UDV DATA PK Industrial Kit 3.0: видимость состояния защищенности АСУ ТП на ладони

Что такое Supervision и почему он появился в UDV DATAPK Industrial Kit

При наличии у промышленного предприятия разветвленной сети подразделений и филиалов его директора по ИТ и ИБ практически всегда сталкиваются со следующими вызовами:

• ИТ-инфраструктура производства вкупе с усиленной цифровизацией процессов производства приводит к появлению масштабных геораспределённых систем. Это увеличивает поверхность возможных кибератак.
• На геораспределенных площадках сложнее контролировать эффективность деятельности штатных сотрудников. Особенно сложно осуществлять контроль, если политики безопасности исключают применение ИТ-инструментов для централизованного управления.

Менеджер продукта UDV DATAPK Industrial Kit Федор Маслов
Фото: UDV Group

Предлагая заказчикам новую версию UDV DATAPK Industrial Kit 3.0 – нашего комплексного решения для обеспечения кибербезопасности АСУ ТП, мы позаботились, чтобы лица, ответственные за распределённую или геораспределённую инфраструктуру АСУ ТП, получили удобный инструмент для обеспечения видимости и контроля. Новый компонент Supervision дает такую возможность.

Supervision является «верхушкой» в иерархии компонентов UDV DATAPK Industrial Kit. Он позволяет отслеживать состояние киберзащищенности всего ландшафта АСУ ТП и работоспособность компонентов системы более низкого уровня в «едином окне», агрегировать данные о состоянии защищенности удаленных технологических площадок, централизованно управлять пользовательскими учетными записями уровней Management и самого Supervision, что особенно важно в отсутствие штатных средств управления доменом. Удобные панели мониторинга помогают отслеживать тренды и получать ценные инсайты, чтобы фокусироваться на том, что действительно важно для ИБ в текущий момент времени.

Как Supervision изменяет подход к контролю защищённости АСУ ТП

Отчасти Supervision – преемник «уровня предприятия» предыдущих версий UDV DATAPK Industrial Kit. Но есть серьезные концептуальные отличия. В новых версиях UDV DATAPK Industrial Kit мы пересмотрели архитектуру продукта и перераспределили различные функции между тремя компонентами, чтобы решение лучше соответствовало современным потребностям пользователей. Теперь все функции уникальны и разнесены по трем компонентам:

• Компонент Sensor получает копию сетевого трафика и взаимодействует с активами, собирает данные;
• Компонент Management получает данные от Sensor, анализирует их, трансформирует, а затем предоставляет результаты анализа в веб-интерфейсе, с которым взаимодействуют пользователи: инженеры по ИБ и АСУ ТП;
• Компонент Supervision получает данные от Management, формирует метрики и превращает их в информативные виджеты, размещенные на панелях мониторинга, а также позволяет централизованно управлять уникальными функциями, ранее не представленными в решении. С его веб-интерфейсом взаимодействуют руководители и ведущие специалисты подразделений по ИБ и АСУ ТП.

Supervision появился в недавно выпущенной версии UDV DATAPK Industrial Kit 3.0. Компонент был спроектирован с нуля, а его ключевые цели – предоставлять руководителям и ведущим инженерам аналитические данные и помогать принимать обоснованные управленческие решения, а владельцам системы – дать возможность сокращать расходы на эксплуатацию.

Источник: UDV Group

Типичный кейс – предприятие запускает новую удаленную промышленную площадку, внедряет там средства защиты информации. Руководитель нанимает команду, которая будет обеспечивать защищённость этой площадки. Из веб-интерфейса Supervision управленец получит всю информацию о том, что происходит на удаленной площадке, какое количество уязвимостей было устранено, с достаточной ли скоростью разбираются инциденты и подозрения на них удаленными сотрудниками. При запуске новой площадки и увеличении количества активов сразу будет виден рост количества уязвимостей, что вполне логично для данной ситуации. Supervision помогает выявлять процессные проблемы, требующие внимания руководителей и отследить эффективность их устранения.

Что могут ИТ- и ИБ-директора с помощью Supervision

ИБ-доменов в АСУ ТП достаточно много, каждый из них имеет свою специфику. Supervision позволяет контролировать все направления, покрываемые UDV DATAPK Industrial Kit: анализ сетевого трафика, управление уязвимостями и конфигурациями, выявление аномалий в программируемых логических контроллерах (ПЛК), контроль исходного кода проектов ПЛК, управление внешними событиями. Нередки случаи, когда на предприятии всё хорошо с управлением уязвимостями, но плохо контролируется сетевой трафик, присутствуют нелегитимные сетевые соединения и «теневые активы». Supervision позволяет отслеживать весь объем такой информации на единой панели мониторинга и принимать решения по улучшению ситуации.

Источник: UDV Group

Что именно «умеет» Supervision?

• Даёт общую статистическую информацию по всем поддерживаемым доменным направлениям, связанным с ИБ АСУ ТП.
• Показывает все данные не только в виде статистической информации, но и в динамике. В решении есть графики, которые позволяют отслеживать тот или иной параметр, изменение его значений с течением времени.
• Подсвечивает некоторые явные проблемы – например, показывает площадки с наибольшим количеством открытых инцидентов; инциденты, которые наибольшее время находятся в работе и до сих пор не решены.
• Сортирует инциденты по категориям, показывает, какие именно категории встречаются в том или ином ландшафте чаще всего.
• Отслеживает состояние защищённости активов: с помощью Supervision можно выявлять, например, площадки, где инциденты устраняются особенно быстро относительно среднего времени, а затем – премировать ответственных сотрудников. Или, наоборот, видеть, на каких площадках работа проводится медленно, своевременно принимать необходимые управленческие меры.
• Отслеживает доступность компонентов системы: показывает, какие компоненты уровня Management и Sensor были недоступны, когда это происходило и сколько времени продолжалось.

Источник: UDV Group

Помимо этого, в Supervision есть отдельная панель мониторинга для нового модуля контроля версий (Version Control), который позволяет централизованно управлять исходным кодом проектов ПЛК. С помощью данной панели можно проверять, исходный код каких ПЛК не защищен, как часто происходит сбор данных с ПЛК, а также убедиться, что версии ПО на ПЛК соответствуют ожидаемым. Также панель отображает все изменения, которые производились в исходном коде проектов сотрудниками, которые используют UDV DATAPK Industrial Kit в процессе безопасной разработки программного обеспечения для ПЛК. При этом в Supervision агрегируются данные со всех удалённых площадок, со всех компонентов уровня Management.

Источник: UDV Group

Источник: UDV Group

Кроме того, Supervision является альтернативной точкой хранения исходного кода проектов ПЛК – данные из существующих репозиториев исходного кода на Management непрерывно реплицируются на Supervision. Это позволяет организациям оперативно восстанавливать версии исходного кода проектов даже в критических ситуациях, например, когда компонент Management был утерян, и восстанавливать технологические процессы за минимальное время.

Подсвечивать критичные проблемы на площадках, требующие внимания, помогают специализированные виджеты на панелях мониторинга – так называемые топ-виджеты. Они подсвечивают самые проблемные места внутри того или иного домена АСУ ТП. Пример - виджет, который показывает удалённые площадки, отсортированные по среднему времени на устранение инцидентов. Разумеется, мы предусмотрели аналогичные виджеты и для других данных о состоянии ИБ.

Источник: UDV Group

Преимущества централизованного управления пользователями и ролями

В UDV DATAPK Industrial Kit изначально была реализована ролевая модель, всегда была возможность классического управления пользователями. На уровне Management, согласно ролевой модели, можно наделять пользователей правами, устанавливать парольные политики и так далее. Но мы сталкивались с тем, что на удалённых площадках зачастую нет программных средств для управления доменом, а это делает невозможным централизованное управление пользователями в контексте всей организации, что приводит к дополнительным рискам для информационной безопасности.

Supervision даёт организациям инструмент для централизованного управления пользователями всей системы, если заказчик не готов отдавать управление на места в удалённые филиалы и площадки. Организация может активировать соответствующую опцию и централизовано создавать пользователей, управлять их доступом. Причём для одной и той же учётной записи можно назначить различные права доступа для разных промышленных площадок.

При централизованном управлении пользователями снижаются ИБ-риски, поскольку управление осуществляется малым количеством авторизованных людей. Процесс управления не только становится централизованным, но и упрощается: не требуется создавать пользователей вручную на разных серверах, сокращаются трудозатраты.

Если же организация заинтересована в децентрализованном управлении пользователями, она может просто не включать данную опцию и продолжить управлять пользователями системы индивидуально на каждом из компонентов Management.

Взаимодействие Supervision с другими компонентами UDV DATAPK Industrial Kit

Supervision не взаимодействует с уровнем Sensor, который устанавливается непосредственно производстве, чаще всего в сегменте АСУ ТП.

Supervision и Management взаимодействуют напрямую, по аналогии со связкой Sensor и Management, канал связи между этими компонентами защищен встроенным в решение VPN, что позволяет организовать надежную передачу данных в условиях сегментации сети.

Отмечу интересный момент: именно Supervision инициирует подключение к Management. Чтобы авторизовать Management для подключения, пользователь должен выполнить определенные действия, которые позволяют гарантировать легитимность обоих компонентов.

Какие предприятия могут быть пользователями Supervision

При проектировании Supervision мы ориентировались на крупные организации промышленного сегмента с геораспределёнными площадками на всей территории РФ. Однако решение также можно использовать и в компаниях, которые не имеют такой сложной инфраструктуры, но желают использовать те же возможности, что и крупные организации. Supervision можно развернуть даже в рамках одного завода или небольшой производственной площадки – на это нет никаких технических ограничений.

Резюмируя все сказанное выше, подчеркну: руководителям, участвующим в обеспечении кибербезопасности любого промышленного предприятия, Supervision уже сегодня может помочь принимать обоснованные управленческие решения на базе аналитических данных, полезных панелей мониторинга, повысить защищенность благодаря централизованному управлению пользователями всей системы.

В дальнейшем мы планируем продолжить развитие в Supervision функций централизованного мониторинга ИБ АСУ ТП и управления, дать нашим клиентам больше инструментов для того, чтобы эффективнее отслеживать защищенность промышленного ландшафта в «едином окне» и управлять артефактами, которые присутствуют в UDV DATAPK Industrial Kit, тем самым повышая уровень безопасности промышленного производства, при этом экономя расходы на эксплуатацию.

Автор: Федор Маслов, менеджер продукта UDV DATAPK Industrial Kit