Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT

В России, как и во всем мире, наблюдается уверенный рост количества интеллектуальных устройств, обслуживающих промышленные системы, причем многие их них находятся в категории “необслуживаемые объекты”. Проблема обеспечения кибербезопасности подобных объектов в условиях развития технологий промышленного Интернета вещей (IIoT – Industrial Internet of Things) является крайне актуальной.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Функциональные возможности используемых в промышленности устройств продолжают интенсивно развиваться. При этом для обслуживания и обеспечения безопасности таких объектов в большинстве случаев не применяется комплексный подход, то есть используемые решения не обеспечивают комплексную безопасность и устойчивое функционирование инфраструктуры в целом.

Кроме того, критически важная промышленная инфраструктура, включая АСУ ТП, зачастую работает в устаревших сетях¹, которые раньше были изолированы от корпоративного сегмента. Но в настоящее время растет необходимость удаленного подключения к ней, и в результате объекты инфраструктуры оказываются уязвимыми перед внешними атаками: более 70% уязвимостей в АСУ ТП, обнаруженных в первой половине 2020 г., возможно использовать удаленно².

Для решения проблемы обеспечения кибербезопасности промышленных объектов компания UserGate выпустила межсетевой экран UserGate X1³.

Основа решения UserGate X1

UserGate X1 является комплексным решением, способным гарантировать защиту промышленных объектов от атак, попыток взлома и вредоносного кода, а также обеспечить их управление и мониторинг. В решении поддерживается возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля, а при необходимости – вмешательства человека.

Соответствие используемых решений требованиям регуляторов является необходимым для промышленных предприятий. Все аппаратные и виртуальные устройства UserGate сертифицированы ФСТЭК России по классам "межсетевой экран" и "система обнаружения вторжений". Использование UserGate X1 позволит заказчикам из различных отраслей промышленности обеспечить соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России и 187-ФЗ, регламентирующим требования к информационной защите критически важных производственных объектов.

Задания правил работы с АСУ ТП

В обновленной версии операционной системы UGOS, используемой в UserGate X1, появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Таким образом, администратор ИБ может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий.

С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством через межсетевой экран. Поддерживается контролирование следующих протоколов АСУ ТП:

• ГОСТ Р МЭК 60870-5-104;
• Modbus;
• DNP3;
• MMS.

Администратор имеет возможность задать интересующие его профили АСУ ТП, в которых будет указан необходимый набор протоколов и команд, и использовать их в правилах.

Для начала работы UserGate X1 с АСУ ТП необходимо:

1. Разрешить сервис SCADA для зоны, со стороны которой будет инициирован трафик АСУ ТП.
2. Создать необходимые профили АСУ ТП – набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса.
3. Создать требуемые правила АСУ ТП, определяющие действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями.

Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП, и действие, которое UserGate Х1 должен предпринять при срабатывании правила.

Защита объектов КИИ и интеграция с ГосСОПКА

Федеральный закон 187-ФЗ от 26.07.2017 г. "О безопасности КИИ" накладывает ряд требований по обеспечению безопасности объектов, относящихся к критической информационной инфраструктуре. Используемые на объектах КИИ системы должны соответствовать этим требованиям, а также обеспечивать взаимодействие с системой ГосСОПКА.

Главной целью обеспечения безопасности объектов КИИ является их устойчивое функционирование, в том числе при проведении в отношении них кибератак, а также их предотвращение. UserGate X1 является сертифицированным средством, обеспечивающим безопасность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, принадлежащих субъектам КИИ. Кроме этого UserGate X1 обеспечивает сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в используемую систему SIEM и систему ГосСОПКА.

Функциональные возможности UserGate X1, соответствие требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и требованиям ФСТЭК России делают его широко востребованным организациями из таких сфер, как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.

Возможность повышения отказоустойчивости

Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, возникающие в связи с возможными сбоями в работе аппаратного обеспечения. Она позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации в режимах active-active и active-passive. Кластеризация дает возможность применять к разным нодам единые настройки, политики, библиотеки, сертификаты, серверы авторизации, группы пользователей и т.д.

Особенности исполнения и работы UserGate X1

Работа в экстремальных условиях

Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.

Комплексная безопасность

Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).

UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.

Безопасное подключение по VPN

UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.

Соответствие регламентирующим документам

UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.

Наличие сертификата ФСТЭК России

Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.

1. https://www.itsec.ru/news/kolichestvo-iot-ustroystv-i-scada-sistem-bez-sootvetstvuyushih-mer-bezopasnosti-prodolzhayetia-uvelichivatsia 
2. https://www.itsec.ru/news/bolee-70-uyazvimostey-v-asu-tp-mogut-bit-proexpluatirovani-udalionno 
3. https://www.usergate.com/ru/products/usergate-x