При наличии у промышленного предприятия разветвленной сети подразделений и филиалов его директора по ИТ и ИБ практически всегда сталкиваются со следующими вызовами:
Менеджер продукта UDV DATAPK Industrial Kit Федор Маслов
Фото: UDV Group
Предлагая заказчикам новую версию UDV DATAPK Industrial Kit 3.0 – нашего комплексного решения для обеспечения кибербезопасности АСУ ТП, мы позаботились, чтобы лица, ответственные за распределённую или геораспределённую инфраструктуру АСУ ТП, получили удобный инструмент для обеспечения видимости и контроля. Новый компонент Supervision дает такую возможность.
Supervision является «верхушкой» в иерархии компонентов UDV DATAPK Industrial Kit. Он позволяет отслеживать состояние киберзащищенности всего ландшафта АСУ ТП и работоспособность компонентов системы более низкого уровня в «едином окне», агрегировать данные о состоянии защищенности удаленных технологических площадок, централизованно управлять пользовательскими учетными записями уровней Management и самого Supervision, что особенно важно в отсутствие штатных средств управления доменом. Удобные панели мониторинга помогают отслеживать тренды и получать ценные инсайты, чтобы фокусироваться на том, что действительно важно для ИБ в текущий момент времени.
Отчасти Supervision – преемник «уровня предприятия» предыдущих версий UDV DATAPK Industrial Kit. Но есть серьезные концептуальные отличия. В новых версиях UDV DATAPK Industrial Kit мы пересмотрели архитектуру продукта и перераспределили различные функции между тремя компонентами, чтобы решение лучше соответствовало современным потребностям пользователей. Теперь все функции уникальны и разнесены по трем компонентам:
Supervision появился в недавно выпущенной версии UDV DATAPK Industrial Kit 3.0. Компонент был спроектирован с нуля, а его ключевые цели – предоставлять руководителям и ведущим инженерам аналитические данные и помогать принимать обоснованные управленческие решения, а владельцам системы – дать возможность сокращать расходы на эксплуатацию.
Источник: UDV Group
Типичный кейс – предприятие запускает новую удаленную промышленную площадку, внедряет там средства защиты информации. Руководитель нанимает команду, которая будет обеспечивать защищённость этой площадки. Из веб-интерфейса Supervision управленец получит всю информацию о том, что происходит на удаленной площадке, какое количество уязвимостей было устранено, с достаточной ли скоростью разбираются инциденты и подозрения на них удаленными сотрудниками. При запуске новой площадки и увеличении количества активов сразу будет виден рост количества уязвимостей, что вполне логично для данной ситуации. Supervision помогает выявлять процессные проблемы, требующие внимания руководителей и отследить эффективность их устранения.
ИБ-доменов в АСУ ТП достаточно много, каждый из них имеет свою специфику. Supervision позволяет контролировать все направления, покрываемые UDV DATAPK Industrial Kit: анализ сетевого трафика, управление уязвимостями и конфигурациями, выявление аномалий в программируемых логических контроллерах (ПЛК), контроль исходного кода проектов ПЛК, управление внешними событиями. Нередки случаи, когда на предприятии всё хорошо с управлением уязвимостями, но плохо контролируется сетевой трафик, присутствуют нелегитимные сетевые соединения и «теневые активы». Supervision позволяет отслеживать весь объем такой информации на единой панели мониторинга и принимать решения по улучшению ситуации.
Источник: UDV Group
Что именно «умеет» Supervision?
Источник: UDV Group
Помимо этого, в Supervision есть отдельная панель мониторинга для нового модуля контроля версий (Version Control), который позволяет централизованно управлять исходным кодом проектов ПЛК. С помощью данной панели можно проверять, исходный код каких ПЛК не защищен, как часто происходит сбор данных с ПЛК, а также убедиться, что версии ПО на ПЛК соответствуют ожидаемым. Также панель отображает все изменения, которые производились в исходном коде проектов сотрудниками, которые используют UDV DATAPK Industrial Kit в процессе безопасной разработки программного обеспечения для ПЛК. При этом в Supervision агрегируются данные со всех удалённых площадок, со всех компонентов уровня Management.
Источник: UDV Group
Источник: UDV Group
Кроме того, Supervision является альтернативной точкой хранения исходного кода проектов ПЛК – данные из существующих репозиториев исходного кода на Management непрерывно реплицируются на Supervision. Это позволяет организациям оперативно восстанавливать версии исходного кода проектов даже в критических ситуациях, например, когда компонент Management был утерян, и восстанавливать технологические процессы за минимальное время.
Подсвечивать критичные проблемы на площадках, требующие внимания, помогают специализированные виджеты на панелях мониторинга – так называемые топ-виджеты. Они подсвечивают самые проблемные места внутри того или иного домена АСУ ТП. Пример - виджет, который показывает удалённые площадки, отсортированные по среднему времени на устранение инцидентов. Разумеется, мы предусмотрели аналогичные виджеты и для других данных о состоянии ИБ.
Источник: UDV Group
В UDV DATAPK Industrial Kit изначально была реализована ролевая модель, всегда была возможность классического управления пользователями. На уровне Management, согласно ролевой модели, можно наделять пользователей правами, устанавливать парольные политики и так далее. Но мы сталкивались с тем, что на удалённых площадках зачастую нет программных средств для управления доменом, а это делает невозможным централизованное управление пользователями в контексте всей организации, что приводит к дополнительным рискам для информационной безопасности.
Supervision даёт организациям инструмент для централизованного управления пользователями всей системы, если заказчик не готов отдавать управление на места в удалённые филиалы и площадки. Организация может активировать соответствующую опцию и централизовано создавать пользователей, управлять их доступом. Причём для одной и той же учётной записи можно назначить различные права доступа для разных промышленных площадок.
При централизованном управлении пользователями снижаются ИБ-риски, поскольку управление осуществляется малым количеством авторизованных людей. Процесс управления не только становится централизованным, но и упрощается: не требуется создавать пользователей вручную на разных серверах, сокращаются трудозатраты.
Если же организация заинтересована в децентрализованном управлении пользователями, она может просто не включать данную опцию и продолжить управлять пользователями системы индивидуально на каждом из компонентов Management.
Supervision не взаимодействует с уровнем Sensor, который устанавливается непосредственно производстве, чаще всего в сегменте АСУ ТП.
Supervision и Management взаимодействуют напрямую, по аналогии со связкой Sensor и Management, канал связи между этими компонентами защищен встроенным в решение VPN, что позволяет организовать надежную передачу данных в условиях сегментации сети.
Отмечу интересный момент: именно Supervision инициирует подключение к Management. Чтобы авторизовать Management для подключения, пользователь должен выполнить определенные действия, которые позволяют гарантировать легитимность обоих компонентов.
При проектировании Supervision мы ориентировались на крупные организации промышленного сегмента с геораспределёнными площадками на всей территории РФ. Однако решение также можно использовать и в компаниях, которые не имеют такой сложной инфраструктуры, но желают использовать те же возможности, что и крупные организации. Supervision можно развернуть даже в рамках одного завода или небольшой производственной площадки – на это нет никаких технических ограничений.
Резюмируя все сказанное выше, подчеркну: руководителям, участвующим в обеспечении кибербезопасности любого промышленного предприятия, Supervision уже сегодня может помочь принимать обоснованные управленческие решения на базе аналитических данных, полезных панелей мониторинга, повысить защищенность благодаря централизованному управлению пользователями всей системы.
В дальнейшем мы планируем продолжить развитие в Supervision функций централизованного мониторинга ИБ АСУ ТП и управления, дать нашим клиентам больше инструментов для того, чтобы эффективнее отслеживать защищенность промышленного ландшафта в «едином окне» и управлять артефактами, которые присутствуют в UDV DATAPK Industrial Kit, тем самым повышая уровень безопасности промышленного производства, при этом экономя расходы на эксплуатацию.
Автор: Федор Маслов, менеджер продукта UDV DATAPK Industrial Kit