Сертификат AM Test Lab
Номер сертификата: 440
Дата выдачи: 25.12.2023
Срок действия: 25.12.2028
- Введение
- Функциональные возможности UDV DATAPK Industrial Kit
- Архитектура UDV DATAPK Industrial Kit
- Новые функциональные возможности UDV DATAPK Industrial Kit версии 2.1
- Изменения в лицензировании UDV DATAPK Industrial Kit
- Системные требования UDV DATAPK Industrial Kit
- Сценарии использования UDV DATAPK Industrial Kit
- Выводы
Введение
Комплекс решений UDV DATAPK Industrial Kit создан специально для АСУ ТП и учитывает все требования к средствам защиты информации для технологических сетей. Продукт решает следующие задачи: выявление и инвентаризация узловв промышленных сетях и сетевых взаимодействий между ними, обнаружение инцидентов, управление конфигурациями и уязвимостями. Он сертифицирован ФСТЭК России (УД6, ИТ.СОВ.С6.ПЗ, ЗБ; сертификат соответствия № 4719 от 28.09.2023) и реализовывает меры 31-го и 239-го приказов этого же регулятора.
Важным отличием UDV DATAPK Industrial Kit от аналогичных решений является его мультифункциональность, благодаря которой возможно заменить несколько разнородных решений одним комплексом, разработанным специально для промышленных предприятий. Это позволяет не только оптимизировать процессы ИБ в организации, но и снизить общую стоимость приобретения и владения.
Рисунок 1. Задачи, решаемые комплексом DATAPK Industrial Kit
Функциональные возможности UDV DATAPK Industrial Kit
UDV DATAPK Industrial Kit новой версии предлагает расширенную функциональность для анализа сетевого трафика и обнаружения ИБ-инцидентов в промышленных сетях. Среди новых ключевых возможностей можно выделить улучшение управления уязвимостями на узлах защищаемой сети, а также усовершенствованное управление конфигурациями узлов в соответствии с требованиями по информационной безопасности. Ниже рассмотрим новые возможности решения подробнее.
- Анализ сетевого трафика. UDV DATAPK Industrial Kit способен работать полностью в пассивном режиме, при котором данные поступают в комплекс посредством SPAN или по зеркалированным портам сетевого оборудования. Сетевые узлы, такие как инженерные станции, SCADA-системы, ПЛК и т. п., выявляются путём анализа трафика. Все обнаруженные узлы автоматически попадают в карту сети с визуализацией потоков данных. Инвентаризационная информация может быть передана в другие системы, например в UDV ITM для мониторинга функционирования сети. Комплекс выявляет несанкционированное подключение узлов и нелегитимные потоки данных, сигнализируя об этом. Также есть возможность разрешить определённое подключение на выбранный временной промежуток (например, при выполнении регламентных работ с подключением ноутбуков подрядных организаций).
- Обнаружение инцидентов. UDV DATAPK Industrial Kit имеет «из коробки» набор предопределённых экспертных правил корреляции для промышленных сетей. Есть функциональность по редактированию существующих правил и добавлению новых. UDV DATAPK Industrial Kit может получать ИБ-события от произвольных источников по стандартным протоколам без использования агентов. Подключение новых источников событий не требует доработки продукта производителем.
- Управление конфигурациями. UDV DATAPK Industrial Kit контролирует соответствие настроек (конфигураций) узлов требованиям по информационной безопасности в режиме опроса. При опросе узлов применяются неагентские методы на основе стандартных и специализированных промышленных протоколов. В случае отклонения от эталонной конфигурации UDV DATAPK Industrial Kit показывает, что конкретно изменилось и по какой причине. Следует отметить, что расширение списка поддерживаемых объектов также не требует доработки продукта производителем.
- Управление уязвимостями. В продукт заложена возможность выявлять уязвимости на узлах защищаемой сети на основе сопоставления их конфигураций с информацией из БДУ ФСТЭК России и других сторонних баз. Доступ к узлам производится также неагентскими методами с использованием стандартных протоколов. По выявленным уязвимостям генерируются уведомления и отчёты.
Рисунок 2. Карта сети в интерфейсе DATAPK Industrial Kit
Архитектура UDV DATAPK Industrial Kit
Архитектурно UDV DATAPK Industrial Kit состоит из трёх уровней: «Sensor», «Management» и «Supervision».
Самый низкий уровень — «Sensor» (сенсор). Он устанавливается в сегмент сетей АСУ ТП и выполняет всю низкоуровневую работу: выявление сетевых узлов и сетевых взаимодействий, поиск следов вторжений, сбор конфигураций и поиск уязвимостей. «Sensor» не имеет пользовательского интерфейса, подключается к уровню «Management» и передаёт туда информацию о подозрениях на ИБ-инциденты, конфигурациях и найденных уязвимостях.
Уровень «Management» (управление) имеет графический интерфейс, где аккумулируются все собранные данные со всехподключённых сенсоров. Здесь можно работать с топологией сети, инцидентами, уязвимостями и конфигурациями. Также на этом уровне происходят экспорт данных в смежные системы и импорт их оттуда.
Рисунок 3. Архитектура UDV DATAPK Industrial Kit
Уровень «Supervision» (надзор) является опциональным. Он позволяет собирать и концентрировать данные с нескольких устройств уровня «Management» на разных технологических площадках и представлять их службе ИБ в удобном виде для принятия решений. Если обнаружены какие-либо критические значения по инцидентам или любым другим данным, то с уровня «Supervision» можно перейти на уровень «Management» для более глубокого детального анализа.
Новые функциональные возможности UDV DATAPK Industrial Kit версии 2.1
В 2023 году вышел новый релиз UDV DATAPK Industrial Kit 2.1, включающий в себя три больших обновления, которые сделали работу с решением удобнее.
- Обновлённый механизм безопасного однонаправленного взаимодействия
- Теперь взаимодействие с UDV DATAPK Industrial Kit уровня «Management» инициируется со стороны уровня «Sensor». Направление сетевого взаимодействия между компонентами DATAPK Industrial Kit обеспечивает повышенный уровень безопасности.
- Ускорен отклик системы при управлении UDV DATAPK Industrial Kit Sensor с уровня «Management». Снижена вероятность ошибки пользователя от повторных действий.
- Подключение сенсоров и их текущее состояние в UDV DATAPK Industrial Kit уровня «Management» теперь отображается в специальном разделе для отслеживания состояния средств безопасности в оперативном режиме.
Рисунок 4. Раздел «Сенсоры» в интерфейсе UDV DATAPK Industrial Kit
- Панель мониторинга (дашборд) «Статус защищённости» для специалистов по ИБ
Разработчики UDV Group создали новый раздел оперативного мониторинга — дашборд «Статус защищённости». В нём реализованы новые виджеты, которые позволяют оперативно отследить следующие показатели:
- интегральная оценка состояния защищаемой системы с детальным перечнем категорий объектов защиты;
- вторжения, инциденты и новые сетевые потоки с возможностью просмотра по времени;
- неизвестные активы с датой их обнаружения и IP-адресом.
В интерфейсе доступна фильтрация по сенсорам с отображением состояния «здоровья» сенсора.
Рисунок 5. Дашборд «Статус защищённости» в интерфейсе DATAPK Industrial Kit
- Обновление функциональности по работе с уязвимостями
- Оптимизирована процедура анализа защищённости за счёт использования легковесного механизма поиска уязвимостей с упрощённым (интуитивно понятным) интерфейсом.
- Улучшен интерфейс работы с уязвимостями на основе базы CVE.
- Улучшен механизм поиска уязвимостей по инвентаризационной информации сетевых узлов, повышена точность определения уязвимостей установленного ПО.
Рисунок 6. Выгрузка «Просмотр уязвимостей» в DATAPK Industrial Kit
Изменения в лицензировании UDV DATAPK Industrial Kit
Также произошли изменения в лицензировании. Ранее можно было приобрести только комплексную лицензию на всю функциональность решения, реализованную в компонентах уровней «Sensor», «Management» и «Supervision»: приобреталась отдельная лицензия на каждый компонент. Теперь дополнительно появилось разделение лицензий по функциональности, которое даёт дополнительные возможности конфигурирования лицензии под потребности заказчика.
Функциональные модули, лицензируемые отдельно:
- UDV DATAPK Core. Ядро системы, лицензия на которое включается во все варианты поставок.
- UDV DATAPK Industrial NTA. Модуль анализа трафика с поддержкой промышленных протоколов. Реализовывает все функции решения по инвентаризации активов и обнаружению вторжений на основе пассивного анализа трафика.
- UDV DATAPK Config Manager. Модуль сбора и контроля конфигураций узлов промышленной сети.
- UDV DATAPK Vulnerability Manager. Модуль контроля уязвимостей на узлах промышленной сети.
Рисунок 7. Изменения в лицензировании DATAPK Industrial Kit
В дополнение к UDV DATAPK Industrial Kit разработчики реализовали два отдельных продукта, которые позволяют комплексно подойти к обеспечению информационной безопасности АСУ ТП:
- UDV Industrial Agentless EDR. Неагентский EDR для поведенческого анализа и контроля программируемых логических контроллеров (ПЛК) в технологических сетях на основе методов машинного обучения.
- UDV DATAPK Version Control. Система контроля версий проектов ПЛК в технологических сетях. Предназначена для централизованного управления репозиториями проектов ПЛК, резервного копирования и восстановления проектов ПЛК, отслеживания и контроля изменений в исходном коде.
Системные требования UDV DATAPK Industrial Kit
Решение может поставляться в виде программного обеспечения (ПО) или программно-аппаратного комплекса (ПАК). Система может быть развёрнута как в физической инфраструктуре, так и в виртуальной.
Таблица 1. Системные требования DATAPK Industrial Kit
Характеристика | Уровень «Management» или «Supervision» | Уровень «Sensor» |
Процессор | Не менее 3,1 ГГц, не менее 20 логических ядер | Не менее 2,4 ГГц, не менее 16 логических ядер |
Оперативная память | Не менее 64 ГБ | 32 ГБ |
Диск | Не менее 960 ГБ, SSD, аппаратный RAID | 512 ГБ |
Прочее | Поддержка UEFI, поддержка ОС Alt Linux (сертифицированная редакция) | Поддержка UEFI, поддержка ОС Alt Linux (сертифицированная редакция) |
Сценарии использования UDV DATAPK Industrial Kit
Сценарий № 1: обнаружение несанкционированных подключений к промышленной сети
В условиях постоянного риска несанкционированного доступа к промышленным сетям важно иметь инструменты для обнаружения новых узлов, потоков данных и потенциальных атак. UDV DATAPK Industrial Kit позволяет операторам промышленных сетей быстро реагировать на несанкционированные подключения, новые узлы и потоки данных.
Сценарий использования в данном случае включает в себя следующие шаги:
- Подключение UDV DATAPK Industrial Kit к промышленной сети. Устройство устанавливается для мониторинга трафика в полностью пассивном режиме, не вмешиваясь в основные операции.
- Анализ трафика. Решение анализирует копию трафика в настоящем времени, идентифицируя новые узлы и потоки данных.
- Обнаружение атак и несанкционированных подключений. С помощью сигнатурных методов и алгоритмов обнаружения аномалий решение идентифицирует известные атаки — события системы обнаружения вторжений (IDS), по которым определяются незащищённые узлы.
- Генерация данных в интерфейсе и уведомлений. По завершении анализа UDV DATAPK генерирует данные о выявленных угрозах и аномалиях, предоставляя операторам сети информацию о потенциальных рисках и необходимости принятия мер для обеспечения безопасности сети.
Сценарий № 2: обнаружение известных уязвимостей в промышленной сети
UDV DATAPK Industrial Kit позволяет организациям проводить систематический мониторинг уязвимостей на узлах промышленной сети, а следовательно — заблаговременно выявлять проблемные места и принимать меры для устранения уязвимостей до возможного их использования злоумышленниками.
По данному сценарию решение работает следующим образом:
- Установка UDV DATAPK Industrial Kit. Размещение решения в промышленной сети для периодического мониторинга и анализа уязвимостей на узлах.
- Сбор данных и анализ. Решение собирает информацию о программном обеспечении и конфигурации узлов сети. Затем происходит анализ этой информации с использованием различных баз данных, включая БДУ ФСТЭК России, для выявления известных уязвимостей.
- Идентификация уязвимостей. Путём сопоставления информации об узлах с данными об известных уязвимостях UDV DATAPK Industrial Kit идентифицирует возможные бреши на узлах промышленной сети.
- Генерация отчётов. По завершении анализа пользователь получает сгенерированные отчёты, содержащие информацию о выявленных уязвимостях и их степени критической значимости, а также рекомендации по их устранению.
Сценарий № 3: контроль согласованности конфигураций узлов промышленной сети
В условиях, когда множество разных сотрудников или подрядчиков меняют настройки узлов промышленной сети, существует вероятность внесения рассогласованных изменений. UDV DATAPK Industrial Kit позволяет контролировать и сравнивать имеющиеся конфигурации узлов с эталонными настройками, выявляя любые несоответствия.
Это можно сделать следующим образом:
- Создание эталонных конфигураций. Определение и установка эталонных настроек для узлов промышленной сети, которые будут служить основой для контроля соответствия.
- Установка. Размещение UDV DATAPK Industrial Kit в сети для периодического сравнения имеющихся конфигураций узлов с эталонными.
- Мониторинг изменений. UDV DATAPK Industrial Kit анализирует конфигурации узлов и сравнивает их с эталонными настройками. При обнаружении любых несоответствий система выдаёт предупреждения или уведомления о конкретных изменениях, противоречащих эталону.
- Автоматизированная реакция и отчёты. В случае выявления несоответствий UDV DATAPK Industrial Kit может автоматически принимать меры или формировать отчёты о выявленных изменениях, предоставляя информацию об отклонениях от эталонных конфигураций.
Выводы
UDV DATAPK Industrial Kit 2.1 является комплексным решением для защиты АСУ ТП. В арсенале этого решения есть функции по анализу сетевого трафика с поддержкой промышленных протоколов (сертифицированная ФСТЭК России система обнаружения вторжений в промышленном исполнении), возможности по инвентаризации узлов, их контролю на наличие уязвимостей, а также отслеживанию нарушений принятых политик безопасности, связанных с конфигурациями узлов.
Дополнительные решения от производителя позволяют осуществлять поведенческий анализ ПЛК в технологических сетях на основе методов машинного обучения и контролировать версии проектов ПЛК.
Достоинства:
- Является универсальным программным решением, которое может производить инвентаризацию узлов, выполнять функции промышленного NTA, осуществлять сбор, анализ и администрирование конфигураций, контролировать узлы на наличие уязвимостей.
- У пользователя есть возможность подключать в единую систему удалённые производственные площадки, так как архитектура позволяет не передавать большие объёмы данных на вышестоящие уровни комплекса. Это особенно актуально в случаях географического распределения производственных площадок.
- Гибкая настройка комплекса при его внедрении и эксплуатации.
- Наличие подробной технической документации, в которой описаны все нюансы работы и настройки комплекса.
- Инициирование соединения всегда запускает сенсор, что позволяет упростить настройку межсетевого экрана. Достаточно задать правила в направлении от сенсора до управления, что способствует более эффективному и удобному контролю за сетевыми взаимодействиями на уровне межсетевого экрана.
Недостатки:
- Для развёртывания требуется вовлечённость различных подразделений эксплуатирующего персонала.
- Сложно настроить неагентский режим опроса: необходима настройка хостов.
- Раздельное администрирование ОС и ПО.
- Отсутствие контроля параметров технического процесса (тегов).