решили поговорить с нашими экспертами в продолжение прямого эфира AM Live. В частности, нас интересовало, должны ли средства безопасности для АСУ ТП быть сертифицированы.
Как объяснили спикеры онлайн-конференции, несмотря на то что строгих требований к этому нет, большинство заказчиков настаивают на сертификате ФСТЭК России и наличии в реестре отечественного ПО для таких инструментов. Таким образом компании стараются минимизировать свои риски на случай появления подобных требований. Другая сторона медали — наши средства промышленной безопасности слабо представлены за рубежом и не участвуют в рейтингах, поскольку отечественные вендоры часто не рассматривают иностранный рынок в качестве целевой площадки.
Ещё один интересный практический вопрос безопасности промышленных сетей связан с необходимостью их сегментации. По мнению экспертов, если на территории одного технологического сегмента есть несколько разных систем АСУ ТП, разумным представляется разделить их на несколько логических частей. Если существует опасность перемещения злоумышленника между сегментами, их необходимо снабдить межсетевыми экранами. Чем меньше у функционально различных систем точек соприкосновения, тем надёжнее будет решение в целом. Спикеры заметили, что в отраслевых стандартах вполне чётко описано, как проводить сегментацию применительно к АСУ ТП.
Переходя к вопросу мониторинга в промышленных сетях, гости студии отметили, что этот процесс можно подразделить на следующие блоки: выявление активов и управление ими, обнаружение вторжений, глубокий разбор промышленных проприетарных протоколов. Существует весьма много подходов к разбору трафика промышленных систем. Как отметили эксперты в студии, собранную информацию можно использовать как для профилирования устройств, так и для разбора аномалий.
Рассуждая на тему того, насколько эффективно будет работать «решение из коробки», без внедрения и настройки со стороны вендора или системного интегратора, эксперты пришли ко мнению, что такие системы способны отлавливать некоторые угрозы, а также устанавливать взаимосвязи между событиями, формируя инциденты. Тем не менее адаптация решения способна существенно повысить результативность его работы. Информационная безопасность — это процесс: мало просто купить систему, её необходимо обслуживать, сопровождать, мониторить, при необходимости меняя какие-то параметры.
Переходя к вопросам эксплуатации систем безопасности в промышленности, ведущий спросил: как выявлять инциденты в сетях АСУ ТП в условиях дефицита квалифицированных кадров? По мнению гостей студии, вендоры и системные интеграторы могут компенсировать недостаточную квалификацию специалиста по информационной безопасности функциональными возможностями своих решений и поставляемыми услугами. Несмотря на некоторое «сопротивление» заказчиков, безопасность АСУ ТП, так же как и другие процессы по защите инфраструктуры, будет постепенно переходить на аутсорсинг. При этом возможны гибридные варианты, когда стороннему подрядчику передаётся только мониторинг, а вопросы реагирования заказчик решает самостоятельно.
Интересную тему в беседе задал наш опрос на тему использования активных средств сетевой безопасности в технологическом сегменте. Как оказалось, 42 % зрителей прямого эфира уже используют такие инструменты, а ещё 30 % готовы начать, как только появятся зрелые решения. Не готовы работать со средствами активной безопасности в промышленности 26 %, а 2 % не будут этого делать ни при каких обстоятельствах.
Рисунок 3. Готовы ли вы применять активные средства сетевой безопасности в технологическом сегменте?
Комментируя результаты опроса, эксперты высказали предположение, что под активными средствами сетевой безопасности участники опроса понимали не только IPS, но и межсетевые экраны. По мнению спикеров, большинство промышленных заказчиков сейчас, напротив, не готовы использовать инвазивные методы защиты. То же самое справедливо и в отношении сканеров уязвимостей — во многих случаях предпочтительно использовать пассивный поиск, основанный на анализе трафика.
В завершение дискуссии мы поинтересовались тем, как сравнивать средства защиты АСУ ТП. Эксперты AM Live рекомендуют начать с активного изучения инструкций и руководств, а также запросить у вендора доступ к тестовому стенду. Важно понимать, что для каждой специфической задачи существуют собственные критерии решения, который основаны на тех бизнес-рисках, которые принимает для себя компания. Определить такие критерии и на их основании выбрать наиболее подходящий продукт — задача для заказчика, в которой ему может помочь системный интегратор и вендор. К сожалению, многие компании пытаются сравнить продукты разного класса, основываясь на неприменимой к тестируемым системам методологии.
Традиционный опрос зрителей, призванный выяснить, как изменилось мнение аудитории относительно накладных средств сетевой безопасности в технологических сетях после эфира, принёс следующие результаты. Большинство опрошенных — 42 % — убедились в правильности своего выбора средств защиты. Заинтересовались этим классом решений и готовы его тестировать 28 % респондентов, а 13 % участников опроса считают такие инструменты пока избыточными для своих компаний. Ещё 7 % намерены поменять используемую ИБ-систему после просмотра AM Live. Назвали аргументы участников неубедительными 5 % опрошенных, столько же не поняли, о чём шла речь.
Рисунок 4. Каково ваше мнение относительно наложенных средств сетевой безопасности в технологических сетях после эфира?
Выводы
В ходе прямого эфира эксперты онлайн-конференции AM Live рассказали, что развитие средств информационной безопасности для промышленных сетей в ближайшем будущем будет двигаться в сторону упрощения управления и предоставления администраторам большего количества сервисов. Встроенные средства безопасности специализированного оборудования АСУ ТП будут развиваться, создавая конкуренцию накладным инструментам. Принципы активной безопасности в промышленных системах уже внедряются на уровне недопущения в них вредоносного трафика извне, однако о блокировке команд средствами АСУ ТП можно будет говорить ещё нескоро. Развитие этого процесса во многом зависит от отраслевой принадлежности заказчика.
В ближайшем будущем рынок обязательно придёт к автоматическому реагированию на угрозы в сетях АСУ ТП как насущному требованию времени. Вендоры средств информационной безопасности будут интегрировать свои решения, чтобы предложить заказчикам более универсальные и удобные экосистемы. Целью этих интеграционных процессов будет снижение затрат времени на защиту промышленных систем.
Сезон прямых эфиров AM Live продолжается. Чтобы не пропустить обсуждение наиболее важных для отечественного ИБ-рынка тем на встречах с ведущими экспертами отрасли, подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!