Контакты
Подписка 2025

Dr.Web Industrial: защита серверов и рабочих станций в промышленных системах управления

Василий Севостьянов, 06/05/24

Функциональная роль систем автоматизированного управления технологическим процессом (АСУ ТП) на объектах критической инфраструктуры и промышленных предприятиях делает их мишенью для сложных комплексных кибератак, а также несанкционированного внутреннего вмешательства. Dr.Web Industrial предоставляет защиту серверов и рабочих станций в системах управления промышленными процессами

Автор: Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб”

ris1-May-06-2024-04-12-53-1120-PM

В отличие от корпоративного сегмента, где акцент, как правило, сделан на защите данных, в АСУ ТП приоритетом является обеспечение непрерывности и стабильности технологических процессов. Специфика защиты промышленного сегмента обусловлена возрастающей угрозой кибератак, направленных на нарушение его нормального функционирования.

Это означает, что системы защиты АСУ ТП должны быть спроектированы с упором на минимальное воздействие на работу производства, но в то же время предоставляя эффективную защиту от возможных угроз.

Применение современных антивирусных решений, а также систем мониторинга безопасности позволяет обнаруживать и предотвращать инциденты. Как раз таким решением является Dr.Web Industrial.

Что делает Dr.Web Industrial

Dr.Web Industrial разработан для защиты системной памяти, жестких дисков и съемных носителей компьютеров, работающих в промышленном сегменте под управлением операционных систем Windows и Linux, от угроз любого типа: вирусов, шифровальщиков, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и других вредоносных объектов из любых внешних источников.

Одной из особенностей Dr.Web Industrial является режим функционирования, в котором обнаружение подозрительной активности не приводит к остановке непрерывного технологического процесса.

Решение состоит из нескольких модулей, каждый из которых реализует свой аспект функциональности. Базовыми компонентами являются антивирусное ядро и вирусные базы, которые нетребовательны к системным ресурсам, ведь особенностью технологического сегмента является длительный срок эксплуатации и низкий темп внедрения инноваций, в результате чего там все еще много старых Windows. Одним из приоритетов для Dr.Web Industrial является поддержка старых ОС, начиная с Windows XP и Windows Server 2003.

В последние годы мы также наблюдаем в отрасли постепенное смещение приоритетов в сторону импортозамещения и более широкого применения Linux-подобных систем. Полная поддержка Linux является важным приоритетом для Dr. Web Industrial.

Компоненты продукта постоянно обновляются, а вирусные базы регулярно дополняются новыми сигнатурами. Для дополнительной защиты от неизвестного вредоносного программного обеспечения используются методы эвристического анализа, реализованные в антивирусном ядре.

Dr.Web Industrial способен обнаруживать и удалять с компьютера нежелательные программы, включая рекламные программы, программы дозвона, программы-шутки, потенциально опасное ПО, программы взлома. Для обнаружения таких вредоносов и совершения действий над содержащими их файлами применяются стандартные средства антивирусных компонентов Dr.Web. Это базовая функциональность.

Но ключевые особенности в Dr.Web Industrial формируют другие модули:

  • монитор файловой системы SpIDer Guard;
  • компонент защиты от вымогателей;
  • модуль поведенческого анализа.

Разберем их более детально.

SpIDer Guard: постоянная защита файловой системы

SpIDer Guard – это монитор файловой системы, он защищает компьютер в режиме реального времени и предотвращает его заражение. SpIDer Guard стартует при загрузке ОС и проверяет все файлы при их открытии, запуске или изменении, а также отслеживает поведение запущенных процессов.

Контроль мониторинга работы с файлами может быть настроен в один из трех режимов.

  1. Обычный (он установлен по умолчанию), когда отслеживаются операции доступа к файлам (создание, открытие, закрытие и запуск файла): запрашивается проверка файла, доступ к которому был осуществлен, и по ее результатам, если обнаружена угроза, применяются действия по ее нейтрализации. До окончания проверки доступ к файлу со стороны приложений не ограничивается.
  2. Усиленный контроль исполняемых файлов. Для файлов, не считающихся исполняемыми, мониторинг ведется в обычном режиме. Но для файлов, считающихся исполняемыми, при попытке доступа SpIDer Guard блокирует запрошенную операцию доступа до тех пор, пока не станут известны результаты проверки файла на наличие угроз.
  3. "Параноидальный" режим блокирует запрошенную операцию до тех пор, пока не станут известны результаты проверки на наличие угроз.

При настройках по умолчанию SpIDer Guard на лету проверяет на жестком диске только создаваемые или изменяемые файлы, но на съемных носителях проверяются все открываемые файлы. Кроме того, постоянно отслеживаются действия запущенных процессов на предмет выявления поведения, характерного для вирусов, и при необходимости блокирует эти процессы.

По умолчанию SpIDer Guard запускается автоматически при каждом старте операционной системы и не может быть выгружен в течение текущего сеанса работы.

Входящий в состав Dr.Web Антируткит позволяет в фоновом режиме проводить проверку операционной системы на наличие сложных угроз и сигнализировать при их обнаружении.

При включении данной настройки Антируткит Dr.Web будет постоянно находиться в памяти. В отличие от проверки файлов на лету, проводимой компонентом SpIDer Guard, поиск руткитов производится в системном BIOS компьютера и таких критических областях, как объекты автозагрузки, запущенные процессы и модули, оперативная память и др.

Одним из ключевых критериев работы Антируткита Dr.Web является бережное потребление ресурсов операционной системы (процессорного времени, свободной оперативной памяти и др.) с учетом мощности аппаратного обеспечения.

Превентивная защита от вымогателей

Компонент "Защита от вымогателей" позволяет отслеживать процессы, которые пытаются зашифровать пользовательские файлы по известному алгоритму, свидетельствующему о том, что такие процессы являются угрозой безопасности компьютера. К таким процессам относятся троянцы-шифровальщики, которые блокируют доступ к данным, после чего вымогают деньги за расшифровку.

Шифровальщики являются одними из самых распространенных вредоносных программ и ежегодно приносят большие убытки как компаниям, так и обычным пользователям. Основной путь заражения – почтовые рассылки, содержащие вредоносный файл или ссылку на вирус.

Причем, по статистике компании "Доктор Веб", расшифровка поврежденных троянцем файлов возможна только в 10% случаев, поэтому наиболее эффективный метод борьбы с ними – предотвратить заражение. В последнее время число пользователей, пострадавших от данного типа вирусов, не только не снижается – оно увеличивается! Количество запросов в службу технической поддержки компании "Доктор Веб" на расшифровку данных идет на сотни, а иногда и на тысячи в месяц.

Компонент "Защита от вымогателей" анализирует поведение подозрительных процессов, обращая внимание, в частности, на поиск файлов, чтение и попытки их модификации.

Проверяются также следующие характеристики приложения:

  • является ли приложение новым;
  • как оно попало в систему;
  • где приложение расположено;
  • как оно называется;
  • является ли приложение доверенным;
  • есть ли у него действительная цифровая подпись от доверенного центра сертификации.

Проверяется также характер запрашиваемой модификации файлов. При обнаружении признаков поведения вредоносной программы действия попытки модификации файлов со стороны проанализированного приложения блокируются.

Превентивная защита: поведенческий анализ

Компонент "Поведенческий анализ" позволяет настроить реакцию Dr.Web Industrial на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные ветки системного реестра. При включении этого компонента программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами.

Сигнатурный анализ и Origins Tracing

В Dr.Web Industrial в качестве метода обнаружения в первую очередь применяется обычный сигнатурный анализ. Он основан на поиске в содержимом анализируемого объекта сигнатур уже известных угроз. Причем записи в вирусных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые классы или семейства угроз.

Но также в решении реализован метод Origins Tracing – это уникальная технология Dr.Web, которая позволяет определить новые или модифицированные угрозы, использующие уже известные и описанные в вирусных базах механизмы заражения или вредоносное поведение. Она выполняется после сигнатурного анализа, позволяя выявить более "тонкие" угрозы. Использование технологии Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора.

Применение машинного обучения

Для поиска и нейтрализации вредоносных объектов, которых еще нет в вирусных базах, используется машинное обучение, причем распознавание вредоносного кода проводится без его исполнения, только на основе его метахарактеристик.

Обнаружение угроз строится на классификации вредоносных объектов согласно определенным признакам. С помощью технологии машинного обучения, основанной на методе опорных векторов, происходит классификация и запись в базу фрагментов кода сценарных языков. Затем проверяемые объекты анализируются на основе соответствия признакам вредоносного кода.

Технология машинного обучения автоматизирует обновление списка данных признаков и пополнение вирусных баз. Это существенно экономит ресурсы операционной системы, так как не требует исполнения анализируемого кода, а динамическое машинное обучение классификатора может осуществляться и без постоянного обновления вирусных баз, которое используется при сигнатурном анализе.

Заключение

АСУ ТП, как правило, оперируют в промышленных средах, где присутствуют физические узлы и компоненты, требующие специального внимания при проектировании системы защиты. Наличие специфического оборудования и технологических процессов требует особого подхода к анализу угроз и реализации мер по защите.

Полностью российское решение Dr.Web Industrial учитывает эти особенности и позволяет обнаруживать подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса.

Темы:Doctor WebАСУ ТПЖурнал "Информационная безопасность" №1, 2024Вебмониторэкс

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...