Слепые зоны реагирования в АСУ ТП

Цифровизация промышленных процессов меняет саму природу рисков: уязвимость одного программируемого контроллера может обернуться простоем завода, а компрометация учетной записи –физическим ущербом. При этом классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.

Евгений Генгринович, ИнфоТеКС

Инциденты в промышленной инфраструктуре, особенно построенной на цифровых решениях, могут нести за собой тяжелые последствия как для бизнеса, так и для государства. Часто любое реагирование извне уже просто не нужно, авария, в том числе и с физическими разрушениями, уже произошла. Эксплуатация цифровых решений в промышленной инфраструктуре без применения цифровых двойников, киберполигонов и постоянного анализа вероятностей возникновения отказов должна стать недопустимой. Поведенческий анализ как функция необходим на этапе эксплуатации старых легаси-систем, архитектура, которых не предусматривала реализацию принципов Security-by-Design. Элементы реагирования на любые информационные воздействия на современные промышленные системы должны предусматриваться при их проектировании. Причем кибератаки – всего лишь один из видов таких воздействий. Системе не важна природа информационного воздействия, для промышленного решения важно обеспечить получение ожидаемых бизнес-результатов или отключить систему как можно раньше, чтобы своей некорректной работой она не нанесла ущерб окружающим или бизнесу.

Важно отметить, что важную роль в обеспечении такого реагирования должны сыграть встраиваемые средства криптографической защиты информации, которые могут обеспечить формирование функции "корень доверия" для любых типов устройств промышленной автоматизации и интернета вещей.

Вячеслав Половинко, АМТ-ГРУП

В АСУ ТП классические ИТ-методы защиты не всегда применимы из-за требований к доступности, низкой задержке и долгому жизненному циклу оборудования. Ключевыми становятся: сегментация и микросегментация, пассивный мониторинг и обнаружение аномалий, защита конечных устройств. Узких мест сейчас несколько: устаревшие устройства без поддержки мониторинга (например, PLC десятилетней давности), запрет патчинга из-за риска остановки производства, накопление уязвимостей, нехватка АСУ ТП-ориентированных SOC, отсутствие централизованного мониторинга и мест хранения логов для расследования инцидентов.

Андрей Кузнецов, АйТи Бастион

Из нашего опыта, основных проблемы три.

1. "Воздушный зазор – непробиваемый барьер".
2. Отсутствие необходимых систем мониторинга и реагирования в некоторых сегментах.
3. Несвоевременность передаваемых данных.

Приведу пример из жизни заказчика: до внедрения нашего решения мониторинговая информация из производственного сегмента передавалась раз в сутки на флешке. Любая централизованная реакция на любые изменения будет запаздывать при таком подходе. Повезет, если что-то негативное произойдет ближе ко времени съема информации, но никто не сможет гарантировать такой тайминг. Проактивный подход, в первую очередь – своевременность, а значит необходимо активно обмениваться данными.

Илья Карпов, BI.ZONE

Основной проблемой является отсутствие полной и актуальной инвентаризации активов – без этого невозможно быстро оценить риски и принять решение при инциденте. Следующая проблема – это сложности, связанные с патч-менеджментом. У ПО и ОС должны быть устранены все выявленные уязвимости. Стоит также уделить внимание небезопасным конфигурациям, которые очень часто присутствуют в промышленных сегментах сети. Существующие СЗИ для АСУ ТП не закрывают упомянутые пробелы, поэтому ИБ-специалистам приходится решать такие задачи в ручном режиме. Применение EDR-агента на конечных точках позволяет решить эти проблемы, сделав АСУ ТП гораздо устойчивее к инцидентам ИБ. Так, по данным SANS 2024 State of ICS/OT Cybersecurity, самым популярным источником событий для SOC являются решения на базе EDR.

Евгений Гончаров, Kaspersky ICS CERT

В специализированных решениях для защиты АСУ ТП куда больше проактивных технологий в соотношении к реактивным, чем в решениях для ИТ. Они изначально создавались именно проактивными. И не последнюю роль в формировании такой ситуации сыграли мы, когда 7–12 лет назад занимались евангелизацией темы безопасности АСУ ТП. Это сейчас главный бич всех промышленных предприятий – атаки вымогателей (и хактивистов, но преимущественно с тем же инструментарием, что и у вымогателей). А 10 лет назад в то, что системы АСУ ТП станут привлекательны для злоумышленников, на предприятиях почти никто не верил. Единственной реалистичной угрозой многие в промышленности считали атаки APT. Ну и, естественно, имеющие своей целью, как в случае Stuxnet (да простят меня коллеги за употребление этого теперь уже почти ругательного слова – ведь в данном контексте оно единственно правильное), нанесение физического ущерба – разрушение производственных активов, а то и, чего доброго, создание угрозы окружающей среде и здоровью и жизни людей. И единственным работающим аргументом в пользу интеграции специализированных защитных решений была демонстрация их способности обнаруживать попытки нанесения такого ущерба. А поскольку сценариев реальных атак подобного рода было взять неоткуда – "в дикой природе" они практически не встречались (да и сейчас, к счастью, с запасом хватит пальцев двух рук, если считать их по-честному), то их придумывали мы (и прочие разработчики таких специальных средств) сами.

Исследуя продукты АСУ ТП и системы управления на их основе, мы стремились обнаружить ситуации, не предусмотренные при проектировании систем АСУ и противоаварийной автоматики, которые могли бы возникнуть в случае целенаправленных деструктивных действий, и реализовать механизмы их обнаружения нашими продуктами.

На сегодняшний день мы ушли далеко вперед реальных злоумышленников в области придумывания сценариев атак с киберфизическим последствием – как минимум по их абсолютному количеству и степени изощренности. И это, наверное, хорошо, а не плохо. В конце концов, какие-то из этих сценариев если и не будут использованы злоумышленниками, могут случиться по "естественной" причине – в результате стечения обстоятельств и ошибки сотрудников предприятия. Похожая ситуация сейчас складывается и в отношении кибербезопасности автомобилей – злоумышленники их пока еще не атакуют, а мы уже стараемся их защитить – и в некоторых других областях.

Есть и другая форма проактивности при реализации защитных мер, которая приживается в промышленных секторах пока сильно хуже, чем в других (например, в финансовом). Нужно проактивно защищаться не только от принципиально новых векторов атак и способов их реализации, еще не опробованных злоумышленниками, но и от новых лично для вас – от тех, которые уже использовались в атаках на другие организации, но пока еще не были применены в отношении к вашей. Для этого многие вендоры кибербезопасности предоставляют решения для киберразведки – информирования клиентов об интересных технических деталях исследованных ими атак и важных аспектах обнаруженных уязвимостей. Так делаем и мы.

Более того, у нас есть специальная версия решения, сфокусированная на проблемах ИБ промышленных предприятий – ICS Threat Intelligence Reporting. Основываясь на данных, получаемых таким образом, организация может не только принимать очевидные оперативные меры (например, при выходе нового отчета добавить соответствующие индикаторы компрометации в свои защитные решения или просканировать свои системы, используя новые YARA-правила), но и реализовывать тактические меры (например, настроить многофакторную аутентификацию для консолей управления защитными решениями и вынести такие консоли из домена, включить новый интересный сценарий социальной инженерии в программу повышения осведомленности сотрудников), запланировать стратегические улучшения (например, пересмотреть подход к управлению уязвимостями, вложиться в собственную команду SOC, пересмотреть свои отношения с поставщиками в сторону ужесточения требований ИБ к ним и т.д.).

Если с использованием данных киберразведки в оперативных целях все промышленные организации справляются, то применять их к решению тактических задач и для достижения стратегических целей кибербезопасности не научился почти никто, если судить по тому, что мы слышим от представителей организаций. Вероятно, в первую очередь мешает пока еще невысокий уровень зрелости кибербезопасности – нехватка квалифицированных кадров, нерешенные до конца вопросы с разделением ответственности и предоставлением полномочий – все то, о чем написано выше.

И, наконец, третья, наиболее сложно достигаемая форма проактивности – это когда сами системы автоматизации резистентны к киберугрозам (мы называем это "кибеиммунитетом"). Это оказывается возможным только тогда, когда требования кибербезопасности имеют высокий приоритет с самых ранних этапов проектирования систем, равно как и использованных в них продуктах и лежащих в их основе технологий. Речь идет о подходах конструктивной информационной безопасности, о которых также написано выше. Шаги в этом направлении уже делаются, но тут мы все еще только в самом начале пути.