Как обеспечить безопасность и эффективность управления сетевой инфраструктурой

Современные предприятия и организации давно не являются изолированными объектами. Количество точек сопряжения с контрагентами, подрядчиками, клиентами и партнерами постоянно растет. Почти все такие взаимодействия переходят из области “бумажного” обмена информацией в область сетевого и электронного обмена или полностью дублируются в цифровом пространстве.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

Сети современного предприятия сопрягаются со все возрастающим количеством внешних, менее доверенных по отношению к ним сетей и сетевых сегментов.

В связи с этим возникает три резонных вопроса.

1. Насколько безопасны такие сопряжения?
2. Как они влияют на безопасность всей сетевой инфраструктуры предприятия или организации?
3. Существуют ли организационные и технические меры, которые снизят риски компании, связанные с этими точками сопряжения? И если существуют, то как они могут повлиять на эффективность управления всей сетевой инфраструктурой?

Вопрос безопасности сопряжений доверенных и недоверенных сегментов сети фактически уже получил ответы в ходе последних атак на периметр крупных промышленных предприятий и даже ИТ-компаний. В мире в течение 2021 г. атакам подверглись самые разные учреждения и организации вне зависимости от формы собственности и сферы деятельности, от новостных агентств Nine News Australia до систем водоснабжения Флориды, от производителя аппаратных решений Acer до трубопроводной системы Colonial Pipeline в США. На примере этих и других атак мы отчетливо видим, что злоумышленников не останавливает, и даже привлекает критичность инфраструктуры и возможность нанесения существенного ущерба в результате кибератаки. Тот факт, что сопряжение критической сетевой инфраструктуры с неконтролируемым сетевым сегментом несет в себе существенные риски для безопасности предприятия или организации, уже ни у кого не вызывает сомнений.

Прошло порядка 10 лет с момента, когда аналитик проекта Forrester Research Джон Киндерваг (John Kindervag) выдвинул концепцию нулевого доверия, обозначающую новый подход к безопасности в условиях размытия физических границ сетевого периметра организации. Но далеко не все организации подошли к вопросам защиты своей сетевой инфраструктуры с точки зрения применения элементов этой концепции: не ужесточили политики сегментации, не выполнили сокрытие топологий сетевой инфраструктуры, не провели микросегментацию и не минимизировали привилегии с одновременным усилением контроля за применяемыми устройствами и оборудованием. Безопасность сетевой инфраструктуры очень многих организаций существенно отстает от возможностей и средств, доступных киберзлоумышленникам, – пожалуй, уже нельзя говорить и о том, что они "идут нога в ногу".

Одной из причин успеха последних кибератак является фактическое отсутствие эффективной сегментации сетевой инфраструктуры атакуемого объекта. Во многих организациях до сих пор наблюдается доминирование принципов сквозного доступа ко всем элементам сетевой инфраструктуры над принципом безопасности, то есть доступ к любому узлу сети из любой точки этой сети (пусть и через преодоление определенных правил, политик и программных решений) в целях получения некоего перманентного и эфемерного контроля. Такие системы контроля выстраиваются вертикально, горизонтально и в рамках смежных организаций. В результате сеть современного предприятия, хотя и сегментирована на отдельные участки, де-факто представляет собой единый контур, разделенный маршрутизаторами и файрволами разного уровня "продвинутости", иными словами сеть, построенную лишь на программных средствах защиты, какими бы эффективным они ни казались нам сегодня.

Результатом такой концепции является фактически сквозной доступ злоумышленника ко всем элементам сети в случае получения доступа к элементам управления или в результате обнаружения уязвимостей того или иного коммутационного оборудования и СЗИ.

Ситуация осложняется еще и тем, что организации, стремясь унифицировать и снизить затраты, абсолютно логично применяют во всей инфраструктуре решения от одного вендора. Как следствие, компрометация того или иного средства защиты конкретного вендора фактически означает открытый путь ко всей сетевой инфраструктуре организации, применяющей такое СЗИ.

Признание того факта, что сети современных предприятий требуют более эффективной сегментации, а ущерб от отсутствия эффективных мер защиты может быть гигантским, происходит и на государственном уровне. Например, в США требования к такой сегментации формируются и реализуются прямо сейчас. К концу 2021 г. для каждого подключения HTN (High Threat Networks) к секретным системам национальной безопасности правительства США должен быть реализован механизм, основанный на аппаратном обеспечении, прошедшем оценку соответствия со стороны АНБ (это могут быть "диоды данных"). К концу 2022 г. необходимо внедрить такие механизмы для подключения HTN к классифицированным государственным информационным системам для всех корпоративных потоков данных. К концу 2023 г. "аппаратная фильтрация" планируется для реализации сопряжений HTN и корпоративных сетей.

Что же может предпринять российская организация в качестве первоочередных мер?

В целом ответы есть и в нормативной документации, и в части технических решений. Так, положения приказа No 239 ФСТЭК России говорят о необходимости проведения комплексного анализа для определения наиболее важных точек применения тех или иных мер, в частности: выявление источников угроз безопасности информации и оценка потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств; определение вероятных способов (сценариев) реализации/возникновения угроз безопасности информации; оценка возможных последствий от реализации/возникновения угроз безопасности информации. Представляется, что анализ прежде всего должен касаться исследования того, какие части критической и значимой сетевой и информационной инфраструктуры следует гарантированно изолировать от других частей сетевой и информационной инфраструктуры. Концепция нулевого доверия может и должна рассматриваться как основная для таких частей. Практическая (техническая) ее реализация может означать, например, применение аппаратных комплексов для физической изоляции отдельных участков сети c передачей наружу или внутрь (в одном направлении) только требуемой информации согласно установленному регламенту информационного обмена – такие комплексы получили название "диоды". Современные поколения этих устройств давно не только умеют передавать UDP-трафик и основанные на нем протоколы, но и вполне успешно справляются с передачей файлового трафика, реплик баз данных, виртуальных машин и информационных систем. Через "диоды" возможна передача и различных промышленных протоколов, таких как MQTT, Modbus, OPC UA. Если учесть, что последний из упомянутых протоколов представляет собой стандарт, определяющий передачу данных в промышленных сетях и взаимодействие устройств в них, то применение таких "диодов" может быть эффективно распространено и на получение данных из SCADA-систем крупных вендоров, создание historian-хранилищ и облаков промышленных данных, построение цифровых двойников и централизованных диспетчерских центров. Хочется обратить внимание на то, что при условии успешного разделения эффективность управления такой сетью не теряется, потому что центры управления, как правило, локализованы в том или ином сегменте, а этот сегмент отделен от соседнего не программным, а аппаратным решением. С точки зрения рисков атака на один из участков сети в условиях ее аппаратной изоляции не приводит к отказу в обслуживании всей сети, сохраняя "острова" управления и контроля.

Сегментация сети с использованием аппаратных решений и уход от единой "прозрачной топологии" всей сети организации, защищенной только программными решениями, представляются актуальными. Вполне вероятно, что именно эти подходы стоят за более безопасной сетевой инфраструктурой и, несмотря на определенные особенности управления ею, радикально снижают риски распространения атаки на всю сетевую инфраструктуру.

Какое решение выбрать?

На российском рынке сегодня есть несколько производителей подобных решений с разным функционалом.

В нашем продуктовом портфеле представлена полная линейка для сегментации сетевой инфраструктуры на аппаратном уровне, в которую входят три больших класса устройств:

• АМТ InfoDiode – базовое аппаратное решение, сертифицированное ФСТЭК УД (4), гарантирующее защиту на аппаратном уровне и эффективно решающее задачу передачи UDP, Syslog, SPAN-трафика за пределы КИИ.
• АМТ InfoDiode PRO – решение, сертифицированное ФСТЭК УД (4), для передачи значимых файловых потоков, дистрибутивов, реплик ВМ и баз данных, электронной почты, бэкапов и т.п. из доверенного сегмента вовне.
• АМТ InfoDiode SMART – новое решение для передачи за пределы периметра КИИ промышленных и специфических протоколов, в том числе видео, для интеграции SCADA-систем, организации удаленных ситуационных центров за границей периметра, в условиях гарантированной изоляции КИИ.

Последний класс устройств значительно расширяет возможности сегментации промышленных сетей и обеспечивает упрощенное встраивание "диодов" в разнородную инфраструктуру организации за счет предоставления универсального API (взаимодействовать с устройством теперь могут самые разные системы и решения, в том числе, самостоятельно разработанные потребителями), наличия дополнительных коннекторов от производителя, которые позволяют интегрировать устройство с самими разными системами-источниками и системами-преемниками.