Три наиболее актуальных класса решений ИБ АСУ ТП предприятия
Информационная безопасность Информационная безопасность

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

Главная>Информационная безопасность>ИБ АСУ ТП по принципу Парето
Информационная безопасность Тема номера

ИБ АСУ ТП по принципу Парето

Дата публикации:
22.12.2016
Посетителей:
256
Просмотров:
294
Время просмотра:
2.3

Авторы

Автор
Даниил Тамеев В прошлом - руководитель направления по работе с ПиТЭК Центра информационной безопасности компании «Инфосистемы Джет»
В наши дни термин «кибербезопасность» все чаще пестрит в новостных заголовках, а о мнимых и реальных хакерских угрозах не забывают упоминать даже региональные СМИ, не говоря уже о крупнейших федеральных каналах и печатных изданиях.

 

 

В кругу специалистов подобный ажиотаж воспринимается довольно спокойно – ничего кардинально нового не случилось. Разве что угрозы, связанные с возможным нарушением работы критически важных объектов и риски, которые они несут, все чаще становятся достоянием общественности. Что характерно, о них и ранее было известно, но лишь специалистам, погруженным в тему безопасности АСУ ТП.

 

К сожалению, серьезных изменений уровня информационной безопасности критически важных объектов при этом не произошло. Виной тому чаще всего является недостаточная убежденность владельцев компаний в целесообразности вложений в данном направлении. Ведь, как и классическая, корпоративная информационная безопасность, ИБ промышленного сегмента со стороны бизнеса выглядит как объект для инвестиций без ощутимой отдачи. Дискутировать о корректности подобного утверждения можно долго, но зачастую попытки специалистов служб ИБ донести актуальность задачи до представителей бизнеса встают перед непреодолимой стеной скепсиса и со стороны технологических подразделений. И один из ключевых вопросов в этом случае звучит так: «Не нарушит ли внедрение тех или иных средств защиты штатную работоспособность объекта и не затруднит ли его эксплуатацию?»

Прекрасно известно, что обеспечение безопасности всегда заставляет искать неуловимую точку баланса между удобством и уровнем защищенности. Так происходит и в том случае, когда речь идет об уровне защищенности технологических объектов.

 

На практике решение данной задачи, как правило, сводится к выбору преимущественно средств пассивного обеспечения безопасности. Под ними мы подразумеваем решения, не содержащие в себе функционала блокирования, внедрение которых проходит неинвазивным способом – без сколь угодно серьезного вмешательства в технологический процесс и инфраструктуру. Учитывая, что парадигма «конфиденциальность–доступность–целостность» в данных условиях меняет приоритет составляющих в пользу доступности и целостности, такой подход оправдан.

 

Для защиты технологического сегмента предприятий в полную силу действует принцип Парето. 20% ваших усилий по ИБ АСУ ТП способны принести 80% результата, поэтому мы предлагаем подробнее рассмотреть три наиболее актуальных класса решений, которые применимы для защиты с учетом вышеуказанных факторов.

 

Системы обнаружения вторжений (СОВ)

 

По большому счету СОВ – это один из компонентов сетевой защиты, которые могут и должны применяться еще на этапе формирования технологической инфраструктуры. Наряду с межсетевыми экранами данные решения обеспечивают безопасность периметра технологического сегмента предприятия, а также выделенных сегментов сети. В наших реалиях, когда в первую очередь речь идет об уже существующих объектах, внедрение сетевых средств обнаружения вторжений – не самая трудоемкая задача. Формирование демилитаризованной зоны на уровне периметра сети с применением данных средств позволит существенно повысить уровень сетевой защищенности, не затрагивая при этом самих технологических процессов. Однако важным фактором является понимание разницы между системами обнаружения и предотвращения вторжений. Первые при выявлении вредоносной или аномальной активности будут предупреждать и оповещать службы ИБ, что полностью вписывается в канву пассивной безопасности. Вторые же изначально созданы для активных действий: блокировки нелегитимного трафика, реконфигурации правил межсетевых экранов и т.п. И несмотря на продвижение подобных «активных» решений рядом производителей, их применимость для защиты технологической сети оправданно вызывает критические сомнения среди специалистов.

 

Контроль привилегированных пользователей

 

На промышленных объектах ряд задач, возложенных на внутренние службы представителей дочерних сервисных компаний и подрядных организаций зачастую выполняется удаленно. Для специалиста в области безопасности данный фактор сразу виден как потенциальный источник угрозы. Но ввиду слабой погруженности служб ИБ в особенности работы технологического сегмента, контролю удаленных подключений к технологическим системам, как правило, не уделяют должного внимания. Даже если исключить вариант злонамеренного воздействия со стороны самих представителей сервисных служб, сам факт наличия удаленного канала, который может быть скомпрометирован и использован злоумышленником, заставляет задумать о необходимости контроля оного. При этом многообразие вариантов реализации средств мониторинга за действиями так называемых привилегированных пользователей позволяет прозрачно и безболезненно для промышленного сегмента осуществлять мониторинг их действий и детектировать попытки нештатного подключения.

 

Корреляция инцидентов и мониторинг событий ИБ

 

Безусловно, одним из ключевых решений в области ИБ являются средства корреляции и мониторинга. В случае корпоративной ИБ они позволяют избавиться от необходимости следить за различными консолями средств защиты и вручную анализировать получаемые с них события, максимально автоматизировав и упростив этот процесс. Когда же речь идет о технологическом сегменте предприятий, где необходим круглосуточный контроль исправности промышленных систем, помимо вышеуказанного функционала, данные решения могут и должны стать одним из компонентов комплексного ситуационного центра. В его рамках формируется единая точка отслеживания как технических показателей систем и контроль процессов, так и мониторинг, и управление информационной безопасностью предприятия.

 

Кроме вышеуказанных решений, безусловно, не стоит забывать и о контроле рабочих станций, анализе технологического трафика, использовании специализированных межсетевых экранов в технологической сети и других актуальных решениях. Но, даже сфокусировав свое внимание только на вышеописанных направлениях, уже в ближайшей перспективе можно серьезно повысить уровень информационной безопасности промышленного сегмента своей компании.

 

Подводя итоги, стоит отметить, что приступая к проекту по защите технологического сегмента предприятий, главное – осознать текущий уровень ИБ, сформировать цели, внутренние требования и заручиться поддержкой надежного, квалифицированного и опытного партнера.

Уведомления об обновлении тем – в вашей почте

Индустрия 4.0. Кибербезопасность: вызовы и решения

Совсем недавно вышел аналитический отчет «Лаборатории Касперского» о том, как обстоят дела с кибербезопасностью в 2018 г.

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

Информационно-аналитические системы, или Чем думает центр управления безопасностью

Мозгом любого ситуационного центра является ИАС, позволяющая управлять информационно-технической безопасностью

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

«Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго...»

Руководитель Центра кибербезопасности рассказал о том, как обеспечивается информационная безопасность в ОАО «РЖД»

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня