Подход к мониторингу конечных точек в технологической инфраструктуре

Современная инфраструктура конечных точек – живой, постоянно меняющийся организм, состоящий из множества разнородных элементов. Подходы к обеспечению защиты этих элементов могут значительно отличаться.

Автор: Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Современные экспертные средства защиты должны учитывать уникальность корпоративных инфраструктур и уметь адаптироваться под них. Всеобъемлющих механизмов защиты, которые подходят для всех, не существует. Особое место занимают технологические инфраструктуры, обладающие своей спецификой. В их состав входит разнообразное технологическое ПО, которое нужно контролировать и защищать.

В чем особенности технологических инфраструктур?

Чтобы понять, как выстроить процесс мониторинга технологических инфраструктур, сначала нужно разобраться: в чем заключается их специфика, что их отличает от обычного корпоративного сегмента?

Среди самых важных отличительных черт можно выделить следующие.

Большой жизненный цикл установок и систем

АСУ ТП проектируется так, чтобы отработать максимальное время на отказ с наименьшим числом воздействий со стороны человека. Мотивация такого проектирования очевидна: предприятие заинтересовано в том, чтобы промышленное оборудование выполняло бизнес-цели максимально долго и стабильно с неизменным результатом. Поэтому системы настраивают по принципу "настроили – работает – не трогай". Это приводит к тому, что зачастую в технологических сегментах используется устаревшее программное обеспечение на старом и малопроизводительном оборудовании.

Закрытые проприетарные протоколы и ПО

Одна из центральных сущностей, которую нужно защищать в технологической инфраструктуре, – серверы SCADA. Это, как правило, обычные операционные системы с установленным проприетарным ПО для управления технологическими процессами. Это ПО – входная точка в конфигурацию с возможностью изменения процессов, – лакомый кусок для злоумышленника. А значит, необходимо тщательно контролировать происходящее на таких устройствах и отслеживать изменения, которые происходят в конфигурации технологического ПО.

Серьезные последствия из-за малейшего воздействия

Обычные корпоративные инфраструктуры с классическим ПО и пользователями не восприимчивы к незначительному влиянию на производительность, которое оказывают стандартные средства защиты, а в технологическом сегменте даже малейшее воздействие может привести к серьезным последствиям для производственных процессов. Поэтому любое СЗИ нужно тщательно тестировать на совместимость при его внедрении в технологический контур, исключая потенциальное влияние на бизнес-процессы.

Что требуется от вендоров?

Процесс мониторинга и обеспечения защиты конечных точек в технологическом сегменте по сравнению с обычной инфраструктурой требует значительно большего внимания в части:

• влияния СЗИ на ОС и ПО;
• дополнительного контроля конфигураций проприетарного ПО;
• сбора событий кибербезопасности от проприетарного ПО;
• совместимости СЗИ со старыми версиями ОС и ПО.

При проектировании средств защиты и мониторинга вендоры должны учитывать эти особенности, чтобы иметь возможность беспрепятственно интегрировать свои решения в технологические инфраструктуры.

И возникает резонный вопрос: а существуют ли какие-то специфические различия в области обнаружения угроз и реагирования, характерные для АСУ ТП?

Если коротко, отличия есть, но они небольшие. Для злоумышленника технологический сегмент – это обычная инфраструктура, просто здесь чаще встречаются старые ОС, ПО и больше блокирующих политик. Кроме того, стоит учитывать, что одна из основных целей атакующего в контексте технологических инфраструктур – контроллеры АСУ ТП. Злоумышленник может получить доступ к контроллерам через инженерное проприетарное ПО, которое почти всегда присутствует на серверах и АРМ.

В придачу к классическому мониторингу угроз идут два дополнения:

1. Необходимо более пристально контролировать происходящее на устройствах АСУ ТП, серверах и АРМ. В таких закрытых системах редко встречается новая нестандартная активность, например запуск программ, манипуляции с реестром или файловой системой, поэтому можно определить активность, которая является характерной. Такая особенность позволяет профилировать активность устройства и обнаруживать нестандартные и нехарактерные паттерны. Это, в свою очередь, помогает выявить присутствие злоумышленника в технологической инфраструктуре. Более того, на подобных устройствах возможно использовать Application Control, который позволяет фиксировать запускаемые программы и оповещать, если запущено неразрешенное ПО.
2. Необходимо мониторить конфигурации и изменения в программном обеспечении АСУ ТП. У такого ПО есть множество различных настроек, неправильное использование которых может открывать злоумышленникам новые пути для развития атак. Нужно регулярно и своевременно выявлять небезопасные конфигурации, выдавая рекомендации по их исправлению. Необходимо отслеживать попытки воздействия на такие конфигурации, чтобы обнаружить сценарии, в которых злоумышленник пытается открыть для себя новый вектор развития атаки.

Решать подобные задачи можно с помощью современных EDR-систем. Этот класс решений позволяет мониторить активность в инфраструктуре, выявлять характерные паттерны присутствия в ней злоумышленника, осуществлять автоматическое и ручное реагирование на устройствах, выявлять небезопасные конфигурации ПО, а также отслеживать изменения конфигураций.

Что нужно от EDR для защиты АСУ ТП?

Рассмотрим, что должно быть в EDR-решении для эффективной работы в технологической инфраструктуре.

Гибкость при конфигурировании продукта под конкретную инфраструктуру и определенные задачи

• Настраиваемые режимы работы технологий мониторинга, которые подразумевают степень инвазивности и потенциального влияния на ОС. В операционных системах есть разные функциональные возможности по сбору информации об активности на устройстве, которые могут по-разному влиять на ОС и ПО, а также на стабильность и производительность системы. Администратор кибербезопасности должен иметь возможность самостоятельно принимать решение, какие технологии использовать, а какие – нет, понимая, как именно это повлияет на способность продукта обнаруживать угрозы.
• Настраиваемая телеметрия и сценарии выявления угроз. EDR – это своего рода швейцарский нож, который должен открывать широкие возможности по решению конкретных задач в мониторинге и выявлении угроз. Администраторы ИБ должны иметь возможность самостоятельно определять перечень необходимой и собираемой информации.

Стоит учитывать, что подобная гибкость влияет и на сложность решения. Это значит, что вендор EDR, помимо гибкого решения, может поставлять свои унифицированные наборы экспертизы, которые подготовлены и адаптированы под основные категории, типы оборудования и инфраструктур.

Механизмы выявления небезопасных конфигураций и мониторинг изменений конфигураций

EDR должен выявлять не только небезопасные конфигурации ОС и классического ПО, но и программ, специфичных для АСУ ТП. Эти механизмы помогают защитить конечные точки, ведь, исправляя обнаруженные небезопасные настройки, администраторы кибербезопасности значительно затрудняют продвижение злоумышленника по инфраструктуре.

Поддержка широкого спектра версий ОС

Для полноценной работы продукта в технологической сети нужно учитывать, что с высокой вероятностью в ней присутствуют старые ОС и ПО. Современное EDR-решение должно не только иметь возможность запускаться на подобных ОС, но и не оказывать негативного влияния на производительность устройств, что крайне важно.

Рис. Пример рекомендаций по безопасности в BI.ZONE EDR

Как это реализовано в BI.ZONE EDR

В BI.ZONE EDR осуществлен ряд возможностей, которые позволяют эффективно работать в технологических инфраструктурах:

• BI.ZONE обладает продвинутыми механизмами для мониторинга и реагирования на современные киберугрозы на всех актуальных ОС (Windows/Linux/macOS), в том числе угрозы, которые релевантны технологическим инфраструктурам. Решение имеет широкий набор телеметрии, который состоит более чем из 160 уникальных событий мониторинга и более 40 событий инвентаризации. Это позволяет эффективно реализовывать алгоритмы для выявления угроз. Более того, правила генерации телеметрии и правила выявления угроз можно изменять и дополнять, адаптируя решение под свою инфраструктуру и реализуя произвольные сценарии мониторинга и реагирования.
• В BI.ZONE EDR присутствует компонент Threat Prediction, который исследует ОС и ПО на наличие небезопасных конфигураций. Модуль генерирует рекомендации по их исправлению для администраторов кибербезопасности.
• В составе BI.ZONE EDR поставляется ряд профилей мониторинга и реагирования, которые подходят для использования решения как на обычных инфраструктурных устройствах, так и на высоконагруженных серверах, где необходимо исключить возможное влияние на производительность устройства. Такой сценарий применения позволяет администратору гибко настраивать мониторинг в инфраструктуре в зависимости от типа и категории устройства.
• Решение может работать в бездрайверном режиме, что позволяет администраторам настраивать сценарии применения решения и исключать потенциальные возможности влияния на ПО.
• В BI.ZONE EDR есть модуль АСУ ТП, в котором предусмотрены проверки конфигураций технологического ПО. Модуль позволяет как выявлять небезопасные конфигурации, так и формировать рекомендации по безопасности, следуя которым администратор значительно сужает поверхность атаки инфраструктуры.

Выводы

Эффективная защита конечных точек в технологической инфраструктуре невозможна без глубокого понимания специфики АСУ ТП, поэтому важно выбирать средства защиты, которые ее учитывают и прошли тестирование на совместимость с технологическим ПО.

EDR-решения, которые обладают широкими возможностями мониторинга и позволяют гибко конфигурировать продукт под конкретную инфраструктуру, способны значительно усилить киберзащиту АСУ ТП и минимизировать последствия в случае проникновения злоумышленника.

Реклама. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjeMiMeD