SIEM-системы (Security Information and Event Management), изначально считавшиеся средствами сбора и корреляции событий, теперь стремятся стать комплексными платформами обнаружения, реагирования, расследования киберинцидентов и управления информационной безопасностью. На примере яркого представителя этого класса — KUMA (Kaspersky Unified Monitoring and Analysis Platform) расскажем, как создать экосистему киберзащиты в сетях АСУ ТП.
Введение
В современных условиях обеспечение информационной безопасности в организациях достигается благодаря связанности различных по назначению продуктов, которых, как правило, множество. Для того чтобы проанализировать информацию изо всех этих источников, необходима централизованная платформа, так называемая SIEM. Таких систем в мире — вполне большое количество, у них разные функциональные возможности и стоимость. Многие из моделей SIEM могут служить центрами экосистем, тем самым повышая эффективность сбора данных об инцидентах.
Мы рассмотрели, как одна из известных SIEM-систем — KUMA (Kaspersky Unified Monitoring and Analysis Platform) «Лаборатории Касперского» — работает совместно с другими сервисами компании. Отметим, что выполнить качественную интеграцию этой SIEM с продуктами вендора может только специализированная команда, которая понимает, как устроены ИТ и АСУ ТП на предприятиях. Пример экосистемы с KUMA показан в статье в виде типовой схемы.
К слову, о функциональных возможностях SIEM-систем, ключевых отличиях, а также векторе их развития ведущие специалисты говорили на эфире AM Live «Новый взгляд на SIEM-системы». В дискуссии приняли участие эксперты «Лаборатории Касперского», IBM, Positive Technologies, «Ростелеком-Солара», «СёрчИнформа», RuSIEM и Micro Focus.
Обеспечение защиты АСУ ТП с продуктами «Лаборатории Касперского»
Сегодня слово «экосистема» прочно закрепилось за сферой информационных технологий. Мы говорим уже не только об «экосистеме города», но также о «цифровой экосистеме», «ИТ-экосистеме». Что главное: даже не зная технических подробностей, мы понимаем, что ноутбук, смартфон, дом, автомобиль действительно незримо связаны: они общаются друг с другом. И даже далеко не всегда ставят нас, своих хозяев, об этом в известность.
В нынешних реалиях тема безопасности волнует многих, в том числе в корпоративной среде. В идеале работник должен думать о киберугрозах и получать сигналы ото всех доступных средств, которые анализируют окружающую бизнес- и производственную среду. Выстраивание ИТ-экосистем происходит уже много десятилетий, и теперь мы искренне расстраиваемся, если на смартфоне вдруг не запустилась видеоконференция из почты, не задумываясь о том, сколько систем при этом должны согласованно сработать.
Продукты для информационной безопасности (ИБ) всегда имели элемент автономности, и эта автономия действительно добавляла секретности и защищённости. Но по факту это — уже прошлое. В ИБ тоже пришла парадигма сетевой связанности. Без неё важная информация о нарушении, не переданная в центр управления безопасностью вовремя, просто теряет свою ценность — и, кстати, чрезвычайно быстро. Вы не успели доложить начальнику, что пропала из мониторинга группа АРМ (автоматизированных рабочих мест)? Не торопитесь: он уже знает об аварии в цеху из ролика на YouTube. Значит, передача событий по ИБ, быстрая обработка, стремительное извещение и эффективная реакция — это и требование, и норма нынешнего (и уж тем более завтрашнего) дня. В конце концов, закон № 187-ФЗ на то и придуман, чтобы обеспечить непрерывную и надёжную работу критически важных систем.
В ИБ много продуктов: антивирусы, межсетевые экраны, системы контроля утечек, различные комплексы мониторинга событий, средства доступа и ещё немало другого. Но данные изо всех этих источников надо собрать и обработать — а для этого нужна централизованная платформа мониторинга и анализа событий по ИБ, т. е. SIEM. Подобных систем в мире много, они различны по функциональности и стоимости. Есть даже сторонники версии о том, что SIEM не нужен — и у таких специалистов не только ответственные должности, но и логичная аргументация. Многие известные образцы SIEM-систем имеют право называться центрами экосистем ИБ для своих линеек продуктов вендора и его стратегических партнёров. По нашему мнению, такое право им даёт уровень интеграции сервисов. И, конечно, лучше, если интеграция нативна, т. е. сделана или разработчиками одной компании, или таким образом, что она незаметна пользователю.
Компания «Информзащита» имеет 25 лет опыта работы с продуктами для информационной безопасности. Мы отличаем маркетинговые анонсы от технологических новшеств устойчивых компаний, поэтому считаем, что пришло время сказать: и на российском рынке продуктов информационной безопасности есть возможность построить экосистему ИБ. Там, где есть нативная связанность различных по назначению продуктов, информационная безопасность существует и работает. «Лаборатория Касперского» — известный во всём мире бренд, «Информзащита» давно успешно внедряет продукты этой компании, но, пожалуй, только с появлением KUMA (Kaspersky Unified Monitoring and Analysis Platform) мы стали готовы предлагать заказчикам действительно экосистему ИБ. И речь в данном случае идёт именно о промышленных предприятиях, сетях АСУ ТП, защите КИИ (критических инфраструктур).
Центр промышленной безопасности «Информзащиты» завершил уже не один проект по КИИ промышленных предприятий. Пройдя суровый путь запуска антивирусов на работающих АРМ SCADA, смены IP-адресаций и установки межсетевых экранов в действующих агрегатных подсетях, настройки IDS там, где раньше никто промышленный трафик не разбирал, можем уверенно сказать, что продукты линейки KICS (Kaspersky Industrial CyberSecurity) работают надёжно и польза от них ощутима. Теперь же мы получили инструмент от того же вендора с широкими возможностями для приёма событий от KICS for Nodes и KICS for Networks, а также для интеграции с IRP-системой R-Vision и с TI-платформой CyberTrace (Threat Intelligence). В сочетании с действующим и занимающим передовые позиции ICS CERT «Лаборатории Касперского» это создаёт действительно эффективную экосистему.
Цель этой статьи — не столько рассказать о функциональности SIEM KUMA, сколько описать процессы, которые могут быть выстроены с применением ряда продуктов «Лаборатории Касперского» для реальной киберзащиты в сетях АСУ ТП. Тем не менее — несколько слов о KUMA. Сейчас этот весьма молодой продукт готовится к выходу в версии 1.6. Есть дорожная карта на следующую версию, планируемую на 2022 год.
KUMA обладает производительностью до 300 тысяч событий в секунду (EPS) на один узел, при этом у платформы — низкие системные требования. Продукт изначально предназначен для работы в современных виртуализируемых средах. Последняя версия интегрирована с Национальным координационным центром по компьютерным инцидентам посредством встроенного модуля ГосСОПКА, что упрощает выполнение требований законодательства. Также разработчики расширили возможности управления инцидентами. Теперь позволяется назначать ответственного, изменять приоритет, проводить эскалацию, вести истории. Инциденты можно создавать автоматически или вручную. Кроме того, в KUMA содержатся карточки инцидентов, с помощью которых в одном месте собирается вся имеющаяся информация о каждом случае, включая данные о подозрительных событиях и затронутых устройствах и пользователях.
Ещё одно нововведение — поддержка мультиарендности (multitenancy) для поставщиков услуг безопасности (MSSP) и крупных предприятий, благодаря чему компании с несколькими филиалами и MSS-провайдеры могут обнаруживать и приоритизировать угрозы для нескольких отделений в единой централизованной среде.
В KUMA также предусмотрены:
- мониторинг состояния источников реагирования, что необходимо для своевременного уведомления администраторов о возникших проблемах;
- пополнение базы коннекторов для приёма событий;
- автоматическая категоризация устройства, полное резервное копирование данных ядра платформы;
- набор предустановленных правил корреляции, подготовленных экспертами «Лаборатории Касперского» в соответствии с MITRE ATT&CK;
- HTTP REST API для управления устройствами и активными списками.
Весь вышеперечисленный набор работает в уже привычном для «Лаборатории Касперского» интуитивно понятном графическом интерфейсе. Большой перечень функциональных возможностей реализуется «из коробки». Но задача настройки источников и интеграций, безусловно, остаётся, и решить её для промышленного холдинга может в полной мере и качественно только такая команда, которая понимает, как устроены ИТ и АСУ ТП на реальных предприятиях.
Ниже на схеме показана укрупнённая визуализация типовой экосистемы, которая может быть предложена заказчику.
Рисунок 1. Экосистема продуктов «Лаборатории Касперского»
Краткое описание процессов в предлагаемой схеме — следующее.
На АРМах промышленной сети устанавливаются элементы защиты конечных точек. В зависимости от функциональности, «древности» оборудования, стоимости и задач это могут быть KICS for Nodes, Kaspersky Endpoint Security, EDR. Инфраструктура управляется привычным KSC (Kaspersky Security Center). Заметим, что уже есть передовые сервисы управления, например, шлюзами IoT от «Лаборатории Касперского». Современный KCS имеет возможность дополнить данные KICS for Networks об активах в сетях. Для кого-то может быть особо интересно, что в KSC предусмотрена отправка информации о состоянии безопасности на хосты в соответствии со стандартом IEC 104/OPC 2.0, т. е. в MES или другую систему, куда OPC-серверы отдают данные. Сам же KICS for Networks принимает на себя или через удалённые сенсоры трафик сетей АСУ ТП для анализа на предмет атак, новых подключений, потенциально опасных команд. И всё это, конечно, выполняется как для типовых протоколов, так и для специализированных сетей.
Не только эти данные, но и информация из других источников поступают в KUMA (KICS for Networks и KICS for Nodes — это также встроенные в экосистему функциональные возможности) для обработки и анализа. Процесс обогащается потоками данных от сервисов Kaspersky Threat Intelligence и может быть сразу передан в IRP- / SOAR-систему (в сегодняшней версии — уже «из коробки» в R-Vision). Поскольку в KUMA есть модуль работы с НКЦКИ, инцидент в ИБ можно отправить в согласованном формате в координационный центр для извещения в соответствии с требованиями российских регуляторов.
Работа аналитиков центра обеспечения безопасности (SOC) будет существенно облегчена, так как интеграция с Kaspersky Threat Lookup (KTL) позволяет KUMA автоматически распознать в обнаруженном вредоносном объекте строки, которые содержат хеши, преобразуя эту информацию в необходимые IP-адреса и URL. В свою очередь, интеграция с Kaspersky CyberTrace позволяет в различных режимах анализировать индикаторы компрометации по разбираемому событию. Вот это — уже действительно система помощи в принятии решений, не просто менеджмент логов, а современный анализ собранного контента.
Всё это позволит в полной мере окупить средства предприятия, потраченные на создание инфраструктуры продуктов ИБ. Если смотреть немного вперёд, то это — реальный задел для построения уже не только центра киберзащиты, но и в целом системы безопасности предприятия по многим направлениям. Это интеграция и со средствами физической охраны, и с комплексами функциональной безопасности.
«Информзащита» оптимистично смотрит на востребованность решений «Лаборатории Касперского» среди заказчиков от промышленности в России и в мире. Разделяя оценки экспертов рынка ИБ, мы считаем, что труд специалистов в службах информационной безопасности заказчика будет всё больше интегрироваться и автоматизироваться, а значит, и программные продукты должны быть более современными, понятными и управляемыми. Если же всему этому будут способствовать нейронные сети и глубокое обучение, то, вероятнее всего, наша жизнь станет более защищённой.
Выводы
Вошедшая в сферу информационной безопасности парадигма сетевой связанности на сегодняшний день уже просто необходима для надлежащей реакции на инциденты и нарушения. По нашему мнению, интеграция SIEM-системы KUMA «Лаборатории Касперского» с другими продуктами антивирусного вендора обеспечивает эффективное функционирование экосистемы ИБ на промышленных предприятиях. В будущем на основе такого подхода может быть выстроен уже не только центр киберзащиты, но также комплекс систем безопасности организации по другим направлениям.