Контакты
Подписка 2024
МЕНЮ
Контакты
Подписка

Однонаправленные шлюзы для подключения объектов технологической сети к SOC

АМТ ГРУП, 21/12/20

Квалифицированные злоумышленники, владеющие различными методами взлома и способные реализовать сложные кибератаки на ИT-инфраструктуру, в настоящее время являются одной из наиболее опасных угроз для любого бизнеса. Нарушение целостности, потеря доступности сетевой инфраструктуры и/или потеря конфиденциальных данных могут поставить под угрозу достижение целей компании и нанести ей непоправимый репутационный, а также экономический ущерб. Именно поэтому необходимо на ранних этапах выявлять организацию и развитие кибератаки, своевременно реагируя на инциденты ИБ.

Авторы:
Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Виктория Стерлядева, инженер группы информационной поддержки АМТ-ГРУП
Анастасия Лазарева, инженер группы информационной поддержки АМТ-ГРУП

Что такое SOC?

Для обнаружения и обработки инцидентов многие организации выделяют в своей инфраструктуре центр мониторинга и управления информационной безопасностью, то есть SOC (Security Operations Center), или, другими словами, ситуационный центр информационной безопасности.

Концепция SOC направлена на обеспечение непрерывного анализа возникающих рисков и угроз, выбора эффективных мер защиты, своевременной реакции на инциденты и успешного взаимодействия подразделений в рамках обеспечения безопасности.

Следует отметить, что для мониторинга всей ИТ-инфраструктуры требуется отслеживать и обеспечивать корреляцию для достаточно большого объема событий. При этом неизбежно возникает и целый ряд технически сложных задач, среди которых можно выделить следующие:

  1. Сбор событий из самых разных источников информации – средств защиты, АРМ, бизнес-систем, баз данных, серверов... И все это с учетом возможных ограничений по каналам связи, ресурсам хранения данных и т.п.
  2. Поступление событий от источников на разных языках прикладного уровня и доставляемых до системы анализа по разным протоколам; каждый тип такого события должен быть корректно прочитан и обработан для последующего анализа и соответствующей реакции.
  3. Необходимость проведения комплексной корреляции событий и выстраивание правильных и значимых с точки зрения ИБ взаимосвязей.

Технической основой SOC является система управления событиями информационной безопасности – SIEM (Security Information and Event Management).

SIEM предназначена для анализа поступающей информации от различных устройств, подключенных к ней, и дальнейшего выявления возникающих инцидентов, в том числе в отдельном (защищаемом) сегменте сети. Она работает с большим потоком разнородной информации от различных источников. Данная система служит инструментом для сбора, фильтрации, унификации, хранения и поиска, корреляции, создания оповещений об инцидентах, визуализации, разбора и расследования инцидентов информационной безопасности.

Рассмотрим пример работы SIEM в части сбора событий от источников в защищаемом сегменте сети (см. рис. 1).


Рис. 1. Пример сбора событий от источников в защищаемом сегменте сети

На рисунке показано схематическое взаимодействие источников событий, расположенных в защищаемом сегменте сети, с приемником событий SIEM ситуационного центра. Источники могут быть как активными, то есть умеющими самостоятельно передавать данные в SIEM, и им достаточно указать сетевой адрес приемника событий, так и пассивными, то есть к которым SIEM сама должна обратиться. Примеры активных источников – устройства, передающие данные, например, по протоколам Syslog или Netflow. Пассивные источники – это устройства, которые только принимают сетевые подключения, например, по протоколам FTP, CIFS, HTTP, SCP для выгрузки своих файлов журналов.

Поскольку защищенный сегмент, как правило, отделен от остальных корпоративных и внешних сетей, то он может представлять собой "слепую" или "полуслепую" зону для инженеров SOC. Это прежде всего связано с тем, что на практике могут существовать значительные законодательные, организационные и технические трудности при организации передачи данных в ситуационный центр из защищаемого сегмента и наоборот. Канал связи и каналообразующее оборудование между защищаемым сегментом и SOC представляют собой потенциальную возможность для облегчения компрометации объекта, тем самым снижая уровень защищенности последнего.

Дело в том, что в современной терминологии сетей связи практически любое сетевое подключение к защищаемому сегменту или объекту трактуется как двунаправленное и чаще всего таким и является. Промежуточные звенья сети, средства защиты, дополнительное оборудование не оказывают какого-либо влияния на принципиально двунаправленный характер такого взаимодействия, вне зависимости от используемого типа средств защиты – межсетевые экраны, маршрутизаторы, программное обеспечение и т.п.

При этом важным аспектом двунаправленного взаимодействия остается тот факт, что оно несет риски потери управления критическим объектом со стороны авторизованных управляющих служб, диспетчерских подразделений, служб поддержки. Это становится возможным из-за относительно высокой вероятности реализации атаки по двунаправленному каналу. Речь идет о классе управляемых атак, для эффективной организации которых необходимым условием является наличие оперативной обратной связи – обмена вида "запрос-ответ", обеспечиваемого преимущественно в рамках стека протоколов TCP/IP. Помимо стандартных угроз прямого получения злоумышленником доступа к критическому объекту и последующего нанесения ущерба, примерами известных реализуемых угроз, в основе которых лежит двунаправленный характер информационного обмена, являются WannaCry, Petya, EternalRocks и др.

Отдельный значимый риск для защищаемой инфраструктуры – это возможность направления, загрузки чего-либо в критический сегмент, например вредоносного кода, шпионского ПО и т.п., для целей мониторинга, сбора информации, нанесения отложенного ущерба.

Безусловно, атаки могут носить и однонаправленный характер. Так, используя протоколы без обратной связи UDP или ICMP, злоумышленник может попытаться не захватить контроль над объектом, но вывести его из эксплуатации, например, с помощью DoS-атаки. Однако в действительности такие атаки распространены существенно меньше.

Для решения подобных проблем и подключения к SOC источников без повышения рисков воздействия на важный объект и защиты со стороны злоумышленника целесообразно применять технические решения на основе устройств однонаправленной передачи данных, например таких, как аппаратный комплекс InfoDiode (АК InfoDiode) или аппаратно-программный комплект InfoDiode (АПК InfoDiode).

Решения АК InfoDiode и АПК InfoDiode

Наиболее распространенными сценариями применения АПК InfoDiode как шлюза между сегментом значимого объекта и сегментом SOC могут быть:

  • сценарий передачи информации от пассивных источников защищаемого объекта с последующим их чтением коллекторами SOC;
  • сценарий передачи информации от активных источников защищаемого объекта на коллекторы SOC;
  • сценарий анализа сетевого трафика от компонентов защищаемого объекта (например, на базе продуктов PT ISIM);
  • отправка оповещений по e-mail.

Сценарий передачи информации от пассивных источников защищаемого объекта с последующим их чтением коллекторами SOC

В этом сценарии данные передаются по протоколам FTP/CIFS c сервера In-Proxy через аппаратный комплекс InfoDiode на сервер Out-Proxy.

Файлы, которые необходимо передать из защищаемого сегмента, помещаются на сервер In-Proxy, проходят через АПК InfoDiode и отправляются в конечную папку Out-Proxy сервера, к которой сможет обращаться внешняя система мониторинга (например, SIEM) или сотрудники SOC.

Сценарий передачи информации от активных источников защищаемого объекта на коллекторы SOC

В этом случае передача событий из защищаемого сегмента происходит с использованием Syslog и Netflow на внешнюю систему мониторинга SOC. Передача UDP-трафика через АПК InfoDiode позволяет обеспечить одностороннюю автоматическую передачу информации во внешнюю систему мониторинга или на файловый сервер (см. рис. 2).

Рис. 2. Односторонняя передача информации во внешнюю систему мониторинга

Сценарий анализа сетевого трафика от устройств защищаемого сегмента

Данный сценарий обеспечивает реализацию защиты закрытого сегмента в случае организации сбора и последующего анализа копии технологического трафика внешней системой мониторинга (например, IDS) через однонаправленный шлюз. Одним из примеров реализации данного сценария является совместное решение АК InfoDiode и Positive Technologies Industrial Security Incident Manager (PT ISIM)1 (см. рис. 3).


Рис. 3. АК InfoDiode устанавливается на границе критического сегмента, подключаясь к порту зеркалирования коммутатора сегмента защищаемого объекта и к PT ISIM, находящемуся во внешнем сегменте

Отправка оповещений по e-mail

Данный сценарий позволяет передачу уведомлений через АПК InfoDiode от системы мониторинга, находящейся в закрытом сегменте, с помощью почтового трафика:

  1. SMTP-клиент передает на SMTP-сервер InProxy сообщение электронной почты.
  2. InProxy пересылает сообщение на OutProxy.
  3. SMTP-клиент OutProxy пересылает сообщение на внешний SMTP-сервер.

Каждый из представленных сценариев позволяет построить комплексную систему защиты, базирующуюся на исключении воздействия на защищаемый объект со стороны менее доверенного сегмента, в том числе такого, в котором находится SOC и функционирующая в нем система SIEM. В каждом из сценариев однонаправленные шлюзы InfoDiode позволяют обеспечить безопасную интеграцию технологической и корпоративной сетей, а также непрерывный мониторинг функционирования технологической сети из других сегментов, в том числе возможность реагирования со стороны служб SOC на инциденты ИБ.

Темы:SOCЖурнал "Информационная безопасность" №5, 2020АСУ ТП

Актуальные вопросы защиты информации
Организатор: ФСТЭК России
14 февраля 2024

Жми для участия
Кибербезопасность в новой реальности
15 февраля 2024. Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по той же темеСтатьи по той же теме

  • SOC для защиты бизнес-процессов
    Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
    У центров мониторинга есть возможность защищать бизнес не только путем выявления и реагирования на кибератаки, но и путем защиты бизнес-процессов.
  • Новинки компании "ИнфоТеКС" на Большом Московском ИнфоТеКС ТехноФест 2023
    Были представлены все решения ИнфоТеКС, в том числе ViPNet Coordinator HW, ViPNet Coordinator IG, ViPNet CSS Connect, ViPNet xFirewall, системы квантового распределения ключей и новый крипточип для промышленных систем.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • IRP в межвузовском SOC: формат проактивной ИБ-стратегии
    Илья Лорич, ведущий инженер отдела информационной безопасности Innostage
    О роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани.
  • Актуальные вопросы построения защиты АСУ ТП
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    АСУ являются одними из наиболее критичных систем, требующих внимания. Реализация СБ АСУ, как правило, связана с определенными ограничениями и сложностями.
  • Кибербезопасность объектов ТЭК в 2023 году
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Предприятия ТЭК являются одними из наиболее критических объектов, которые требуют самых серьезных мер защиты от современных кибератак. Однако бок о бок с критичностью и актуальностью защиты предприятий ТЭК идут сложности организации комплексной системы информационной безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для ключевых отраслей
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
Жми, чтобы участвовать