Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Комплексная защита технологического процесса и что с ней может быть не так

Иван Чернов, 17/01/22

Недавно я посетил несколько предприятий, активно решающих вопрос кибербезопасности технологических процессов. Со слов заказчика, ситуация часто выглядит просто: есть техпроцесс из двух-трех элементов, тут автоматизированные системы управления, тут оборудование, тут датчики. А задача заключается в коммуникации между этими подсистемами в рамках технологической сети максимально безопасным образом. В принципе на этом моменте статью можно было бы и закончить: ставьте межсетевой экран. Но разрыв между техническим заданием и реальностью часто оказывается слишком велик.

Автор: Иван Чернов, менеджер по работе с партнерами компании UserGate

Добро пожаловать в реальный мир

Обычно в рамках проекта построения системы защиты устанавливают межсетевой экран нового поколения между корпоративным и технологическим сегментами и проверяют все соединения на легитимность с учетом использования промышленных протоколов. Казалось бы, этого должно быть достаточно.

Но на каждом производстве используется свой набор протоколов, свой набор команд, настроены уникальные процессы – унифицировать такой стек практически невозможно. Именно поэтому построение комплексной системы защиты – всегда сложный и продолжительный проект, который начинается задолго до включения оборудования. Кроме штатного процесса работы производственного оборудования, выявляются и другие важные элементы, влияющие на построение системы защиты.

Что может пойти не так?

Информационная безопасность – это в первую очередь обеспечение непрерывности бизнес-процессов, и техпроцесс – очень существенная их часть. Необходимо рассматривать его как можно более широко и не только искать возможные риски и угрозы в узких сегментах АСУ и оборудования, но и принимать во внимание все, что находится вокруг.

  1. Вот конструктор подготовил чертеж изделия и положил его на сервер хранения данных. Там же хранятся чертежи всего конструкторского бюро, которое может состоять из сотен человек и использовать несколько серверов. Необходима уверенность, что процесс передачи с компьютера на сервер хранения будет безопасным и во время передачи файл с чертежом не повредится и не будет модифицирован.
  2. Сам сервер хранения данных должен быть защищенным. Ведь если он окажется скомпрометированным, появится риск изменения файла с чертежом злоумышленниками – добавят новые элементы или, наоборот, уберут нужные. Сколько пройдет времени до обнаружения этого инцидента? Будет ли чертеж проверен перед тем, как попасть в производство, кем и сколько раз? Сойдет ли в результате изделие с конвейера? Не повредится ли оборудование в процессе производства? Ответы эти вопросы должны быть готовы задолго до включения производственного станка.
  3. Далее чертежи перемещаются в производственную систему, настроенную проектировщиком АСУ. Безопасно ли будут переданы конфигурационные файлы, не возникнут ли какие-либо изменения в процессе передачи? Может быть, в сети есть не замеченное ранее устройство, которое перехватывает конфигурационные файлы, чертежи и в реальном времени вносит в них изменения или отправляет за периметр? Предотвращение этого риска также требует мониторинга, аналитики и регулярного аудита.
  4. Все ли команды, передаваемые в оборудование на исполнение, переданы верно? А вдруг по промышленному протоколу отправляются не те команды или не в те регистры и происходит сбой, вывод оборудования из строя либо вообще остановка технологического процесса? Это безусловно недопустимые риски, и их обязательно нужно учитывать.
  5. Оборудование обменивается данными с диспетчерами в рамках АСУ или SCADA-системы. Верно ли передаются эти данные? Это важнейший вопрос, например, для атомной электростанции, где критически важен именно процесс работы диспетчеров и наблюдения за показателями техпроцесса. Не подменяются ли данные в процессе передачи по каналам связи? Риск обостряется еще и тем, что производители технологического оборудования в большинстве случаев не озадачиваются вопросами безопасности и соединения идут преимущественно в открытом виде по причине отключенного шифрования.
  6. Какие уровни доступа у обслуживающих и управляющих организаций, которые приходят на предприятие? К каким системам они подключаются, какое оборудование они с собой приносят? У них необязательно может быть злой умысел, они просто могут принести с собой уже зараженные устройства. Обычный маршрутизатор с зараженной прошивкой способен генерировать много запросов по промышленным протоколам на регистры оборудования, и последнее перестает работать под DoS-атакой. Это и есть Supply Chain Atack, то есть атака на цепочку поставок.

Как бы нам ни хотелось, но разделить корпоративный и технологический сегменты в текущих реалиях невозможно. Все равно через зазор будут проникать флешки, соединения, подключения, в том числе нелегитимные. Смешение с корпоративным сегментом так или иначе происходит, и полностью исключить это нереально.

Со всеми перечисленными угрозами необходимо бороться. Для этого уже недостаточно одного межсетевого экрана: нужно разделять сети, ставить системы обнаружения вторжения, контролировать переход трафика между сегментами, проверять соответствие выходных данных входным, применять инструменты мониторинга и аналитики. Необходимо видеть и контролировать общую картину.

Решения UserGate для защиты технологического сегмента

Комплексная защита технологического процесса должна включать системы мониторинга и аналитики, специализированные решения для защиты технологических устройств, промышленные межсетевые экраны нового поколения, систему обнаружения вторжений.

В компании UserGate разработана экосистема решений UserGate SUMMA, которая содержит все необходимые инструменты для обеспечения целостного управления безопасностью корпоративных и государственных сетей и сетей сегмента АСУ ТП в гибридной ИТ-инфраструктуре.

Ключевым элементом защиты сетей сегмента АСУ ТП являются межсетевые экраны нового поколения. UserGate NGFW эффективно решают базовую задачу защиты АСУ ТП – сегментацию сети. Кластер из двух аппаратных комплексов отделяет корпоративную подсеть от ДМЗ и ДМЗ от промышленной сети. Анализ на уровне L7 позволяет фильтровать трафик по протоколам: только разрешенный трафик может передаваться между корпоративным и промышленным сегментами. Помимо защиты внешнего периметра сети АСУ ТП, необходимо дополнительно сегментировать промышленную сеть внутри.

UserGate NGFW может обеспечить:

  • защиту АСУ ТП на границе с каналом технической поддержки;
  • сегментацию сети АСУ ТП;
  • сегментацию сети между SCADA и ПЛК.

Помимо обнаружения вторжений и попыток поиска уязвимостей, в UserGate NGFW существует возможность настроить белые и черные списки команд, передаваемых к промышленному оборудованию.

Можно разрешить отдельный пул команд только для определенных рабочих мест, заблокировав все остальные. Таким образом могут быть проанализированы протоколы IEC 104 (ГОСТ Р МЭК 608705-104), Modbus, DNP3, MMS, OPC UA.

UserGate Х10 – это аппаратная платформа, созданная специально для защиты периметра промышленных сетей и обладающая следующими функциями:

  • обнаружение и предотвращение вторжений (IDS/IPS);
  • веб-фильтрация;
  • обнаружение вредоносного ПО и антивирусная защита;
  • построение VPN-туннелей;
  • анализ трафика на уровне приложений.

Эти возможности призваны предотвратить растущее количество атак, происходящих на 4–7 уровнях сетевой модели OSI.

ris1-Jan-17-2022-07-39-15-83-AM

Работа в экстремальных условиях

Сети АСУ ТП зачастую имеют повышенные требования к условиям работы оборудования. Сюда входят высокие температуры, повышенная влажность, электромагнитное взаимодействие и т.д. Аппаратные платформы серии X рассчитаны на работу в самых суровых условиях: при температурах от -40 до +70 °C и относительной влажности от 5 до 95%. Модель имеет компактный размер, вес около 1 кг, крепление настенное или на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.

Для установки внутри помещений так же хорошо подойдут аппаратные платформы из линейки UserGate серии С. Устройства обладают мощным процессором, который обеспечивает высокую обрабатывающую способность: одновременно он способен обработать до 2 млн ТСP-cессий.

Анализ зеркалированного трафика

В UserGate NGFW реализована возможность анализа трафика АСУ ТП в режиме мониторинга SPAN-порта либо в режиме L2-моста: выполняет функции системы обнаружения и предотвращения вторжений в прозрачном режиме с возможностью блокировки вредоносного трафика между сетями одного адресного пространства.

Информация о подозрительном трафике отправляется на веб-интерфейс, при необходимости вредоносные пакеты блокируются специалистами.

Анализ зеркалированного трафика дает возможность анализировать безопасность без вторжения в технологический процесс.

Анализ инцидентов ИБ на промышленном предприятии

Задачу глобального мониторинга систем безопасности решает UserGate Log Analyzer, он производит сбор, обработку и хранение данных со всех устройств UserGate SUMMA. На основании полученной информации осуществляется глубокий анализ произошедших событий безопасности в промышленных сетях, что в том числе необходимо для соответствия современной концепции SOAR (Security Automation, Orchestration and Response).

Высокая скорость обработки трафика позволяет на основе этого анализа автоматически адекватно реагировать на инциденты на самой ранней стадии. UserGate Log Analyzer развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.

Соответствие регламентирующим документам РФ

Модель UserGate X10 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: она способена контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.

Межсетевой экран UserGate сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4 класс, профили А, Б и Д) и к системам обнаружения вторжений (4-й класс), а также по 4 уровню доверия. Таким образом, межсетевые экраны UserGate могут использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, в информационных системах персональных данных (ИСПДн) 1 уровня защищенности, государственных информационных системах (ГИС) 1 класса защищенности, в автоматизированных системах управления технологическими процессами 1 класса защищенности и информационных системах общего пользования II класса.

Темы:UserGateАСУ ТПЖурнал "Информационная безопасность" №6, 2021
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...