Василий Севостьянов, 06/05/24
Функциональная роль систем автоматизированного управления технологическим процессом (АСУ ТП) на объектах критической инфраструктуры и промышленных предприятиях делает их мишенью для сложных комплексных кибератак, а также несанкционированного внутреннего вмешательства. Dr.Web Industrial предоставляет защиту серверов и рабочих станций в системах управления промышленными процессами
Автор: Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб”
В отличие от корпоративного сегмента, где акцент, как правило, сделан на защите данных, в АСУ ТП приоритетом является обеспечение непрерывности и стабильности технологических процессов. Специфика защиты промышленного сегмента обусловлена возрастающей угрозой кибератак, направленных на нарушение его нормального функционирования.
Это означает, что системы защиты АСУ ТП должны быть спроектированы с упором на минимальное воздействие на работу производства, но в то же время предоставляя эффективную защиту от возможных угроз.
Применение современных антивирусных решений, а также систем мониторинга безопасности позволяет обнаруживать и предотвращать инциденты. Как раз таким решением является Dr.Web Industrial.
Что делает Dr.Web Industrial
Dr.Web Industrial разработан для защиты системной памяти, жестких дисков и съемных носителей компьютеров, работающих в промышленном сегменте под управлением операционных систем Windows и Linux, от угроз любого типа: вирусов, шифровальщиков, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и других вредоносных объектов из любых внешних источников.
Одной из особенностей Dr.Web Industrial является режим функционирования, в котором обнаружение подозрительной активности не приводит к остановке непрерывного технологического процесса.
Решение состоит из нескольких модулей, каждый из которых реализует свой аспект функциональности. Базовыми компонентами являются антивирусное ядро и вирусные базы, которые нетребовательны к системным ресурсам, ведь особенностью технологического сегмента является длительный срок эксплуатации и низкий темп внедрения инноваций, в результате чего там все еще много старых Windows. Одним из приоритетов для Dr.Web Industrial является поддержка старых ОС, начиная с Windows XP и Windows Server 2003.
В последние годы мы также наблюдаем в отрасли постепенное смещение приоритетов в сторону импортозамещения и более широкого применения Linux-подобных систем. Полная поддержка Linux является важным приоритетом для Dr. Web Industrial.
Компоненты продукта постоянно обновляются, а вирусные базы регулярно дополняются новыми сигнатурами. Для дополнительной защиты от неизвестного вредоносного программного обеспечения используются методы эвристического анализа, реализованные в антивирусном ядре.
Dr.Web Industrial способен обнаруживать и удалять с компьютера нежелательные программы, включая рекламные программы, программы дозвона, программы-шутки, потенциально опасное ПО, программы взлома. Для обнаружения таких вредоносов и совершения действий над содержащими их файлами применяются стандартные средства антивирусных компонентов Dr.Web. Это базовая функциональность.
Но ключевые особенности в Dr.Web Industrial формируют другие модули:
- монитор файловой системы SpIDer Guard;
- компонент защиты от вымогателей;
- модуль поведенческого анализа.
Разберем их более детально.
SpIDer Guard: постоянная защита файловой системы
SpIDer Guard – это монитор файловой системы, он защищает компьютер в режиме реального времени и предотвращает его заражение. SpIDer Guard стартует при загрузке ОС и проверяет все файлы при их открытии, запуске или изменении, а также отслеживает поведение запущенных процессов.
Контроль мониторинга работы с файлами может быть настроен в один из трех режимов.
- Обычный (он установлен по умолчанию), когда отслеживаются операции доступа к файлам (создание, открытие, закрытие и запуск файла): запрашивается проверка файла, доступ к которому был осуществлен, и по ее результатам, если обнаружена угроза, применяются действия по ее нейтрализации. До окончания проверки доступ к файлу со стороны приложений не ограничивается.
- Усиленный контроль исполняемых файлов. Для файлов, не считающихся исполняемыми, мониторинг ведется в обычном режиме. Но для файлов, считающихся исполняемыми, при попытке доступа SpIDer Guard блокирует запрошенную операцию доступа до тех пор, пока не станут известны результаты проверки файла на наличие угроз.
- "Параноидальный" режим блокирует запрошенную операцию до тех пор, пока не станут известны результаты проверки на наличие угроз.
При настройках по умолчанию SpIDer Guard на лету проверяет на жестком диске только создаваемые или изменяемые файлы, но на съемных носителях проверяются все открываемые файлы. Кроме того, постоянно отслеживаются действия запущенных процессов на предмет выявления поведения, характерного для вирусов, и при необходимости блокирует эти процессы.
По умолчанию SpIDer Guard запускается автоматически при каждом старте операционной системы и не может быть выгружен в течение текущего сеанса работы.
Входящий в состав Dr.Web Антируткит позволяет в фоновом режиме проводить проверку операционной системы на наличие сложных угроз и сигнализировать при их обнаружении.
При включении данной настройки Антируткит Dr.Web будет постоянно находиться в памяти. В отличие от проверки файлов на лету, проводимой компонентом SpIDer Guard, поиск руткитов производится в системном BIOS компьютера и таких критических областях, как объекты автозагрузки, запущенные процессы и модули, оперативная память и др.
Одним из ключевых критериев работы Антируткита Dr.Web является бережное потребление ресурсов операционной системы (процессорного времени, свободной оперативной памяти и др.) с учетом мощности аппаратного обеспечения.
Превентивная защита от вымогателей
Компонент "Защита от вымогателей" позволяет отслеживать процессы, которые пытаются зашифровать пользовательские файлы по известному алгоритму, свидетельствующему о том, что такие процессы являются угрозой безопасности компьютера. К таким процессам относятся троянцы-шифровальщики, которые блокируют доступ к данным, после чего вымогают деньги за расшифровку.
Шифровальщики являются одними из самых распространенных вредоносных программ и ежегодно приносят большие убытки как компаниям, так и обычным пользователям. Основной путь заражения – почтовые рассылки, содержащие вредоносный файл или ссылку на вирус.
Причем, по статистике компании "Доктор Веб", расшифровка поврежденных троянцем файлов возможна только в 10% случаев, поэтому наиболее эффективный метод борьбы с ними – предотвратить заражение. В последнее время число пользователей, пострадавших от данного типа вирусов, не только не снижается – оно увеличивается! Количество запросов в службу технической поддержки компании "Доктор Веб" на расшифровку данных идет на сотни, а иногда и на тысячи в месяц.
Компонент "Защита от вымогателей" анализирует поведение подозрительных процессов, обращая внимание, в частности, на поиск файлов, чтение и попытки их модификации.
Проверяются также следующие характеристики приложения:
- является ли приложение новым;
- как оно попало в систему;
- где приложение расположено;
- как оно называется;
- является ли приложение доверенным;
- есть ли у него действительная цифровая подпись от доверенного центра сертификации.
Проверяется также характер запрашиваемой модификации файлов. При обнаружении признаков поведения вредоносной программы действия попытки модификации файлов со стороны проанализированного приложения блокируются.
Превентивная защита: поведенческий анализ
Компонент "Поведенческий анализ" позволяет настроить реакцию Dr.Web Industrial на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные ветки системного реестра. При включении этого компонента программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами.
Сигнатурный анализ и Origins Tracing
В Dr.Web Industrial в качестве метода обнаружения в первую очередь применяется обычный сигнатурный анализ. Он основан на поиске в содержимом анализируемого объекта сигнатур уже известных угроз. Причем записи в вирусных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые классы или семейства угроз.
Но также в решении реализован метод Origins Tracing – это уникальная технология Dr.Web, которая позволяет определить новые или модифицированные угрозы, использующие уже известные и описанные в вирусных базах механизмы заражения или вредоносное поведение. Она выполняется после сигнатурного анализа, позволяя выявить более "тонкие" угрозы. Использование технологии Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора.
Применение машинного обучения
Для поиска и нейтрализации вредоносных объектов, которых еще нет в вирусных базах, используется машинное обучение, причем распознавание вредоносного кода проводится без его исполнения, только на основе его метахарактеристик.
Обнаружение угроз строится на классификации вредоносных объектов согласно определенным признакам. С помощью технологии машинного обучения, основанной на методе опорных векторов, происходит классификация и запись в базу фрагментов кода сценарных языков. Затем проверяемые объекты анализируются на основе соответствия признакам вредоносного кода.
Технология машинного обучения автоматизирует обновление списка данных признаков и пополнение вирусных баз. Это существенно экономит ресурсы операционной системы, так как не требует исполнения анализируемого кода, а динамическое машинное обучение классификатора может осуществляться и без постоянного обновления вирусных баз, которое используется при сигнатурном анализе.
Заключение
АСУ ТП, как правило, оперируют в промышленных средах, где присутствуют физические узлы и компоненты, требующие специального внимания при проектировании системы защиты. Наличие специфического оборудования и технологических процессов требует особого подхода к анализу угроз и реализации мер по защите.
Полностью российское решение Dr.Web Industrial учитывает эти особенности и позволяет обнаруживать подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса.
