88,09
Рейтинг
ROI4CIO
Сервисы для покупателей и продавцов ИТ.

Кибербезопасность промышленных сетей: угрозы и решения

Блог компании ROI4CIOИнформационная безопасность
Эта статья условно разделена на две части. В первой мы рассмотрим общие проблемы безопасности систем типа АСУ ТП, их слабые места и теоретические способы защиты. Во второй части — ознакомимся с аппаратными и программными продуктами защиты, сравним их по основным параметрам: обнаружение угроз нулевого дня и аномалий, интеграция, анализ трафика, инвентаризация устройств, особенности.

Угрозы


Термин АСУ появился как только в системы управления была внедрена вычислительная техника. Первые простейшие АСУ состояли всего из двух уровней: сбор информации и принятие решения. Информация поступала от объекта управления оператору, который обменивался данными с ЭВМ и осуществлял управление объектом. Здесь вычислительные мощности выступали в качестве помощника к человеческому управлению и принятию решений.

Со времен первых ЭВМ автоматизированные системы управления технологическим процессом совершили гигантский скачок. Но их особенностью до сих пор остается автоматизированный машинный процесс, за которым следит человек.

Эти системы предназначены для использования исключительно в технологических процессах. Будучи задействованными в критически важных инфраструктурах, АСУ ТП строятся на основе отказоустойчивой, высоконадежной вычислительной техники. Это техника промышленного исполнения созданная специально для долговременной, круглосуточной эксплуатации на индустриальных объектах. Последствия сбоя или отказа работы систем представляет серьезную угрозу для оборудования, для жизни и здоровья людей.

Несмотря на такую ответственность бесперебойности процесса, о необходимости повышать уровень безопасности АСУ ТП заговорили только недавно. Массовый интерес к теме привлекли вирусные атаки, ставшие регулярными где-то с середины 2010-тых. Вот, например, некоторые из атак, случившихся за последнее десятилетие:

  • В 2012 году был обнаружен вирус Flame, атаковавший иранские ядерные объекты, гос.учреждения и промышленные объекты многих стран. Большего всего пострадали Индия и Китай.
  • В 2014 году хакерам удалось проникнуть в компьютер сталелитейного завода, управляющего доменной печью и установить вредоносную программу, что заставила печь перегреться и расплавиться.
  • В августе 2017 года, после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке, был обнаружен вредонос Triton, известный еще как Trisis/HatMan.

    Triton был предназначен для автоматического завершения промышленных процессов или перевода системы в небезопасный режим. Проникнув в сеть предприятия, злоумышленники выжидали почти год, незаметно изучая ее и только затем использовали доступ к автоматической системе функциональной безопасности.
  • В феврале 2018 г. в СМИ появилось сразу несколько сообщений о заражении промышленных предприятий вредоносным программным обеспечением с функцией майнинга криптовалюты. В одной из водоочистных станций в Европе зараженными оказались четыре сервера под управлением операционной системы Windows XP. Вредоносное ПО замедляло работу HMI и SCADA-серверов, используемых для мониторинга технологических процессов.
  • В июне 2018 г. стало известно о масштабной кибератаке с территории Китая на телекоммуникационные предприятия, операторов спутников связи и некоторых оборонных объектов США и Азии. В ходе атаки злоумышленники инфицировали компьютеры, используемые для управления спутниками связи и сбора данных геопозиций.
  • В 2018 году злоумышленникам удалось получить доступ к серверам, на которых располагались компоненты медицинской информационной системы «МЕДИАЛОГ» в Тюмени, Россия. Система использовалась в качестве базы данных для снимков, результатов анализов и другой информации, необходимой в процессе лечения пациентов.

    В результате, в момент экстренной операции на головном мозге 13-летней пациентки, обнаружилось, что система «МЕДИАЛОГ» недоступна из-за того, что файлы, необходимые для работы сервисов, были зашифрованы вредоносной программой (операцию удалось завершить вручную).

Уязвимости


“АСУ ТП имеет стандартную трехзвенную структуру, и какой бы ни была ее отказоустойчивость, средний уровень — SCADA-системы, — является наиболее уязвимым и позволяет злоумышленнику производить ряд манипуляций с технологическим процессом, в том числе вопреки отказоустойчивости. Важно при этом отметить, что последняя имеется обычно на уровне механики. На уровне же управления этой механикой — да, кое-где есть сигнализация, но в целом, если оператор отдаст команду принудительно повысить давление, то давление повысится. Если прикажет «все датчики отключить» – все датчики отключаются, и так далее. При этом и отказоустойчивость встречается не всегда. Допустим, в серьезных системах атомной энергетики она действительно присутствует, там выполняется двойное или тройное резервирование и к вопросам безопасности вообще подходят ответственно. Но в нефтегазовой отрасли, в промышленности, в энергетике все обстоит несколько иначе.”
— Алексей Косихин, руководитель направления по работе с ТЭК Центра информационной безопасности компании «Инфосистемы Джет»

Среди киберугроз, свойственных АСУ ТП, можно выделить три класса:

  • угрозы техногенного характера;
  • угрозы антропогенного характера;
  • угрозы несанкционированного доступа.

К угрозам техногенного характера относится физическое влияние на компоненты АСУ ТП. К антропогенным — преднамеренные и непреднамеренные действия людей, занятых обслуживанием АСУ ТП, ошибки персонала, ошибки в организации работ с компонентами АСУ ТП. Угрозы несанкционированного доступа для АСУ ТП рассматриваются при наличии взаимодействия ее компонентов с локальной вычислительной сетью предприятия. Такая связь существует для передачи информации о состоянии технологической среды и управления воздействиями на технологические объекты.

На общую защищенность систем влияет переплетение этих факторов. Это и отказ даже минимальных мер безопасности, и использование Windows как основной операционной системы для рабочих станций и серверов, и слабая дисциплина сотрудников.

Защита


Реализация системы Информационной Безопасности АСУ ТП представляет собой комплексную задачу. Ее решение зависит от выполнения правил на всех уровнях:

  • административный: формирование руководством программы работ по информационной безопасности;
  • процедурный: определение норм и правил для персонала, обслуживающего сеть;
  • программно-технический: управление доступом;
  • обеспечение целостности;
  • обеспечение безопасного межсетевого взаимодействия;
  • антивирусная защита;
  • анализ защищенности;
  • обнаружение вторжений;
  • непрерывный мониторинг состояния, выявление инцидентов, реагирование.

Системы контроля уязвимостей — один из эффективных методов противодействия промышленным киберугрозам. Это узкопрофильные программы, разработанные специально для промышленных систем автоматизации. Они позволяют определить целостность внутренней среды устройства, зафиксировать все попытки изменить прикладную программу контроллера, изменения в конфигурации сетевых устройств защиты и управления в энергосетях.

Многие разработчики продуктов кибербезопасности в первую очередь указывают на необходимость повышения видимости внутри сети. Как показывает опыт, это действительно важно. Незамеченная вовремя компрометация сети может работать месяцами с неактивированными эксплойтами. Специализированные средства обнаружения и предотвращения киберугроз позволяют не только обнаружить уязвимости, но и выявляют угрозы нулевого дня.

Много рисков информационной безопасности связано с устаревшим оборудованием и программным обеспечением — например, существуют системы SCADA, которые способны работать только с Windows NT или Windows 98. Некоторые из таких рисков можно снизить при помощи современных технологий виртуализации, но это не всегда возможно. С этим связан еще один тип защиты — изоляция. Серверы SCADA и OPC (OLE for Process Control), PLC и другие компоненты систем автоматизированного управления должны быть изолированы от Интернета.

Отдельно стоить выделить платформы для создания распределенной инфраструктуры ложных целей, DDP (Distributed Deception Platform). Они позволяют развернуть сеть поддельных устройств-приманок, практически неотличимых от реальных, что привлекают злоумышленников.

Теперь, когда у нас есть общее представление о том, как должна работать киберзащита АСУ ТП, мы переходим ко второй части этой статьи. Она будет посвящена обзору практических защитных решений, представленных в таблице сравнения.

Для статьи мы выбрали лишь некоторые ключевые пункты из таблицы, такие как обнаружение угроз нулевого дня, интеграции, обнаружение аномалий и анализ трафика, инвентаризация устройств, особенности продукта.

Решения


Dragos Industrial Cybersecurity Platform


Dragos — компания из США, основанная в 2016 году. Несмотря на свой “юный” возраст, она уже успела получить множество мировых наград в области киберзащиты индустриальных систем.

Это команда экспертов, специализирующаяся на защитных промышленных решениях и Интернете вещей. Их флагманским продуктом является именно платформа, но также Dragos предоставляет услуги реагирования на инциденты, анализ угроз вашей сети и проводит тренинги по кибербезопасности.

Dragos Industrial Cybersecurity Platform — это защитное решение для промышленных сетей, которое автоматически находит и идентифицирует активы сети. Программа сканирует активы, находя неправильные настройки, возможности улучшения конфигурации.

В случае выявления подозрительной активности, платформа предоставляет пошаговое руководство к расследованию и реагированию на инцидент и инструменты для устранения неполадок.



Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика: да
Интеграции: SIEM
Поддерживаемые системы: DCS, PLC
Особенность: пошаговое руководство по управлению безопасностью от экспертов команды, оформленное в плейбук.

CyberX OT


До создания CyberX, ее команда успела поработать в сфере защиты критических инфраструктур США. Их гордостью, кроме защиты на уровне Пентагона и сотрудничества с лидерами мирового рынка, является запатентованный способ машинного обучения. Именно благодаря ему их продукты молниеносно выявляют любые аномалии в индустриальных сетях.



Работа платформы CyberX OT базируется на пяти ключевых элементах: поведенческий анализ активов для выявления любых нетипичных действий; мониторинг нарушения протоколов; обнаружение зловредных агентов (в том числе продвинутых угроз); нахождение операционных неполадок; выявление связей между машинами, которые не должны “коммуницировать”.

Решение способно полноценно интегрироваться в ваш стэк безопасности благодаря открытому API. Такая интеграция решит проблему безопасности как в ИТ-среде так и в промышленной среде.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: да
Обнаружение аномалий: да
Анализ трафика: да
Интеграции: файрвол, CMDB, IDS/IPS, SIEM, SOC
Поддерживаемые системы: DCS, PLC, RTU
Особенность: самообучаемая машинная аналитика, которая сводит ложные срабатывания к нулю.

Cyberbit SCADASchield


С 2015 года Cyberbit поставляет на рынок решения по кибербезопасности. Специализация компании — эмуляция атак и тренинги команд информационной безопасности, защита конечных точек, защита промышленных сетей, оркестровка и автоматизация систем безопасности.

SCADAShield обеспечивает беспрецедентную видимость в сети, обнаружение известных и неизвестных аномалий и ошибки в операционных технологиях. А благодаря 7-уровневой глубокой проверке пакетов (DPI) решение находит отклонения от эксплуатационных ограничений.

Визуальное отображение всей вашей сети происходит в режиме реального времени и включает IP и не IP-устройства.



Характеристики:

Инвентаризация устройств: нет
Обнаружение угроз нулевого дня: да
Обнаружение аномалий: да
Анализ трафика: нет
Интеграции: Cyberbit EDR, SIEM
Поддерживаемые системы: N/A
Особенность: формирование карты информационных потоков между активами сети, автоматическое формирование правил

Claroty Platform


Миссия Claroty — защита индустриальных сетей. Это команда, сформированная из профессионалов из разных областей знаний: там есть и бывший адмирал по кибербезопасности армии США, и специалист по космическому проектированию, и специалист по страхованию.

Claroty Platform предоставляет группам безопасности исключительную видимость в промышленных сетях управления и мониторинг в режиме реального времени. Мониторинг способен распознать продвинутые угрозы и вовремя выявить уязвимости сети.



Платформа позволяет сегментировать сеть, контролировать и предоставлять безопасный удаленный доступ, составлять детализированные политики доступа и записывать сеансы.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: да
Обнаружение аномалий: да
Анализ трафика: нет
Интеграции: SIEM, SOC
Поддерживаемые системы: HMI, PLC
Особенность: управление удаленным доступом, ускоренное и четкое реагирование на инциденты безопасности

Veracity Cerebellum


Цель Veracity — сделать вашу промышленную сеть отказоустойчивой и безопасной. Компания поставляет локальное, централизованное решение для оптимальной конфигурации, управления и мониторинга сети.



Флагманский продукт, Veracity Cerebellum, разработан по аналогии с мозжечком человека. Функция мозжечка — принимать сигналы от спинного и головного мозга, сенсорных систем и на основе данных регулировать движения тела.

Платформа Veracity Cerebellum выполняет аналогичные функции в промышленных сетях. Она реагирует на сенсорные данные и управляет заранее спроектированной реакцией производственного процесса.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика: да
Интеграции: OT
Поддерживаемые системы: N/A
Особенность: создание моделей безопасности по шаблонам или с нуля, развернутое управление устройствами в сети (в т.ч карантин), сегментация сети и выделение безопасных зон

Waterfall Unidirectional Security Gateways


Waterfall Security Solutions защищает критически важные промышленные сети с 2007 года. Unidirectional Security Gateway — их запатентованное решение, обеспечивающие надежную интеграцию и обмен данными между сетями ИТ и ОТ. Это решение позволяет проводить облачный удаленный мониторинг и диагностику, защищает от несанкционированного доступа. При этом оно лишено уязвимостей, которые есть при соединении через брандмауэр.

Unidirectional Security Gateways обеспечивает аппаратную защиту периметра сети. Решение состоит из аппаратного (модуль TX — оптоволоконный передатчик, модуль RX — оптический приемник) и программного компонента (соединители промышленного прикладного ПО).



Такая конфигурация обеспечивают одностороннюю передачу и репликацию серверной информации из сети OT во внешнюю сеть, при этом предотвращая распространение любого вируса, атаки DOS, человеческой ошибки или любой кибератаки.

Характеристики:

Инвентаризация устройств: нет
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика: да
Интеграции: IT/OT
Поддерживаемые системы: N/A
Особенность: репликация серверов, эмуляция промышленных устройств, перевод промышленных данных в облачные форматы

Nozomi Networks Guardian


Nozomi Networks предлагает единое решение для контроля кибер рисков в режиме реального времени. Высокая точность и минимальность ложных срабатываний достигается за счет инновационного использования искусственного интеллекта и машинного обучения.

Технологии Nozomi Networks Guardian позволяют ему автоматически отображать и визуализировать всю вашу промышленную сеть, включая активы, соединения и протоколы. Решение отслеживает сетевые коммуникации и поведение на предмет рисков и предоставляет информацию, необходимую для быстрого реагирования.



Интегрированная инфраструктура безопасности включает встроенные интеграции для систем управления активами, тикетами и идентификацией, SIEM.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: да
Обнаружение аномалий: да
Анализ трафика: да
Интеграции: IT/OT, SOC
Поддерживаемые системы: N/A
Особенность: масштабируемость, визуализация сети, продвинутое распознавание аномалий и угроз, самообучаемость

Indegy Industrial Cybersecurity Suite


Основанная с целью защиты промышленных сетей, команда Indegy может похвастаться уникальным сочетанием опыта в области кибербезопасности и практическими знаниями в области промышленного контроля.

В руководящие и научно-исследовательские группы компании входят специалисты по безопасности, промышленной эксплуатации и обороне, в том числе несколько выпускников элитных израильских подразделений кибербезопасности.

Развернутое как сетевое или виртуальное устройство, безагентное решение Indegy Industrial Cybersecurity Suit предоставляет комплексные инструменты безопасности для персонала Информационной Безопасности и инженеров OT.



Платформа обеспечивает отслеживание активов, обнаружение и смягчение угроз, управление уязвимостями и обеспечение целостности устройства. Она способна защитить сеть не только от зловредного вмешательства, но и от непреднамеренных человеческих ошибок.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика:
Интеграции: CMDB, SIEM
Поддерживаемые системы: DCS, PAC, PLC, RTU
Особенность: безагентное подключение к сети, оповещения на основе настраиваемых политик и их рассылка по почте, технология активного обнаружения для обеспечения целостности устройств

ICS CyberVision


Sentryo была основана двумя предпринимателями и ветеранами в сфере информационной безопасности. Теперь они применяют свой многолетний опыт работы в среде программного обеспечения, хакерства и киберзащиты в мире промышленной кибербезопасности.

Компания разработала уникальные алгоритмы ИИ для предоставления полной информации о промышленных активах. Их искусственный интеллект способен выявлять уязвимости, обнаруживать аномалии в режиме реального времени и совместно работать с ИТ-командой, отражая кибератаку.

ICS CyberVision использует уникальный язык OT для автоматической маркировки каждого актива и сетевой активности. За счет этого вы сразу видите функции устройства, марки систем, используемые протоколы, поведение OT или IT и сведения о сети.



Решение позволяет группировать активы и определять их «влияние на промышленность», чтобы вы сами могли приоритизировать действия в соответствии с целями безопасности.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика: нет
Интеграции: файрвол, CMDB, SIEM, SOC
Поддерживаемые системы: N/A
Особенность: пассивный мониторинг без влияния на систему, контекстуализированные события, группировка и приоритизация активов в сети по их влиянию на безопасность

Forescout Platform


Forescout, основанная в 2000 году, разрабатывает в собственной лаборатории решения для видимости устройств, контроля поведения и кибербезопасности любого типа сетевого устройства. Их команда стремится улучшить способность организаций выявлять, понимать и управлять угрозами, связанными с постоянно расширяющейся экосистемой устройств.

Forescout Platform — единая платформа безопасности, которая позволяет получать полную ситуационную осведомленность о корпоративной среде и организовывать действия по снижению любых рисков.

Продукт позволяет применять адаптивные, детализированные политики и
быстро просматривать результаты, используя существующую физическую и виртуальную сетевую инфраструктуру.



Платформа масштабируется на 2 миллиона устройств за одно развертывание в инфраструктуре предприятия, центре обработки данных, облачных сетях и сетях OT.

Характеристики:

Инвентаризация устройств: да
Обнаружение угроз нулевого дня: нет
Обнаружение аномалий: да
Анализ трафика: нет
Интеграции: CMDB
Поддерживаемые системы: N/A
Особенность: масштабируемость, динамическое сегментирование устройств, исправление несовместимых устройств во время подключения

Рассмотрев все продукты, условно их можно сгруппировать так:


Более детальный перечень функций каждого из решений вы можете посмотреть в таблице сравнения, а составить собственную таблицу сравнения с интересующими вас решениями здесь.

Автор: Наталка Чех, для ROI4CIO
Теги:АСУ ТПинформационная безопасностьпромышленные сети
Хабы: Блог компании ROI4CIO Информационная безопасность
+2
1,9k 14
Комментарии 2

Лучшие публикации за сутки