Вячеслав Половинко, 07/11/22
Сбор и анализ событий информационной безопасности необходим не только для своевременного обнаружения и пресечения кибератак, но и для выявления наиболее уязвимых точек ИТ-инфраструктуры. Эти задачи особенно актуальны в отношении объектов КИИ: недостаток проактивных действий по их защите может привести к катастрофическим последствиям. Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в этой статье.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Наиболее опасной угрозой для любого бизнеса являются квалифицированные злоумышленники, владеющие различными методами взлома, способные реализовать сложные кибератаки. Нарушение целостности или конфиденциальности данных, потеря доступности сетевой инфраструктуры могут поставить под угрозу достижение целей компании и нанести ей непоправимый репутационный и экономический ущербы. Поэтому необходимо выявлять кибератаки на ранних этапах развития и своевременно реагировать на инциденты.
SOC (Security Operations Center), или ситуационный центр информационной безопасности, уже стал неотъемлемой частью ИТ-инфраструктуры организаций. Технической основой SOC является система управления событиями информационной безопасности – SIEM (Security Information and Event Management). Обычно она встраивается в ИТ-ландшафт корпоративных сетевых сегментов, а в последнее время все активнее приходит и в сегменты АСУ ТП.
Зачастую защищенный сегмент логически и технологически отделен от остальных корпоративных и внешних сетей. Он может представлять собой слепую или полуслепую зону для инженеров SOC и специалистов ИБ. Более того, могут существовать законодательные и организационные ограничения для сопряжения критических сегментов КИИ с другими сегментами КИИ и сегментами вне КИИ.
Для анализа информации, поступающей от различных устройств сегмента АСУ ТП, подключенных к SIEM, и дальнейшего выявления возникающих инцидентов необходимо обеспечить надежный канал связи. Этот канал используется для доставки событий сегмента АСУ ТП в центр сбора, анализа и принятия решений SOC. Соответственно, внедрение SIEM априори предполагает исключение полной изоляции (типа воздушного зазора) защищаемых сегментов сети.
Таким образом, возникает противоречие между необходимостью передать данные, то есть обеспечить сетевую связность с менее доверенными сегментами, где установлена SIEM, и непрогнозируемым влиянием стороннего программного обеспечения (той же SIEM) на технологические процессы и сегмент АСУ ТП. Сам канал связи и каналообразующее оборудование между защищаемым сегментом и SOC в этом случае могут представлять собой потенциальную брешь для компрометации объекта защиты, снижая уровень его защищенности. Это противоречие усиливается тем, что программное обеспечение SIEM, как правило, создается для выполнения иных задач и не проверяется на совместимость с системами, которые установлены в АСУ ТП и являются технологическими.
Для преодоления этого противоречия можно использовать технологии однонаправленной передачи данных, основанные на принципах физической изоляции одного сетевого сегмента от другого, но обеспечивающие возможность передачи данных из закрытого контура во внешние сети – только в одну сторону. Такие технологии гарантируют целостность и доступность данных в защищенном сегменте, а также полностью исключают риски передачи каких-либо сигналов в обратном направлении – внутрь защищаемого сегмента.
Примером реализации технологии однонаправленной передачи данных могут выступать "диоды", выпускаемые компанией АМТ-ГРУП под брендом InfoDiode. Они позволяют передавать такие виды трафика, как Syslog, Netflow, данные от агентов мониторинга, Winlog, SPAN-трафик, файлы и другую информацию. С целью расширения применимости "диодов", используемых для сбора данных в SIEM, InfoDiode имеет заявления о совместимости практически со всеми решениями отечественных компаний в области ИБ, например с продуктами Positive Technologies (MaxPatrol SIEM и PT ISIM), "Лаборатории Касперского" (KICS for Networks, KPSN), СПБ (СКЗИ "Квазар"), CyberLympha (CL DATAPK), INFOWATCH (IW ARMA INDUSTRIAL FIREWALL, IW ARMA MANAGEMENT CONSOLE) и др.
Важным аспектом применения "диодов" в контексте SIEM-систем является тот факт, что и сам "диод" должен передавать данные о своем функционировании в SIEM. То есть, являясь средством, защищающим сетевой периметр организации, "диод" должен уметь сообщать данные о том, что через него передается, а именно меняются ли параметры доступа к нему, проводятся ли изменения сетевых настроек, нарушен ли контроль целостности ПО, есть ли санкционированные и несанкционированные попытки доступа к консоли управления и т.п.
Что ждет SIEM в обозримом будущем в сегментах КИИ и АСУ ТП?
В условиях наметившихся тенденций более жесткой сегментации сетей могут быть выделены следующие направления развития SIEM в части применения в сегментах КИИ и АСУ ТП:
- Физическая сегментация (изоляция) сети источника событий при условии сохранения сетевой связности с приемником для обеспечения сбора максимально возможного количества данных для подразделений ИБ и SOC, то есть увеличения фактов применения "диодов" на практике.
- Поддержка SIEM новых видов источников данных, существующих и возникающих в сегментах АСУ ТП, для целей анализа специалистами ИБ (данные сетевого трафика, данные с рабочих мест операторов, данные технологических процессов и т.п.).
- Поиск проактивных решений по изоляции обнаруженных средствами SIEM угроз с учетом специфики производственных процессов. Еще только предстоит решить, как, кем и в каком объеме должны быть приняты меры по локализации обнаруженной угрозы. Могут ли такие меры приниматься автоматически – программным обеспечением, без участия специалистов ИБ? Должны ли быть созданы гарантированно изолированные "карантины" и песочницы в рамках исследования обнаруженных угроз и скомпрометированного программного обеспечения?
- Рост квалификации специалистов ИБ в предметной области АСУ ТП, который критически необходим для эффективного выявления и купирования специфических угроз. Такие специальности ИБ существовали и ранее, но только сейчас стали возникать конкретные практические задачи по внедрению SIEM в АСУ ТП-сегментах и реализации специфических для этих сегментов мер защиты.
