Контакты
Подписка 2025
Статьи по информационной безопасности

Подход к мониторингу конечных точек в технологической инфраструктуре

Теймур Хеирхабаров, 16/06/25

Современная инфраструктура конечных точек – живой, постоянно меняющийся организм, состоящий из множества разнородных элементов. Подходы к обеспечению защиты этих элементов могут значительно отличаться.

Автор: Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Современные экспертные средства защиты должны учитывать уникальность корпоративных инфраструктур и уметь адаптироваться под них. Всеобъемлющих механизмов защиты, которые подходят для всех, не существует. Особое место занимают технологические инфраструктуры, обладающие своей спецификой. В их состав входит разнообразное технологическое ПО, которое нужно контролировать и защищать.

В чем особенности технологических инфраструктур?

Чтобы понять, как выстроить процесс мониторинга технологических инфраструктур, сначала нужно разобраться: в чем заключается их специфика, что их отличает от обычного корпоративного сегмента?

Среди самых важных отличительных черт можно выделить следующие.

Большой жизненный цикл установок и систем

АСУ ТП проектируется так, чтобы отработать максимальное время на отказ с наименьшим числом воздействий со стороны человека. Мотивация такого проектирования очевидна: предприятие заинтересовано в том, чтобы промышленное оборудование выполняло бизнес-цели максимально долго и стабильно с неизменным результатом. Поэтому системы настраивают по принципу "настроили – работает – не трогай". Это приводит к тому, что зачастую в технологических сегментах используется устаревшее программное обеспечение на старом и малопроизводительном оборудовании.

Закрытые проприетарные протоколы и ПО

Одна из центральных сущностей, которую нужно защищать в технологической инфраструктуре, – серверы SCADA. Это, как правило, обычные операционные системы с установленным проприетарным ПО для управления технологическими процессами. Это ПО – входная точка в конфигурацию с возможностью изменения процессов, – лакомый кусок для злоумышленника. А значит, необходимо тщательно контролировать происходящее на таких устройствах и отслеживать изменения, которые происходят в конфигурации технологического ПО.

Серьезные последствия из-за малейшего воздействия

Обычные корпоративные инфраструктуры с классическим ПО и пользователями не восприимчивы к незначительному влиянию на производительность, которое оказывают стандартные средства защиты, а в технологическом сегменте даже малейшее воздействие может привести к серьезным последствиям для производственных процессов. Поэтому любое СЗИ нужно тщательно тестировать на совместимость при его внедрении в технологический контур, исключая потенциальное влияние на бизнес-процессы.

Что требуется от вендоров?

Процесс мониторинга и обеспечения защиты конечных точек в технологическом сегменте по сравнению с обычной инфраструктурой требует значительно большего внимания в части:

  • влияния СЗИ на ОС и ПО;
  • дополнительного контроля конфигураций проприетарного ПО;
  • сбора событий кибербезопасности от проприетарного ПО;
  • совместимости СЗИ со старыми версиями ОС и ПО.

При проектировании средств защиты и мониторинга вендоры должны учитывать эти особенности, чтобы иметь возможность беспрепятственно интегрировать свои решения в технологические инфраструктуры.

И возникает резонный вопрос: а существуют ли какие-то специфические различия в области обнаружения угроз и реагирования, характерные для АСУ ТП?

Если коротко, отличия есть, но они небольшие. Для злоумышленника технологический сегмент – это обычная инфраструктура, просто здесь чаще встречаются старые ОС, ПО и больше блокирующих политик. Кроме того, стоит учитывать, что одна из основных целей атакующего в контексте технологических инфраструктур – контроллеры АСУ ТП. Злоумышленник может получить доступ к контроллерам через инженерное проприетарное ПО, которое почти всегда присутствует на серверах и АРМ.

В придачу к классическому мониторингу угроз идут два дополнения:

  1. Необходимо более пристально контролировать происходящее на устройствах АСУ ТП, серверах и АРМ. В таких закрытых системах редко встречается новая нестандартная активность, например запуск программ, манипуляции с реестром или файловой системой, поэтому можно определить активность, которая является характерной. Такая особенность позволяет профилировать активность устройства и обнаруживать нестандартные и нехарактерные паттерны. Это, в свою очередь, помогает выявить присутствие злоумышленника в технологической инфраструктуре. Более того, на подобных устройствах возможно использовать Application Control, который позволяет фиксировать запускаемые программы и оповещать, если запущено неразрешенное ПО.
  2. Необходимо мониторить конфигурации и изменения в программном обеспечении АСУ ТП. У такого ПО есть множество различных настроек, неправильное использование которых может открывать злоумышленникам новые пути для развития атак. Нужно регулярно и своевременно выявлять небезопасные конфигурации, выдавая рекомендации по их исправлению. Необходимо отслеживать попытки воздействия на такие конфигурации, чтобы обнаружить сценарии, в которых злоумышленник пытается открыть для себя новый вектор развития атаки.

Решать подобные задачи можно с помощью современных EDR-систем. Этот класс решений позволяет мониторить активность в инфраструктуре, выявлять характерные паттерны присутствия в ней злоумышленника, осуществлять автоматическое и ручное реагирование на устройствах, выявлять небезопасные конфигурации ПО, а также отслеживать изменения конфигураций.

Что нужно от EDR для защиты АСУ ТП?

Рассмотрим, что должно быть в EDR-решении для эффективной работы в технологической инфраструктуре.

Гибкость при конфигурировании продукта под конкретную инфраструктуру и определенные задачи

  • Настраиваемые режимы работы технологий мониторинга, которые подразумевают степень инвазивности и потенциального влияния на ОС. В операционных системах есть разные функциональные возможности по сбору информации об активности на устройстве, которые могут по-разному влиять на ОС и ПО, а также на стабильность и производительность системы. Администратор кибербезопасности должен иметь возможность самостоятельно принимать решение, какие технологии использовать, а какие – нет, понимая, как именно это повлияет на способность продукта обнаруживать угрозы.
  • Настраиваемая телеметрия и сценарии выявления угроз. EDR – это своего рода швейцарский нож, который должен открывать широкие возможности по решению конкретных задач в мониторинге и выявлении угроз. Администраторы ИБ должны иметь возможность самостоятельно определять перечень необходимой и собираемой информации.

Стоит учитывать, что подобная гибкость влияет и на сложность решения. Это значит, что вендор EDR, помимо гибкого решения, может поставлять свои унифицированные наборы экспертизы, которые подготовлены и адаптированы под основные категории, типы оборудования и инфраструктур.

Механизмы выявления небезопасных конфигураций и мониторинг изменений конфигураций

EDR должен выявлять не только небезопасные конфигурации ОС и классического ПО, но и программ, специфичных для АСУ ТП. Эти механизмы помогают защитить конечные точки, ведь, исправляя обнаруженные небезопасные настройки, администраторы кибербезопасности значительно затрудняют продвижение злоумышленника по инфраструктуре.

Поддержка широкого спектра версий ОС

Для полноценной работы продукта в технологической сети нужно учитывать, что с высокой вероятностью в ней присутствуют старые ОС и ПО. Современное EDR-решение должно не только иметь возможность запускаться на подобных ОС, но и не оказывать негативного влияния на производительность устройств, что крайне важно.

ris1_2x_w
Рис. Пример рекомендаций по безопасности в BI.ZONE EDR

Как это реализовано в BI.ZONE EDR

В BI.ZONE EDR осуществлен ряд возможностей, которые позволяют эффективно работать в технологических инфраструктурах:

  • BI.ZONE обладает продвинутыми механизмами для мониторинга и реагирования на современные киберугрозы на всех актуальных ОС (Windows/Linux/macOS), в том числе угрозы, которые релевантны технологическим инфраструктурам. Решение имеет широкий набор телеметрии, который состоит более чем из 160 уникальных событий мониторинга и более 40 событий инвентаризации. Это позволяет эффективно реализовывать алгоритмы для выявления угроз. Более того, правила генерации телеметрии и правила выявления угроз можно изменять и дополнять, адаптируя решение под свою инфраструктуру и реализуя произвольные сценарии мониторинга и реагирования.
  • В BI.ZONE EDR присутствует компонент Threat Prediction, который исследует ОС и ПО на наличие небезопасных конфигураций. Модуль генерирует рекомендации по их исправлению для администраторов кибербезопасности.
  • В составе BI.ZONE EDR поставляется ряд профилей мониторинга и реагирования, которые подходят для использования решения как на обычных инфраструктурных устройствах, так и на высоконагруженных серверах, где необходимо исключить возможное влияние на производительность устройства. Такой сценарий применения позволяет администратору гибко настраивать мониторинг в инфраструктуре в зависимости от типа и категории устройства.
  • Решение может работать в бездрайверном режиме, что позволяет администраторам настраивать сценарии применения решения и исключать потенциальные возможности влияния на ПО.
  • В BI.ZONE EDR есть модуль АСУ ТП, в котором предусмотрены проверки конфигураций технологического ПО. Модуль позволяет как выявлять небезопасные конфигурации, так и формировать рекомендации по безопасности, следуя которым администратор значительно сужает поверхность атаки инфраструктуры.

Выводы

Эффективная защита конечных точек в технологической инфраструктуре невозможна без глубокого понимания специфики АСУ ТП, поэтому важно выбирать средства защиты, которые ее учитывают и прошли тестирование на совместимость с технологическим ПО.

EDR-решения, которые обладают широкими возможностями мониторинга и позволяют гибко конфигурировать продукт под конкретную инфраструктуру, способны значительно усилить киберзащиту АСУ ТП и минимизировать последствия в случае проникновения злоумышленника.

Реклама. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjeMiMeD
Темы:АСУ ТПBI.ZoneEDRЖурнал "Информационная безопасность" №2, 2025BI.ZONE EDR

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Управление конфигурациями: как защититься до атаки
    Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
    Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.
  • Щедрость владельцев инфраструктуры не победить! Часть 1
    Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE
    Случаются ли нелепые, абсурдные и курьезные киберинциденты? Безусловно. Все приведенные ниже истории – реальные случаи из практики. Они забавны, но за каждым таким эпизодом скрываются реальные последствия: простои бизнеса, финансовые потери и репутационные удары. Читайте, улыбайтесь, и пусть эти ошибки останутся в чужих историях, а не в вашей практике.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности