Контакты
Подписка
МЕНЮ
Контакты
Подписка

АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение

АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

АСУ ТП, объекты КИИ, ГосСОПКА.Много сложных задач и одно решение

Обсуждение вопросов, связанных с ФЗ-187 и приказом № 239, все больше переходит в практическое русло: уже есть понимание, какие шаги необходимо сделать предприятиям в ближайшие несколько лет, и уже вполне можно обсуждать практические аспекты реализации требований по обеспечению защиты. Если не технических, то организационных и компенсирующих – точно. Потому что именно они дают возможность закрыть больше половины требований по обеспечению безопасности объектов КИИ, не прибегая к инвестициям в технические средства защиты.
Дмитрий Даренский
Руководитель практики промышленной кибербезопасности, Positive Technologies

Тем не менее ряд мер и требований реализовать без применения технических средств достаточно сложно. А если объект КИИ включает системы промышленной автоматизации и АСУ ТП, задача применения дополнительных технических средств усложняется в разы. К примеру, если взять небольшой перечень мер, обязательных к реализации для объектов КИИ всех трех категорий значимости, таких как АУД.4 (регистрация событий безопасности), АУД.7 (мониторинг безопасности), ИНЦ.1 (выявление компьютерных инцидентов), ИНЦ.2 (информирование о компьютерных инцидентах), ИНЦ.3 (анализ компьютерных инцидентов)1, то простой вопрос "Как это технически реализовать в АСУ ТП?", как правило, остается без ответа.

АСУ ТП – это сложно

На этом всем известном факте зиждется общепринятое мнение о том, что простых и эффективных решений в области кибербезопасности АСУ ТП не бывает. Слишком много интересов и зон ответственности пересекается при соприкосновении областей кибербезопасности, промышленной автоматизации и информационных технологий. А ужесточение требований регуляторов и отсутствие решений, позволяющих их закрыть, усложняет и без того непростой процесс принятия решений.

Специалистам Positive Technologies, имеющим многолетнюю экспертизу в области исследований защищенности АСУ ТП, вопрос сложности решений безопасности в этой области также был всегда очевиден. Но ровно до тех пор, пока они не поставили сами себе амбициозную цель – дать рынку простое решение сложных задач. В 2016 г. компанией была выпущена первая версия решения Industrial Security Incident Manager (PT ISIM). Решение было ориентировано на выявление инцидентов и кибератак на системы управления технологическими процессами и стало первым в мире решением такого класса, применяемым на системах централизации управления железнодорожным транспортом.


Сегодня продукт представляет собой систему мониторинга защищенности и управления инцидентами кибербезопасности технологических сетей и систем промышленной автоматизации. Но не только. Помимо непосредственного выявления инцидентов и кибератак, PT ISIM выполняет автоматическую инвентаризацию сети, контролирует все информационное взаимодействие между компонентами АСУ ТП, выявляет попытки неавторизованного управления как самой АСУ ТП, так и непосредственно технологическим процессом. Кроме того, анализируемые и хранимые в нем данные можно использовать при проведении расследований инцидентов. А осенью 2018 г., развивая идею простого решения сложных задач безопасности АСУ ТП, компания выпустила бесплатную версию PT ISIM – PT ISIM freeView Sensor.

Инструмент для любой АСУ ТП

Набор функциональных возможностей коммерческой версии PT ISIM позволяет эффективно ее использовать в АСУ ТП независимо от того, на какой платформе она построена. Например:

PT ISIM freeView Sensor предназначен для решения базовых задач мониторинга ИБ АСУ ТП, бесплатен, не требует сложной настройки и специфической экспертизы при использовании. Решение предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования коммутатора сети АСУ ТП. Система анализирует собранный трафик, производит инвентаризацию ресурсов и позволяет выявлять различные нарушения и аномалии при ежедневном использовании. Общее время, необходимое для скачивания PT ISIM freeView Sensor с официального сайта и запуска, составляет считанные минуты. Продукт идеально подходит для знакомства с PT ISIM, а переход к использованию более функциональных версий продукта (netView Sensor и proView Sensor) занимает минимальное время.
  • обеспечение безопасности самого технологического процесса: архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс;
  • инвентаризация и контроль целостности сети АСУ ТП: PT ISIM в режиме автоматического обучения инвентаризирует элементы сети АСУ ТП, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети;
  • визуализация инцидентов: за счет удобных средств графического отображения элементов сетевой топологии и технологического процесса (мнемосхем) PT ISIM позволяет визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики технологического процесса;
  • обнаружение сложных атак: PT ISIM анализирует события информационной безопасности и связывает их в логические цепочки. Цепочка событий позволяет наглядно представить развитие инцидента во времени и в нужный момент принять меры по предотвращению угрозы. Таким образом, в отличие от аналогичных средств, использующих только классический сигнатурный подход, PT ISIM эффективно выявляет и длительные многоэтапные атаки;
  • оперативное реагирование на инциденты ИБ: в случае возникновения инцидента PT ISIM предоставляет ответственным сотрудникам информацию, соответствующую их полномочиям. Оперативный персонал располагает минимальным набором инструментов, необходимых для поддержки административных регламентов, а служба ИБ получает полный доступ к информации об инцидентах для их расследования;
  • учет специфики предприятия: с помощью PT ISIM можно контролировать векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия. В состав PT ISIM входят удобные средства конфигурирования уникальных для защищаемого объекта правил обнаружения атак;
  • соответствие требованиям промышленной среды: физические условия эксплуатации в промышленности бывают крайне агрессивными. Промышленное исполнение компонентов PT ISIM подбирается с учетом специфики отрасли и защищаемого предприятия.


И еще одно важное преимущество, которое дает PT ISIM, – это простота его ввода в эксплуатацию. Для того чтоб решение начало работать, на его сенсор необходимо лишь направить копию сетевого трафика технологической сети. Опыт показывает, что практические результаты работы PT ISIM демонстрирует уже в течение нескольких часов после первого включения, при этом оставаясь абсолютно безопасным для самих АСУ ТП.

Из АСУ ТП в SOC

В разрезе необходимости объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА для большинства промышленных предприятий становится все более очевидной необходимость создания Security Operations Center или внедрение как минимум систем класса SIEM для обеспечения централизованного мониторинга инцидентов безопасности. К сожалению, совместное использование АСУ ТП и систем класса SIEM имеет ряд существенных ограничений:

  • сегодня SIEM не смотрят в АСУ ТП, для них это "слепая зона";
  • в АСУ ТП очень мало источников, с которых SIEM получают и в обозримом будущем будут получать события безопасности;
  • в АСУ ТП огромное количество событий, для которых крайне сложно написать правила корреляции в SIEM для корректного выявления инцидентов;
  • SIEM не инвентаризируют АСУ ТП (а это требует тот же ФЗ-187);
  • SIEM не умеют обрабатывать трафик сетей АСУ ТП, тогда как огромная часть событий и инцидентов выявляются именно в нем;
  • и главное – сегодня и в обозримом будущем SIEM по ряду причин не будут коррелировать события АСУ ТП в инциденты с учетом их прикладного значения, тогда как основной объем инцидентов, имеющих критичное значение для специалистов АСУ ТП, происходит в основном на прикладном уровне систем.

PT ISIM как источник информации об инцидентах безопасности АСУ ТП сетевого и прикладного уровня для систем класса SIEM, Incident Management и других дает возможность решить все эти задачи. Важным является тот факт, что в SIEM передаются именно инциденты, а не события, требующие дополнительной интерпретации и корреляций. Такое решение позволяет практически в один прыжок преодолеть ограничения, обозначенные выше, и перейти от сложного проектирования и переконфигурирования технологической сети практически сразу к реализации процессов выявления, управления и реагирования на инциденты кибербезопасности АСУ ТП.

___________________________________________
1 Список мер по обеспечению безопасности КИИ, определенный приказом ФСТЭК № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
POSITIVE TECHNOLOGIES
107061, Москва,
Преображенская пл., 8
Тел.: +7 (495) 744-0144
Факс: +7 (495) 744-0187
E-mail: pt@ptsecurity.com
https://www.ptsecurity.com/ru-ru/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018
Посещений: 3031

Приобрести этот номер или подписаться
  Автор

Дмитрий Даренский

Дмитрий Даренский

Руководитель практики промышленной кибербезопасности, Positive Technologies

Всего статей:  2

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций