Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT
Иван Чернов, 11/02/21
В России, как и во всем мире, наблюдается уверенный рост количества интеллектуальных устройств, обслуживающих промышленные системы, причем многие их них находятся в категории “необслуживаемые объекты”. Проблема обеспечения кибербезопасности подобных объектов в условиях развития технологий промышленного Интернета вещей (IIoT – Industrial Internet of Things) является крайне актуальной.
Автор: Иван Чернов, менеджер партнерского отдела UserGate
Функциональные возможности используемых в промышленности устройств продолжают интенсивно развиваться. При этом для обслуживания и обеспечения безопасности таких объектов в большинстве случаев не применяется комплексный подход, то есть используемые решения не обеспечивают комплексную безопасность и устойчивое функционирование инфраструктуры в целом.
Кроме того, критически важная промышленная инфраструктура, включая АСУ ТП, зачастую работает в устаревших сетях1, которые раньше были изолированы от корпоративного сегмента. Но в настоящее время растет необходимость удаленного подключения к ней, и в результате объекты инфраструктуры оказываются уязвимыми перед внешними атаками: более 70% уязвимостей в АСУ ТП, обнаруженных в первой половине 2020 г., возможно использовать удаленно2.
Для решения проблемы обеспечения кибербезопасности промышленных объектов компания UserGate выпустила межсетевой экран UserGate X13.
Основа решения UserGate X1
UserGate X1 является комплексным решением, способным гарантировать защиту промышленных объектов от атак, попыток взлома и вредоносного кода, а также обеспечить их управление и мониторинг. В решении поддерживается возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля, а при необходимости – вмешательства человека.
Соответствие используемых решений требованиям регуляторов является необходимым для промышленных предприятий. Все аппаратные и виртуальные устройства UserGate сертифицированы ФСТЭК России по классам "межсетевой экран" и "система обнаружения вторжений". Использование UserGate X1 позволит заказчикам из различных отраслей промышленности обеспечить соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России и 187-ФЗ, регламентирующим требования к информационной защите критически важных производственных объектов.
Задания правил работы с АСУ ТП
В обновленной версии операционной системы UGOS, используемой в UserGate X1, появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Таким образом, администратор ИБ может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий.
С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством через межсетевой экран. Поддерживается контролирование следующих протоколов АСУ ТП:
- ГОСТ Р МЭК 60870-5-104;
- Modbus;
- DNP3;
- MMS.
Администратор имеет возможность задать интересующие его профили АСУ ТП, в которых будет указан необходимый набор протоколов и команд, и использовать их в правилах.
Для начала работы UserGate X1 с АСУ ТП необходимо:
- Разрешить сервис SCADA для зоны, со стороны которой будет инициирован трафик АСУ ТП.
- Создать необходимые профили АСУ ТП – набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса.
- Создать требуемые правила АСУ ТП, определяющие действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями.
Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП, и действие, которое UserGate Х1 должен предпринять при срабатывании правила.
Защита объектов КИИ и интеграция с ГосСОПКА
Федеральный закон 187-ФЗ от 26.07.2017 г. "О безопасности КИИ" накладывает ряд требований по обеспечению безопасности объектов, относящихся к критической информационной инфраструктуре. Используемые на объектах КИИ системы должны соответствовать этим требованиям, а также обеспечивать взаимодействие с системой ГосСОПКА.
Главной целью обеспечения безопасности объектов КИИ является их устойчивое функционирование, в том числе при проведении в отношении них кибератак, а также их предотвращение. UserGate X1 является сертифицированным средством, обеспечивающим безопасность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, принадлежащих субъектам КИИ. Кроме этого UserGate X1 обеспечивает сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в используемую систему SIEM и систему ГосСОПКА.
Функциональные возможности UserGate X1, соответствие требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и требованиям ФСТЭК России делают его широко востребованным организациями из таких сфер, как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.
Возможность повышения отказоустойчивости
Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, возникающие в связи с возможными сбоями в работе аппаратного обеспечения. Она позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации в режимах active-active и active-passive. Кластеризация дает возможность применять к разным нодам единые настройки, политики, библиотеки, сертификаты, серверы авторизации, группы пользователей и т.д.
Особенности исполнения и работы UserGate X1
Работа в экстремальных условиях
Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.
Комплексная безопасность
Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).
UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.
Безопасное подключение по VPN
UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.
Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.
Соответствие регламентирующим документам
UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.
Наличие сертификата ФСТЭК России
Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.