Подписаться
Читать в телеграм
Безусловно, для обеспечения сбора событий и их последующей корреляции, а также для выявления, разбора и устранения инцидентов в технологическом сегменте должно быть достаточное количество источников данных – средств защиты различных типов. Специфика их внедрения – тема отдельного разговора. Стоит лишь упомянуть, что заниматься этим должна опытная команда высочайшей квалификации с должным объемом знаний и опытом обеспечения информационной безопасности технологического сегмента предприятий. Ведь ключевыми рисками подобных проектов являются негативное влияние на штатную работоспособность оборудования и технологической сети в целом, а также риск возникновения сбоев, которые могут привести к чрезвычайным ситуациям вплоть до экологических катастроф.
Тем не менее построение выделенного центра мониторинга ИБ для технологического сегмента или грамотную интеграцию с корпоративным, центральным SOC можно назвать одной из вершин, достижение которых демонстрирует уровень зрелости компании в части обеспечения комплексной информационной безопасности. Реализация такого проекта позволяет осуществлять контроль над состоянием ИБ не только в знакомой корпоративной ИТ-среде, но и во всей компании.
При интеграции с корпоративным SOC или установке выделенного ядра системы в корпоративном сегменте важно учитывать особенности грамотного построения архитектуры технологической сети. Одним из существенных факторов будет являться необходимость изоляции технологического от корпоративного сегмента и обеспечения защищенного шлюза передачи данных для «транслирования» событий ИБ от серверов-коннекторов к ядру системы (как между сегментами, так и между контролируемыми зонами внутри технологической сети).
Кроме того, при построении SOC возможно подключение в качестве источника данных систем мониторинга технологических показателей штатной работы производственного оборудования. Это позволит своевременно отслеживать отклонения от допустимых значений, в том числе вызванные износом оборудования или его некорректной настройкой.
При этом стоит заметить, что опыт не только западных, но и российских компаний позволяет говорить о том, что объединенный SOC для корпоративной и технологической сетей вполне можно реализовать в том числе путем приобретения сервиса по мониторингу инцидентов ИБ или передачи собственной SIEM-системы на эксплуатацию доверенному и опытному подрядчику.
Результатом подобных проектов будет являться наличие полной, целостной картины состояния информационной безопасности компании по всем фронтам. Отметим, что в наши дни уже есть примеры, вызвавшие огромный резонанс на рынке, когда несанкционированный доступ к технологической сети не был конечной целью атаки, как в большинстве подобных инцидентов, а использовался для получения доступа к конфиденциальным данным, хранящимся в коммерческом сегменте компании. То есть доступ к информации был получен путем последовательного проникновения злоумышленниками сначала в технологическую сеть, а уже из нее – в корпоративную. Помимо это, не стоит забывать о рисках выхода из строя дорогостоящего оборудования и нарушения работы производства по причине своевременно не детектированной атаки злоумышленников – как внутренних, так и внешних.
К счастью, осознавая эти риски, многие из наших заказчиков – крупных промышленных компаний и предприятий ТЭК – уже начали реализовывать проекты по обеспечению ИБ технологического сегмента и построению SOC, доверив эту работу своему наиболее опытному и компетентному партнеру.
