В кругу специалистов подобный ажиотаж воспринимается довольно спокойно – ничего кардинально нового не случилось. Разве что угрозы, связанные с возможным нарушением работы критически важных объектов и риски, которые они несут, все чаще становятся достоянием общественности. Что характерно, о них и ранее было известно, но лишь специалистам, погруженным в тему безопасности АСУ ТП.
К сожалению, серьезных изменений уровня информационной безопасности критически важных объектов при этом не произошло. Виной тому чаще всего является недостаточная убежденность владельцев компаний в целесообразности вложений в данном направлении. Ведь, как и классическая, корпоративная информационная безопасность, ИБ промышленного сегмента со стороны бизнеса выглядит как объект для инвестиций без ощутимой отдачи. Дискутировать о корректности подобного утверждения можно долго, но зачастую попытки специалистов служб ИБ донести актуальность задачи до представителей бизнеса встают перед непреодолимой стеной скепсиса и со стороны технологических подразделений. И один из ключевых вопросов в этом случае звучит так: «Не нарушит ли внедрение тех или иных средств защиты штатную работоспособность объекта и не затруднит ли его эксплуатацию?»
Прекрасно известно, что обеспечение безопасности всегда заставляет искать неуловимую точку баланса между удобством и уровнем защищенности. Так происходит и в том случае, когда речь идет об уровне защищенности технологических объектов.
На практике решение данной задачи, как правило, сводится к выбору преимущественно средств пассивного обеспечения безопасности. Под ними мы подразумеваем решения, не содержащие в себе функционала блокирования, внедрение которых проходит неинвазивным способом – без сколь угодно серьезного вмешательства в технологический процесс и инфраструктуру. Учитывая, что парадигма «конфиденциальность–доступность–целостность» в данных условиях меняет приоритет составляющих в пользу доступности и целостности, такой подход оправдан.
Для защиты технологического сегмента предприятий в полную силу действует принцип Парето. 20% ваших усилий по ИБ АСУ ТП способны принести 80% результата, поэтому мы предлагаем подробнее рассмотреть три наиболее актуальных класса решений, которые применимы для защиты с учетом вышеуказанных факторов.
Системы обнаружения вторжений (СОВ)
По большому счету СОВ – это один из компонентов сетевой защиты, которые могут и должны применяться еще на этапе формирования технологической инфраструктуры. Наряду с межсетевыми экранами данные решения обеспечивают безопасность периметра технологического сегмента предприятия, а также выделенных сегментов сети. В наших реалиях, когда в первую очередь речь идет об уже существующих объектах, внедрение сетевых средств обнаружения вторжений – не самая трудоемкая задача. Формирование демилитаризованной зоны на уровне периметра сети с применением данных средств позволит существенно повысить уровень сетевой защищенности, не затрагивая при этом самих технологических процессов. Однако важным фактором является понимание разницы между системами обнаружения и предотвращения вторжений. Первые при выявлении вредоносной или аномальной активности будут предупреждать и оповещать службы ИБ, что полностью вписывается в канву пассивной безопасности. Вторые же изначально созданы для активных действий: блокировки нелегитимного трафика, реконфигурации правил межсетевых экранов и т.п. И несмотря на продвижение подобных «активных» решений рядом производителей, их применимость для защиты технологической сети оправданно вызывает критические сомнения среди специалистов.
Контроль привилегированных пользователей
На промышленных объектах ряд задач, возложенных на внутренние службы представителей дочерних сервисных компаний и подрядных организаций зачастую выполняется удаленно. Для специалиста в области безопасности данный фактор сразу виден как потенциальный источник угрозы. Но ввиду слабой погруженности служб ИБ в особенности работы технологического сегмента, контролю удаленных подключений к технологическим системам, как правило, не уделяют должного внимания. Даже если исключить вариант злонамеренного воздействия со стороны самих представителей сервисных служб, сам факт наличия удаленного канала, который может быть скомпрометирован и использован злоумышленником, заставляет задумать о необходимости контроля оного. При этом многообразие вариантов реализации средств мониторинга за действиями так называемых привилегированных пользователей позволяет прозрачно и безболезненно для промышленного сегмента осуществлять мониторинг их действий и детектировать попытки нештатного подключения.
Корреляция инцидентов и мониторинг событий ИБ
Безусловно, одним из ключевых решений в области ИБ являются средства корреляции и мониторинга. В случае корпоративной ИБ они позволяют избавиться от необходимости следить за различными консолями средств защиты и вручную анализировать получаемые с них события, максимально автоматизировав и упростив этот процесс. Когда же речь идет о технологическом сегменте предприятий, где необходим круглосуточный контроль исправности промышленных систем, помимо вышеуказанного функционала, данные решения могут и должны стать одним из компонентов комплексного ситуационного центра. В его рамках формируется единая точка отслеживания как технических показателей систем и контроль процессов, так и мониторинг, и управление информационной безопасностью предприятия.
Кроме вышеуказанных решений, безусловно, не стоит забывать и о контроле рабочих станций, анализе технологического трафика, использовании специализированных межсетевых экранов в технологической сети и других актуальных решениях. Но, даже сфокусировав свое внимание только на вышеописанных направлениях, уже в ближайшей перспективе можно серьезно повысить уровень информационной безопасности промышленного сегмента своей компании.
Подводя итоги, стоит отметить, что приступая к проекту по защите технологического сегмента предприятий, главное – осознать текущий уровень ИБ, сформировать цели, внутренние требования и заручиться поддержкой надежного, квалифицированного и опытного партнера.