Интервью с Андреем Бондюгиным, руководителем группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатории Касперского»

Андрей Бондюгин: Объединение промышленной и корпоративной сред — наша новая реальность

Андрей Бондюгин: Объединение промышленной и корпоративной сред — наша новая реальность

Андрей Бондюгин

Руководитель группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатории Касперского»

Андрей Бондюгин присоединился к команде «Лаборатории Касперского» в 2020 году (направление Kaspersky Industrial CyberSecurity) и отвечает за техническое сопровождение проектов по решениям для защиты промышленных предприятий. До прихода в «Лабораторию Касперского» Андрей занимался развитием направления ИБ в одном из ведущих отечественных вендоров АСУ ТП, а также имел опыт работы аналитиком информационной безопасности.

Окончил Уральский федеральный университет по специальности «Информационная безопасность телекоммуникационных систем».

...

Ландшафт киберугроз продолжает стремительно меняться. Что нового появилось в последних атаках на промышленные предприятия? Как защитить от них своё производство в новых реалиях импортозамещения? Какие российские решения помогут создать надёжную ИБ-экосистему? Об этом на примере одного из производственных предприятий нам рассказал Андрей Бондюгин, руководитель группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатории Касперского».

Андрей, о каком предприятии сегодня пойдёт речь?

А. Б.: Мы поговорим об Абинском электрометаллургическом заводе, который входит в холдинг «Новосталь-М».

Какие основные риски и угрозы существуют сейчас для производственных объектов в металлургической отрасли?

А. Б.: Начнём с того, что сегодня злоумышленники хотят уже не просто извлечь экономическую выгоду из своей атаки — они хотят нарушить штатный режим функционирования всего производства. Их целью становится социальный, репутационный ущерб.

При этом у них обширный арсенал, в составе которого — инструменты самой различной степени сложности. Это могут быть как традиционные вредоносные программы, вирусы-шифровальщики, так и более продвинутые инструменты.

Но самое страшное, самое опасное — это целевые атаки, в ходе которых злоумышленники задействуют специализированные инструменты, разработанные под конкретный объект. Использование подобных инструментов достаточно сложно обнаружить при помощи традиционных защитных решений. Для этого необходимы более продвинутые технологии.

Какие технологии и продукты «Лаборатории Касперского» используются на АЭМЗ для защиты от подобных рисков?

А. Б.: На сегодняшний день здесь внедрена экосистема наших решений, которая обеспечивает защиту как на уровне корпоративной среды, так и на уровне промышленного сегмента.

Для корпоративного сектора используется ХDR-платформа Kaspersky Symphony, включающая в себя средства защиты рабочих станций и серверов (Kaspersky Endpoint Security), почтового трафика (Kaspersky Security Mail Gateway). Для обеспечения расширенного обнаружения и реагирования на возникающие угрозы на конечных узлах внедрён такой инструмент, как Kaspersky Endpoint Detection and Response, а также система выявления и предотвращения целевых атак — KATA (Kaspersky Anti Targeted Attack).

Центральным компонентом системы защиты является SIEM-система Kaspersky Unified Monitoring and Analysis Platform (KUMA), обеспечивающая сбор и анализ событий со всех источников и выявление компьютерных инцидентов. В целях обогащения информации о событиях по безопасности на данном предприятии используются потоки данных об угрозах совместно с TI-платформой Kaspersky CyberTrace. 

Что касается промышленного сегмента, для него применяется промышленная ХDR-платформа Kaspersky Industrial CyberSecurity. Она обеспечивает комплексную защиту АСУ ТП данного завода, а именно — защиту рабочих станций и серверов и мониторинг сетевой инфраструктуры, включая контроль использования промышленного ПО и оборудования, а также полную инвентаризацию сетевой структуры предприятия.

Завод очень велик, соответственно, здесь много и бизнес-процессов. Какие из них защищаются решениями «Лаборатории Касперского»?

А. Б.: Предприятие выпускает законченные изделия в рамках всего лишь одного завода. И, соответственно, продукты «Лаборатории Касперского» защищают всю производственную цепочку, начиная от сталеплавильного цеха и заканчивая метизным. Таким образом, продукты нашей компании используются на всех этапах производства, защищая все технологические процессы.

Возможна ли конвергенция ИТ и ОТ с точки зрения кибербезопасности? Как SIEM-система, например KUMA, способна помочь в процессе объединения этих двух сред?

А. Б.: Конвергенция ИТ и ОТ — это не просто возможность, это реальность. Сегодня на многих производствах корпоративные и промышленные сети уже интегрированы между собой. Данные с производственных площадок передаются в корпоративные сети, чтобы можно было в режиме реального времени отслеживать производственные показатели. В связи с этой интеграцией, конечно, возникают новые риски в информационной безопасности.

Злоумышленники теперь могут использовать корпоративные сети, чтобы добраться до промышленных. И, соответственно, мы в рамках нашей SIEM-системы как раз интегрируем источники событий по безопасности как из промышленного сегмента, так и из корпоративного.

Таким образом в режиме «единого окна» мы можем, во-первых, осуществлять полноценный мониторинг защищённости промышленных объектов. Во-вторых, мы выявляем компьютерные атаки на том этапе, когда злоумышленник ещё не успел добраться до АСУ ТП и повлиять на производственный процесс. Подобный инцидент, безусловно, является недопустимым событием для любого промышленного предприятия.

Андрей, а что такое Kaspersky OT Cybersecurity и чем эта единая концепция обеспечения промышленной безопасности отличается от уже хорошо известных продуктов семейства KICS?

А. Б.: Kaspersky OT Cybersecurity — это целая экосистема решений, которые позволяют выстроить эффективный процесс защиты информации на промышленном предприятии. Она включает в себя три блока — это различные технологии (основные, фокусные и на базе KasperskyOS), передача знаний (через нашу аналитику по угрозам и различные тренинги) и наша экспертиза в виде экспертных сервисов. 

Технологическим ядром этой экосистемы является Kaspersky Industrial CyberSecurity, XDR-платформа, в состав которой входят решение KICS for Nodes, предназначенное для защиты рабочих станций и серверов, и KICS for Networks — средство мониторинга промышленной сети.

Помимо этих двух компонентов в Kaspersky OT Cybersecurity входят решение по предиктивной аналитике и выявлению аномалий в технологических процессах — Kaspersky MLAD, а также средство противодействия беспилотным летательным аппаратам Kaspersky Antidrone, которое уже успешно зарекомендовало себя в защите промышленных объектов. В решении задач по обеспечению устойчивости функционирования промышленных сетей для распределённых объектов помогает Kaspersky SD-WAN. При этом в экосистему ОТ Cybersecurity также входят наши самые современные технологии и продукты на базе кибериммунной операционной системы KasperskyOS (IoT-шлюзы и VDI-клиенты).

Говоря о технологической части экосистемы, необходимо особенно отметить такой её элемент, как SIEM-система KUMA. Этот инструмент объединяет информацию со всех источников: всех средств защиты информации и всех элементов инфраструктуры. Таким образом осуществляется централизованный мониторинг информационной безопасности. Возможности SIEM-системы расширяются за счёт Threat Intelligence, которая имеет специализированные дата-фиды и отчёты именно для систем АСУ ТП. И эта платформа помогает всегда быть в курсе распространённых и новых угроз в ИБ, актуальных именно для промышленных инфраструктур.

В состав ОТ Cybersecurity также входит часть связанная с нашей экспертизой. Это сервисы по анализу уровня защищённости и оперативной помощи промышленному предприятию в случае возникновения киберинцидента. 

Также на прошедшей конференции в Сочи мы анонсировали новый сервис, который называется ICS MDR. С его помощью реализуется возможность мониторинга защищённости промышленной инфраструктуры силами экспертов «Лаборатории Касперского».

Помимо технологий и экспертизы в экосистему OT Cybersecurity входят сервисы по обучению персонала, который занимается кибербезопасностью. Постоянное повышение их компетенций в этой области — большая и нужная задача. В перечень предлагаемых нами тренингов входят программы по цифровой криминалистике, безопасности IoT-систем и другие.

Андрей, большое спасибо за содержательное интервью и экспертное мнение. Удачи в реализации и других подобных проектов. А нашим читателям мы, как всегда, желаем всего самого безопасного!