Особенности реализации IIoT Firewall в энергетической компании

Для связи с IIoT-шлюзом используются протоколы M2M или LoRa. Он, в свою очередь, обеспечивает агрегацию информации и ее последующую отправку в центр сбора и анализа данных. За взаимодействие между IIoT‑шлюзом и центром отвечает протокол Message Queue Telemetry Transport (MQTT)¹ MQTT (Message Queuing Telemetry Transport) — упрощенный сетевой протокол, работающий поверх TCP/IP, ориентирован на обмен сообщениями между устройствами по принципу publisher/subscriber..

MQTT эффективен для работы с телеметрией, получаемой от расположенных на удаленных локациях датчиков, IoT- и IIoT-устройств, когда не требуется обмениваться данными большого объема и существуют ограничения пропускной способности канала.

В работе MQTT используется принцип «издатель-подписчик»: пользователи делятся на клиентов, посылающих и принимающих сообщения, соответственно, на издателей (Publishers) и подписчиков (Subscribers). Причем они не обмениваются сообщениями напрямую. За координацию передачи сообщений и управление отвечает брокер (Broker), который обеспечивает маршрутизацию пользовательской информации. Достоинства MQTT — открытость и простота, минимальный объем служебной информации, наличие классов обслуживания, иерархическая структура и возможности маршрутизации на прикладном уровне.

Чтобы обеспечить безопасность IIoT-инфраструктуры, необходимо решение, которое, с одной стороны, минимально воздействует на существующий ИТ-ландшафт, а с другой — способно предотвращать вредоносные действия со стороны злоумышленников и обеспечивать контроль целостности и доступности сервисов.

Для выполнения последней задачи необходимо детально анализировать и контролировать трафик протокола MQTT на уровне приложений. Наиболее просто это реализует установка IIoT Firewall перед и после MQTT Brokers. Мы обеспечиваем контроль трафика со стороны как MQTT publisher, так и MQTT subscriber.

На рис. 2. представлена схема внедрения IIoT Firewall.

Варианты применения IIoT Firewall

Сценарий 1. Anti MitM

По умолчанию протокол MQTT работает без шифрования и аутентификации, а значит, злоумышленники могут организовать различные атаки типа Man in the middle (MitM)² Вид атаки, при которой злоумышленник тайно ретранслирует поток информации и изменяет связь между двумя сторонами, они же считают, что общаются непосредственно друг с другом. Является методом компрометации канала связи: взломщик, подключившись к каналу между контрагентами, вмешивается в протокол передачи, удаляя или искажая информацию.. Включение SSL на каждом брокере MQTT, скорее всего, приведет к снижению производительности и усложнению обслуживания.

Таким образом, для обеспечения безопасности связи необходимо, чтобы IIoT Firewall шифровал передаваемую информацию и фильтровал недопустимый или несанкционированный трафик.

Сценарий 2. Защита авторизации

В IIoT-инфраструктуре происходит постоянный обмен данными между большим количеством устройств и несколькими приложениями, которые осуществляют сбор и обработку этой информации. Как уже было сказано, для обеспечения связности устройств (Publishers) и приложений (Subscriber) используется MQTT broker. К сожалению, этот функционал реализуется посредством статических параметров, решение не имеет удобного интерфейса и средств контроля доступа.

С точки зрения безопасности следует учитывать, что IIoT-устройства выдают только ту информацию, которую они должны выдавать, a приложения как получатели имеют доступ только к тем данным, которые им необходимы и разрешены.

Сценарий 3. Обеспечение DPI для анализа полезной нагрузки и защиты от DDoS-атак

MQTT-брокеры не анализируют информацию, передаваемую посредством MQTT-сообщений. Все, что они делают, — просто включают / выключают механизмы публикации (publisher) / подписки (subscriber). При этом отсутствует какая-либо фильтрация, то есть внутри MQTT-сообщений может передаваться любая, в том числе вредоносная нагрузка, которая способна оказывать большое влияние на приложение, обрабатывающее информацию.

Контроль полезной нагрузки MQTT-сообщений при помощи IIoT Firewall позволяет:

• предотвращать DDoS-атаки — проверяя размер сообщений и их разрешенные паттерны на основе статистического анализа данных;
• предотвращать получение приложением поврежденных данных;
• выявлять аномалии в поведении IIoT-устройств (например, при заражении вредоносным ПО или повреждении устройства)(рис. 4).

Сценарий 4. Управление и контроль парка IIoT-устройств

Одна из самых важных задач безопасности — управление активами. Парком IIoT-устройств нужно управлять, активы необходимо контролировать и каталогизировать, причем это должно происходить в автоматическом режиме и в реальном времени.

IIoT Firewall анализирует все проходящие через него MQTT-сообщения и обеспечивает управление активами для IIoT-устройств и приложений. Это позволяет администратору IIoT‑инфраструктуры:

• получать полную информацию по каждому устройству: частоту генерации сообщений, смену их формата, изменение адресации сообщений, контроль версии прошивки устройств и т.д.;
• обеспечивать полную видимость каждого приложения: какие данные собираются, от каких устройств, как часто приложение посылает запросы и т.д.;
• контролировать вышедшие из строя или взломанные устройства, используя статистический анализ и отслеживая аномалии в трафике.

Результаты проекта

Внедрение обеспечило возможность:

• проводить на основе анализа трафика инвентаризацию IIoT-устройств, которые обмениваются данными в сети;
• определять детализированные правила для каждого устройства и приложения;
• выполнять авторизацию и блокировку или устанавливать ограничения на взаимодействие между устройствами и приложениями;
• определять словари разрешенных сообщений как элементы управления белого или черного списка;
• выявлять и блокировать сообщения в зависимости от размера полезной нагрузки;
• анализировать передаваемые данные, выявлять и блокировать сообщения при нахождении аномалий;
• управлять SSL-сертификатами;
• управлять учетными данными M2M.

Представленные сценарии можно использовать не только в энергетическом секторе, но и в компаниях из других отраслей, обладающих крупными распределенными системами IoT/IIoT.