Новая система для защиты АСУ ТП от кибератак

APC

Сегодня Игорь Душа, директор по развитию продуктов для защиты АСУ ТП InfoWatch ARMA расскажет о новом комплексе для кибербезопасности АСУ ТП. Как интегрированные между собой компоненты InfoWatch ARMA позволяют защищать информацию в промышленных сетях, рабочие станции и сервера SCADA, автоматически реагировать на инциденты, выполнять законодательство по защите КИИ и экономить бюджет на внедрении.


InfoWatch ARMA — отечественная система для обеспечения кибербезопасности АСУ ТП. Защищает критическую информационную инфраструктуру от угроз, которые возникают при смешении ИТ и OT контуров, и исходят как от внутренних, так и от внешних нарушителей. В систему входят несколько решений, интегрированных между собой: промышленный межсетевой экран нового поколения (NGFW) InfoWatch ARMA Industrial Firewall, средство защиты рабочих станций и серверов SCADA – InfoWatch ARMA Industrial Endpoint и инструмент для автоматического реагирования на инциденты – InfoWatch ARMA Management Console.

Также будет рассказано о новых возможностях системы и о том, как подход InfoWatch позволил построить эшелонированную защиту промышленных АСУ ТП в эпоху цифровой трансформации.

  • Как изменились модели угроз OT-сетей, акие новые способы атак через уязвимости операционных систем со стороны ИТ к ним добавились ввиду развития Индустрии 4.0
  • Какие возможности дает InfoWatch ARMA для создания эшелонированной защиты АСУ ТП с возможностью видеть картину целиком, опираясь на данные из разных промышленных систем, контроллеров, устройств
  • Как комплекс InfoWatch ARMA позволяет выполнять до 90% технических мер 239-го Приказа ФСТЭК России

Теперь речь пойдет о новой системе InfoWatch ARMA. Это не только обновленная версия межсетевого экрана, но еще и два новых продукта. Термин «система» означает, что эти продукты интегрированы между собой, а также какую выгоду можно извлечь из такой интеграции, какие новые возможности открываются для эшелонированной защиты. 

Система InfoWatch ARMA разрабатывалась исходя из трех основных задач, которые стоят в промышленности в задачах самих потребителей внутри АСУ ТП. Первая задача - это обеспечение кибербезопасности АСУ ТП, вторая - выполнение требований регуляторов, и третья - обеспечение непрерывности функционирования процесса автоматизации. Т.е. чтобы внедренная система защиты информации никоим образом не влияла на работу основной промышленной системы. Эти понятия обсуждались неоднократно. При этом, кроме этих трех основных проблем, есть огромное количество технических нюансов, которые присутствуют на разных предприятиях.

Очевидно, что почти всех волнует техническая поддержка вендора. Многие уже имеют опыт внедрения новых средств защиты информации, и знают, что часто случается большое количество ложных срабатываний, с которыми не совсем понятно как справляться. Недостаточное количество персонала, да и ресурсов на предприятии тоже является одной из проблем. Встречается и множество и других проблем. 

Можно сказать, что все они связаны между собой в единый комплекс проблем. Сами системы АСУ ТП, как правило, системы небольшие, по сравнению, например, с банковскими или офисными. Имеется ввиду каждая отдельно взятая АСУ ТП. При этом те меры, которые нужно предпринять, полностью соответствуют корпоративным системам. При этом очевидно, что на постоянный мониторинг за средствами защиты на предприятиях времени не хватает, да и хватать не будет. 

Потому что те специалисты, которые на предприятии уже имеются, загружены другими задачами. Они не имеют дополнительного времени на постоянный анализ СЗИ. И, как следствие, времени на расследование инцидента, на то, чтобы вычленить его из огромного потока информации тоже не хватает. И иногда случается ситуация, когда вредоносное программное обеспечение постоянно живет на некоторых предприятиях, будучи незамеченным. 

И еще одно следствие: не существует СЗИ, которые бы позволяли со 100%-й вероятностью предотвратить любую атаку. Поэтому, если атака по какой-то причине все же реализовалась, то ее необходимо локализовать и предотвратить ее распространение. Учитывая то, что имеются атаки, которые предотвратить не удается, какие бы средства защиты информации ни применялись.

Из этого следуют следующие выводы. Первый заключается в том, что в соответствии с исполнением приказа №239 ФСТЭК России, необходимо обеспечить эшелонированную защиту СЗИ с созданием такого формата защиты, при котором вредоносное ПО не будет исполняться на максимальном пространстве. Т.е. задача состоит не в том, чтобы обнаружить вредонос, а в том, чтобы снизить вероятность его возникновения и реализации внутри самой АСУ ТП.

Второй вывод в том, что уменьшить ложные срабатывания поможет адаптация СЗИ и адаптация политик безопасности под задачи конкретного предприятия, что определяется корректной настройкой средств защиты под особенности каждого конкретного предприятия. 

Поскольку ресурсов на самом предприятии не так много, то нужна автоматизация самих средств защиты информации, автоматизация базовых реакций, и в том числе автоматизация связи с самим сегментом АСУ ТП. Если у нас, например, появился и реализовался некий инцидент, который может иметь далеко идущие негативные последствия, то необходимо как минимум произвести действия, которые не дадут перейти информационному инциденту в практический рельеф. Если речь идет об электроэнергетике, то, допустим, нужно перевести подстанцию в ручной режим управления. Это вполне можно реализовать. Таким образом необходимо какие-то действия автоматизировать, но при этом дать оператору, а не специалисту по ИБ, необходимую информацию и инструкцию, как поступать в каждом конкретном случае. 

Кроме того, система должна быть интегрирована и легко встраиваемая. Это важно, чтобы не получилось так, что купив средства защиты информации и оставив интеграцию "на потом", никогда ее не заканчивая.

Система защиты, должна строиться с учетом необходимости ее эшелонированного построения, причем защиты как сетевого сегмента, так и сегмента самих рабочих станций и серверов SCADA. Ну и, естественно, необходимость обеспечения централизованного управления и полной видимости происходящего с точки зрения событий информационной безопасности, которые привязаны к конкретному предприятию. 

Придя к таким выводам, InfoWatch строила последовательность выпуска своих продуктов следующим образом. Первый продукт, который вышел в позапрошлом году, необходим был для обеспечения базовой защиты на сетевом уровне, обнаружения вторжений, мониторинга, межсетевого экранирования. А еще два продукта, которые сейчас находятся в процессе выпуска, предназначены для защиты рабочих станций и серверов, и единый центр позволит объединить эти продукты в единую систему. Таким образом он позволит построить эшелонированную защиту с помощью этих трех продуктов, выполнить до 90% технических требований ФСТЭК России и снизить стоимость владения и ресурсы на сопровождение системы. Если InfoWatch поставляет интегрированную из коробки систему, то ее гораздо легче сопровождать, гораздо легче интегрировать и пользоваться ею как единой системой.

Каждый из трех модулей выполняет свою задачу в своем сегменте. Межсетевой экран на сетевом сегменте, Endpoint на сегменте защиты самих SCADA систем операторских станций и серверов. И все это единообразно отправляет события в централизованную консоль управления, которая в свою очередь позволяет управлять продуктами и обеспечивать единый сбор событий, корреляцию их в инциденты и позволяет управлять этими инцидентами.

Что же касается выполнения требований приказа № 239 ФСТЭК России, то в самом приказе не указывается с помощью каких организационных или технических мер выполняется та или иная статья приказа. Можно говорить только о том, что продукты InfoWatch применимы для выполнения той или иной меры. Оценив, какие конкретно меры могут быть выполнены согласно приказу, с помощью каких классов СЗИ и с помощью каких мер и средств, мы для второй, самой массовой категории, оценили те меры защиты, которые могут быть выполнены с помощью продуктов InfoWatch. Так была получена цифра, близкая к 90%.

Систему можно встраивать в текущую инфраструктуру. Она интегрируется с помощью общих протоколов взаимодействия. И можно отправлять события по протоколам Syslog CEF, по протоколам Email (SMTP) на электронную почту. Есть API для взаимодействия с помощью протоколов описи ее и можно интегрировать со станциями операторов на самих объектах. Каждый продукт можно использовать по отдельности. Встраиваясь в текущую инфраструктуру, каждый из них интегрируется с другим СЗИ, каждый имеет возможность отправки событий по общим протоколам взаимодействия, таких, как Syslog. API также открытое, так что, каждый из продуктов используется в том числе и отдельно, если необходимо выполнить какую-то конкретную отдельную меру, если необходимо закрыть какой-то отдельный сегмент.

Теперь речь пойдет о каждом продукте в отдельности. Первый продукт - межсетевой экран InfoWatch ARMA Industrial Firewall. Проходит сертификацию по четвертому классу защиты типа "Д" и по 4-му классу систем обнаружения вторжений уровня сети. Уровень доверия 4. Программное обеспечение российское, входит в единый реестр российского программного обеспечения Минкомсвязи РФ. 

Предназначен для решения четырех основных задач: 1) глубокая инспекция промышленных протоколов; 2) встроенная система предотвращения вторжений; 3) обеспечение межсетевого экранирования для промышленных объектов; 4) безопасное удаленное подключение с помощью VPN. Важно отметить, что VPN не сертифицировано.

Что касается глубокой инспекции промышленных протоколов, то существует два списка. В одном из них для протоколов возможны только обнаружение вторжений и мониторинг (без фильтрации) как более простая задача, во втором списке - решается более сложная задача - фильтрация по полям протоколов. Здесь поддерживаются основные протоколы, которые используют АСУ ТП. Естественно InfoWatch поддерживает дополнительные протоколы по запросу, если необходима поддержка на конкретном предприятии. InfoWatch это делает бесплатно, по работе с вендорами систем промышленной автоматизации.

Отмечу, для чего нужна поддержка промышленных протоколов. Понятно, что для проведения DPI по промышленному протоколу, для обнаружения конкретных событий и вторжений по этим протоколам. Но западные вендоры еще очень часто отмечают необходимость проведения так называемой микросегментации, т.е., условно, всем понятно, что нужно отделять сами SCADA-системы и системы АСУ ТП от корпоративной системы. И это уже много где сделано. 

Однако на многих предприятиях все же необходима микросегментация. Это, например, отделение АСУ ТП друг от друга. Разделение, если они имеют разный уровень защищенности для пропуска конкретных протоколов, возможно разделение сегментов сети АСУ ТП. Здесь задачи могут быть разные. Один из массовых примеров. В нефтяной отрасли нас просили разделить возможность действия операторов предоставив им только возможности по чтению данных, и инженеров, предоставив им возможность еще и записи.

Второй аспект по встроенной системе обнаружения вторжений, которая предоставляет базу данных, которая обновляется ежедневно. Это входит в техническую поддержку. Система может работать как в режиме обнаружения вторжений, так и в режиме предотвращения вторжений. Это важно потому, что межсетевой экран на границе АСУ ТП скорее всего будут являться последним рубежом сетевой защиты информации, если нет микросегментации. На Западе это называют виртуальным патчингом. 

Речь идет о том, что на самих АСУ ТП могут быть уязвимости, которые не закрываются годами просто потому, что нет возможности их закрыть. И именно сам межсетевой экран, стоящий на границе, будет последним рубежом, который сможет выявить возможную эксплуатацию этих сетевых уязвимостей по крайней мере на границе самой АСУ ТП. Естественно, если он их обнаружит, если в нем стоит система предотвращения вторжений, он сможет ограничить возможность их применения для эксплуатации на самой АСУ ТП.

Теперь по вариантам установки: имеется всего 6 самых массовых опытов взаимодействия с заказчиками: 

1) Установка между корпоративным сегментом и самой АСУ ТП.  

2) Для контроля техподдержки. И здесь есть вариант удаленного подключения, возможность контроля трафика на самом канале технической поддержки и часто решаемая задача ограничения функций технической поддержки, т.е. разрешение каких-то конкретных функций только по запросу. Если у нас установлена политика доступа, мы можем ее разграничить на некоторую условно постоянную, и разрешать некоторые действия только на тот момент, когда это необходимо.

3) Подключение нескольких АСУ ТП между собой для разграничения потоков данных между ними. Например, когда одна из них подключена к некоторому удаленному каналу связи, а вторая - нет. Два варианта подключения удаленного доступа (цифры 6 и 4) для подключения к центральной площадке удаленного объекта и для подключения пользователя к самой системе, если он подключается извне. Например, если инженер работает по графику 5/2, а само предприятие - 24/7. И последний вариант возможность подключения системы через "подкор" для того, чтобы возможно было мониторить трафик и только лишь уведомлять о происходящих подключениях. Естественно он может быть подключен через просто порт зеркалирования или через дата-диод. 

Следующий продукт InfoWatch ARMA Industrial Endpoint для защиты станций и серверов АСУ ТП фактически предназначен для решения одной основной задачи: создания замкнутой защищенной среды. В нем не встроено антивирусное ПО, а он выполняет те функции, которые позволяют ограничить возможность запуска вредоносного программного обеспечения.

Затем контроль целостности файлов рабочих станций и серверов, возможность ограничений USB и других съемных носителей, проверка запуска программного обеспечения по белому списку. Работает версия на Windows в версиях на данный момент для первого релиза, если мы про пользовательские системы выше «семерки». Ну и соответствующие ей серверные системы, серверный Windows. Далее поддержка будет Windows XP, но это в следующих релизах.

И наконец - единый центр управления системы защиты информации, в который стекаются данные и который позволяет объединить все это в единую систему. 

Он позволяет осуществить централизованное управление продуктами, и при сборе событий с самих подсистем защиты информации, корреляцию событий в инциденты и простейшее управление инцидентами информационной безопасности. 

Дальше предоставление инцидентов в SOC- и SIEM-системы при возможности некоторой автоматической и автоматизированной реакции на инциденты. И визуализация активов как в виде списков, так и с помощью некоторого графического представления визуализации сети. При этом есть возможность автоматизации реакций на инцидент. Как один из примеров, если некоторая угроза обнаружена межсетевым экраном, предоставляется некоторое событие на централизованную консоль управления. 

Можно завести специальные правила, по которым будут совершены некоторые автоматизированные реакции. А они могут разные. Например, отправка в консоль диспетчера инструкций, которые необходимо предпринять в соответствии с конкретным инцидентом. Или, например, распространение правила блокировки источника данной угрозы с распространением его на межсетевые экраны. 

Подходя к итогу презентации, подытожим, какие задачи мы решаем системой и хотим предоставить функции по их решению. Первое - это снижение нагрузки на штат сотрудников ИБ, возможность настраивания и адаптации самой системы с возможностью создания индивидуальных сценариев реагирования. Ну и автоматизация самой деятельности сотрудников предприятия, в том числе работой с инцидентами.