Обеспечение комплексной информационной безопасности АСУ ТП: экспертный подход

Обеспечение комплексной информационной безопасности АСУ ТП: экспертный подход
Скрин из презентации InfoWatch ARMA
Для обеспечения комплексной информационной безопасности АСУ ТП применяется связка программных продуктов для контроля промышленной сети и подключенных к ней рабочих станций. Автоматизированная система позволяет улучшить процессы обнаружения и реагирования на угрозы, минимизировать риск человеческой ошибки и сократить время реакции на инциденты. Разбираемся, из чего состоит такой комплекс и как работают его компоненты, на примере линейки продуктов InfoWatch ARMA.

Обзор актуальных угроз безопасности АСУ ТП

Согласно исследованию Экспертно-аналитического центра ГК InfoWatch «Тенденции развития киберинцидентов АСУ ТП за 2023 год», за указанный период в России и мире существенно увеличилось количество атак программ-вымогателей на ИТ-инфраструктуру промышленных предприятий: по разным оценкам, их годовой прирост составил от 50 до 70%. При этом для несанкционированного доступа к инфраструктуре злоумышленники в 70% используют уже известные уязвимости. Это во многом связано с тем, что в нынешних условиях некоторые вендоры ПО не всегда оперативно предоставляют заказчикам периодические обновления и патчи для устранения найденных ошибок.

 

Статистика киберинцидентов в АСУ ТП

Статистика киберинцидентов в АСУ ТП.
Слайд из презентации InfoWatch ARMA

 

Объективно оценить масштаб проблемы мешает то, что большое количество инцидентов остается вне публичного поля. Например, недавний громкий глобальный сбой в работе курьерской службы СДЭК, который связывают с хакерской атакой, по мнению участников рынка, является только верхушкой айсберга – а в его подводной части остаются тысячи менее резонансных случаев.

Очевидно, что каждая целенаправленная атака злоумышленников потенциально влечет за собой огромные экономические и репутационные потери. Может показаться, что логистическая компания – это не совсем про АСУ ТП. Но за деятельность таких организаций, как правило, отвечает серьезная ИТ-инфраструктура, сопоставимая с промышленной. И если главным ущербом для коммерческих компаний остается всё-таки финансовый, то для промышленного предприятия, особенно объекта КИИ, крупная успешная атака может грозить гораздо более серьезными последствиями.

 

Демид Балашов, руководитель отдела развития продуктов InfoWatch ARMA

Демид Балашов, руководитель отдела развития продуктов InfoWatch ARMA.
Фото предоставлено InfoWatch

 

«Мы замечаем, что атаки на АСУ ТП действительно усиливаются, причем пока это довольно скрытая от внимания ниша. Все привыкли защищать современные ИТ-инфраструктуры наподобие банковских, но не промышленную инфраструктуру, хотя она, по сути, обеспечивает работу любого бизнеса», – комментирует Демид Балашов, руководитель отдела развития продуктов InfoWatch ARMA.

Другой актуальной тенденцией остается большое административное и регуляторное давление, оказываемое на промышленные предприятия. Так, 239 Приказ ФСТЭК России содержит ряд жестких требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ. А согласно указу Президента РФ от 01.05.2022 №250, с 1 января 2025 года органам власти, госкорпорациям, субъектам КИИ и системообразующим предприятиям полностью запрещено использовать зарубежный софт. По свидетельству участников рынка, далеко не все успели полномасштабно подготовиться к этим изменениям.

В связи с ростом числа кибератак одной из наиболее оперативных задач для большого количества промышленных компаний является построение системы сетевой безопасности АСУ ТП на основе отечественных разработок. Как собрать комплексное решение для защиты сетевого трафика и конечных узлов и какие функции оно должно выполнять – рассказываем на примере InfoWatch ARMA.

InfoWatch ARMA – это отечественная линейка продуктов для обеспечения кибербезопасности АСУ ТП, которая защищает рабочие станции и серверы от атак злоумышленников, а также от злонамеренных или ошибочных действий пользователей.

 

Состав решения InfoWatch ARMA для защиты промышленной сети

Состав решения InfoWatch ARMA для защиты промышленной сети.
Слайд из презентации InfoWatch ARMA

 

InfoWatch ARMA Industrial Firewall: в основе защиты промышленных сетей

Главным компонентом линейки является межсетевой экран InfoWatch ARMA Industrial Firewall. Специфика исполнения данного комплекса позволяет отнести его именно к промышленным решениям – IFW. Во-первых, аппаратная платформа, на которой разворачивается система, может быть поставлена в электрозащищенных и пылевлагозащищенных корпусах. Во-вторых, программная часть межсетевого экрана разработана специально для защиты специализированных устройств и сетей, которые используются в промышленности. Специфика заключается, в первую очередь, в поддержке протоколов передачи данных, которые распространены в промышленных сетях, а также в нюансах топологии этих сетей.

Более подробно об отличиях промышленного межсетевого экрана от корпоративного – см. в материале ICT-Online.ru «Межсетевой экран для защиты корпоративной и промышленной сети: специфика выбора».

«Наша система поддерживает значительное количество промышленных протоколов, то есть может их перехватывать, блокировать или разрешать обмен данными. Кроме того, она их может достаточно глубоко и гибко настраивать. Допустим, на производстве используется кран, который имеет программное управление и может поворачиваться только на угол до 45 градусов, иначе произойдет поломка. И если файрвол фиксирует команду, которая превышает разрешенный угол, то система ее заблокирует. Получается, что InfoWatch ARMA Industrial Firewall  – это защита как от преднамеренных вмешательств извне, так и от внутренних ошибок персонала. Неважно, почему и откуда пришла неверная команда, – она не будет реализована, и этот инцидент никак не отразится на производстве», – приводит пример Демид Балашов.

В связи с тем, что InfoWatch ARMA Industrial Firewall уже используется на многих производствах, появляется необходимость в доработке и актуализации поддерживаемых решением протоколов. Компания InfoWatch делает упор на расширение возможностей контроля этих протоколов: добавляет новые и развивает существующие с точки зрения новых параметров, надежности и возможностей настройки.

 

Основные задачи и функции InfoWatch ARMA Industrial Firewall

Основные задачи и функции InfoWatch ARMA Industrial Firewall.
Слайд из презентации InfoWatch ARMA

 

Например, в последней версии межсетевого экрана была добавлена функция фильтрации по протоколам ADS и DNP3. Эта доработка была реализована в связи с потребностью одного из клиентов InfoWatch – крупного предприятия авиационной отрасли.

Помимо поддержки промышленных протоколов, для заказчиков, представляющих сегмент КИИ, важен сертификат ФСТЭК по профилю защиты «Д». Для всех предприятий актуально VPN-туннелирование (создание криптотуннелей как по ГОСТ-протоколам, так и по общепринятым) и система обнаружения вторжений. При наличии у заказчика большой филиальной структуры InfoWatch ARMA Industrial Firewall дает возможность создавать распределенные сети и управлять ими из единого центра.

Межсетевой экран подразумевает возможность не просто скрыть сеть для определенных IP-адресов, но и использовать более развернутые правила. Например, в системе можно прописать ограничения по тому, каким внутренним пользователям компании предоставляется доступ к промышленному устройству. Так, если бухгалтерия завода пользуется общей сетью, но для ее сотрудников нет необходимости подключаться к инструментам управления станками, – все пользователи, которые относятся к этому отделу, не будут иметь доступ к ним. Создать такое правило проще, чем постоянно отслеживать IP-адреса или фильтровать доступ по портам. Это дает больше гибкости и при этом больше надежности.

«Мы постоянно развиваем продукты линейки InfoWatch ARMA. Основная часть доработок относится к функциональности файрвола в плане поддерживаемых протоколов. Это не занимает много времени: буквально за 2-4 недели мы можем добавить новый протокол или расширить существующий», – поясняет Демид Балашов.

InfoWatch ARMA Industrial Endpoint: защита конечных устройств

Агент InfoWatch ARMA Industrial Endpoint реализует два основных сценария: белые и черные списки приложений и белые и черные списки USB-устройств.

 

Основные задачи и функции InfoWatch ARMA Industrial Endpoint

Основные задачи и функции InfoWatch ARMA Industrial Endpoint.
Слайд из презентации InfoWatch ARMA

 

Первый сценарий означает, что система позволит запускать на конкретной рабочей станции только приложения из «белого списка» – от отдельных папок вплоть до конкретных файлов.

Второй сценарий подразумевает, что на производстве используется конкретная флеш-карта для решения рабочих задач: например, для загрузки новой задачи для ЧПУ или загрузки объемного чертежа. Эту флешку можно открыть на защищаемой рабочей станции, а при попытке подключить другие – они будут заблокированы. Таким образом на компьютеры, обеспечивающие управление производством, невозможно установить какие-то запрещенные программы или загрузить файлы. В новой версии InfoWatch ARMA Industrial Endpoint, помимо селективного управления USB-устройствами, появилась возможность настраивать доступ к рабочей машине для целых классов USB-устройств, таких, как принтеры, веб-камеры и т. д.

Кроме того, рабочие станции защищены от несанкционированных действий сотрудников. Например,  оператор, у которого нет прав администратора, не сможет внести в систему какие-то изменения.

«InfoWatch ARMA Industrial Endpoint – следующее звено в цепочке обеспечения безопасности АСУ ТП. Речь здесь идет не про всю сеть, а про отдельные ее звенья, в частности, рабочие станции. Как правило, они используются по достаточно ограниченным сценариям – только для управления конечными устройствами, станками с ЧПУ и так далее. Объем функциональности, который требуется для их защиты, не такой большой, как, например, у агентов в корпоративных сетях: это контроль съемных носителей, контроль запускаемых приложений, проверка целостности файлов и обеспечение непрерывности работы. Тем не менее, каждая из этих функций критически важна», – добавляет Демид Балашов.

InfoWatch ARMA Management Console: единое окно управления безопасностью

Файрвол и модуль безопасности конечных устройств InfoWatch ARMA работают в связке с единым центром управления InfoWatch ARMA Management Console. С помощью этого инструмента можно производить настройку и обновление системы, просматривать события и реагировать на инциденты, а также формировать карту сети для наглядного контроля за всеми находящимися в ней устройствами и отслеживания взаимодействий между ними.

 

Основные возможности InfoWatch ARMA Management Console

Основные возможности InfoWatch ARMA Management Console.
Слайд из презентации InfoWatch ARMA

 

«С точки зрения консоли, сеть промышленного предприятия, как правило, более статична. Здесь нет необходимости постоянно менять правила, синхронизироваться с большим количеством смежных систем, в которых добавляются и удаляются пользователи. Поэтому индустриальная сеть несколько проще в администрировании. Как правило, если консоль управляет несколькими файрволами, их настройки будут типовыми – если это несколько цехов, то настроить межсетевые экраны для них можно единообразно. В этом отличие от корпоративной сети, в которой разные сегменты, филиалы, подразделения нужно защищать по-разному на уровне каждого устройства. События, на которые специалисту ИБ нужно реагировать, в случае промышленной сети поступают реже. Все процессы здесь технологически выверены, настройки событий и инцидентов четкие. С другой стороны – если система что-то выявила, то больше вероятность, что это важное событие, на которое нужно реагировать», – комментирует Демид Балашов.

InfoWatch ARMA Management Console обладает базовым функционалом для сбора и анализа информации о событиях безопасности. Если специалистам ИБ необходимо собирать инциденты и рассматривать их на более высоком уровне, а также хранить в течение длительного времени, консоль может быть интегрирована с внешней SIEM-системой.

Интеграционные возможности системы InfoWatch включают в себя обмен данными об инцидентах с  ГосСОПКА, подключение широкого спектра СЗИ внешних вендоров.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch