Сбор и анализ событий информационной безопасности необходим не только для своевременного обнаружения и пресечения кибератак, но и для выявления наиболее уязвимых точек ИТ-инфраструктуры. Эти задачи особенно актуальны в отношении объектов КИИ: недостаток проактивных действий по их защите может привести к катастрофическим последствиям. Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в этой статье.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Наиболее опасной угрозой для любого бизнеса являются квалифицированные злоумышленники, владеющие различными методами взлома, способные реализовать сложные кибератаки. Нарушение целостности или конфиденциальности данных, потеря доступности сетевой инфраструктуры могут поставить под угрозу достижение целей компании и нанести ей непоправимый репутационный и экономический ущербы. Поэтому необходимо выявлять кибератаки на ранних этапах развития и своевременно реагировать на инциденты.
SOC (Security Operations Center), или ситуационный центр информационной безопасности, уже стал неотъемлемой частью ИТ-инфраструктуры организаций. Технической основой SOC является система управления событиями информационной безопасности – SIEM (Security Information and Event Management). Обычно она встраивается в ИТ-ландшафт корпоративных сетевых сегментов, а в последнее время все активнее приходит и в сегменты АСУ ТП.
Зачастую защищенный сегмент логически и технологически отделен от остальных корпоративных и внешних сетей. Он может представлять собой слепую или полуслепую зону для инженеров SOC и специалистов ИБ. Более того, могут существовать законодательные и организационные ограничения для сопряжения критических сегментов КИИ с другими сегментами КИИ и сегментами вне КИИ.
Для анализа информации, поступающей от различных устройств сегмента АСУ ТП, подключенных к SIEM, и дальнейшего выявления возникающих инцидентов необходимо обеспечить надежный канал связи. Этот канал используется для доставки событий сегмента АСУ ТП в центр сбора, анализа и принятия решений SOC. Соответственно, внедрение SIEM априори предполагает исключение полной изоляции (типа воздушного зазора) защищаемых сегментов сети.
Таким образом, возникает противоречие между необходимостью передать данные, то есть обеспечить сетевую связность с менее доверенными сегментами, где установлена SIEM, и непрогнозируемым влиянием стороннего программного обеспечения (той же SIEM) на технологические процессы и сегмент АСУ ТП. Сам канал связи и каналообразующее оборудование между защищаемым сегментом и SOC в этом случае могут представлять собой потенциальную брешь для компрометации объекта защиты, снижая уровень его защищенности. Это противоречие усиливается тем, что программное обеспечение SIEM, как правило, создается для выполнения иных задач и не проверяется на совместимость с системами, которые установлены в АСУ ТП и являются технологическими.
Для преодоления этого противоречия можно использовать технологии однонаправленной передачи данных, основанные на принципах физической изоляции одного сетевого сегмента от другого, но обеспечивающие возможность передачи данных из закрытого контура во внешние сети – только в одну сторону. Такие технологии гарантируют целостность и доступность данных в защищенном сегменте, а также полностью исключают риски передачи каких-либо сигналов в обратном направлении – внутрь защищаемого сегмента.
Примером реализации технологии однонаправленной передачи данных могут выступать "диоды", выпускаемые компанией АМТ-ГРУП под брендом InfoDiode. Они позволяют передавать такие виды трафика, как Syslog, Netflow, данные от агентов мониторинга, Winlog, SPAN-трафик, файлы и другую информацию. С целью расширения применимости "диодов", используемых для сбора данных в SIEM, InfoDiode имеет заявления о совместимости практически со всеми решениями отечественных компаний в области ИБ, например с продуктами Positive Technologies (MaxPatrol SIEM и PT ISIM), "Лаборатории Касперского" (KICS for Networks, KPSN), СПБ (СКЗИ "Квазар"), CyberLympha (CL DATAPK), INFOWATCH (IW ARMA INDUSTRIAL FIREWALL, IW ARMA MANAGEMENT CONSOLE) и др.
Важным аспектом применения "диодов" в контексте SIEM-систем является тот факт, что и сам "диод" должен передавать данные о своем функционировании в SIEM. То есть, являясь средством, защищающим сетевой периметр организации, "диод" должен уметь сообщать данные о том, что через него передается, а именно меняются ли параметры доступа к нему, проводятся ли изменения сетевых настроек, нарушен ли контроль целостности ПО, есть ли санкционированные и несанкционированные попытки доступа к консоли управления и т.п.
В условиях наметившихся тенденций более жесткой сегментации сетей могут быть выделены следующие направления развития SIEM в части применения в сегментах КИИ и АСУ ТП: