Владимир Дащенко (Kaspersky ICS CERT): «Чем больше новых технологий внедряется, тем больше возможностей для атакующих»

Kaspersky ICS CERT - это центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданный «Лабораторией Касперского». Сегодня о решениях для защиты КИИ рассказывает эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко.

– Владимир, какие новые угрозы появились в части КИИ, с чем они связаны?

– КИИ – это не одна система, а совокупность систем, куда в том числе могут входить системы промышленной автоматизации. Поэтому если говорить шире, об угрозах, связанных не только с объектами критической инфраструктуры, а в целом с АСУ ТП, то изменений в ландшафте не так много. По-прежнему есть риск проникновения атакующих из сети Интернет, смежных сетей, через съемные носители. Нельзя исключать и действия со стороны инсайдеров. Время от времени возникают угрозы, связанные с компрометацией со стороны участников цепочки поставок или доверенных партнеров: компаний-подрядчиков, которые имеют удаленный или локальный доступ к системам промышленной автоматизации или системам, относящимся к КИИ.

 

Эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко

 

– Какие объекты КИИ наиболее уязвимы и почему?

Эксперты Kaspersky ICS CERT поделились прогнозами относительно развития ландшафта угроз для АСУ ТП в 2023 году, а также рассказали о том, какие риски стоит учитывать промышленным организациям. Прогнозы представляют собой совокупность мнений членов команды Kaspersky ICS CERT, которые основаны на коллективном опыте команды в исследовании уязвимостей, атак и реагировании на инциденты (см. новость раздела «Лаборатория Касперского» от 29 ноября 2022 г.).

– Наиболее уязвимыми объектами КИИ, как и в любой другой области, являются организации, которые не уделяют должного внимания собственной защите. Мы рекомендуем всегда следовать требованиям и рекомендациям регуляторов, а также следить за обновлениями, касающимися новых трендов в угрозах и уязвимостях, которые выпускаются регулирующим органами или ICS CERT. Не менее важно придерживаться базовых принципов эшелонированной защиты, которая подразумевает выстраивание безопасности для каждого типа актива компании.

– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?

– Конечно, продуктами, предназначенными для использования на домашних устройствах, никто защищать объекты КИИ не будет. Сейчас отечественные вендоры предлагают специализированные технологии и сервисы для защиты систем промышленной автоматизации, объектов КИИ.

– Какие из них продвигает ваша компания, какие лучше всего себя зарекомендовали?

В условиях, когда зарубежные вендоры АСУ ТП ушли с российского рынка, многие компании пытаются заместить их продукты отечественными аналогами. В «Лаборатории Касперского» уверены, что этот переход нужно производить постепенно и с умом, в активном взаимодействии с производителем софта и экспертами по ИБ. Причина кроется в том, что не каждая российская АСУ ТП, даже входящая в реестр Минцифры, на поверку на данный момент оказывается достаточно безопасной (см. ИТ-класс раздела «Лаборатория Касперского» от 11 октября 2022 г.).

– В прошлом году «Лаборатории Касперского» анонсировала промышленную XDR-платформу, которая обеспечивает комплексную защиту систем автоматизации и управления производством на всех уровнях. Kaspersky Industrial CyberSecurity способна централизованно в рамках всей промышленной инфраструктуры обнаруживать сложные атаки и реагировать на них. Платформа позволяет реализовать сценарии расширенного обнаружения, реагирования и расследования инцидентов на рабочих станциях и серверах, а также обогащать данные об инвентаризации сети и событиях информационной безопасности телеметрией с конечных узлов.

– Приведите, пожалуйста, примеры таких проектов.

– Один из последних громких проектов – выстраивание киберзащиты на Абинском ЭлектроМеталлургическом заводе (АЭМЗ). Комплекс наших решений защищает корпоративную и промышленную инфраструктуру АЭМЗ: на предприятии была реализована единая концепция кибербезопасности, что стало возможным благодаря использованию в OT -и ИT -сегментах продуктов от одного вендора, «Лаборатории Касперского». Так, безопасность технологического процесса обеспечивает промышленная XDR-платформа Kaspersky Industrial CyberSecurity (KICS). Основу безопасности корпоративной среды на АЭМЗ также составляют решения уровня XDR, что позволяет вести постоянный мониторинг ИT-инфраструктуры, обнаруживать кибератаки, предотвращать их, детально расследовать инциденты и реагировать на них. Подобная концепция позволяет свести к минимуму успешность атак, которые часто начинаются с попыток проникновения в устройства корпоративной сети.

– Ваш прогноз развития угроз КИИ и противодействующих им решений.

«Лаборатория Касперского» представила экосистему Kaspersky OT CyberSecurity для защиты промышленных инфраструктур, в том числе объектов критической информационной инфраструктуры. Основной элемент Kaspersky OT CyberSecurity — обновлённая промышленная XDR-платформа Kaspersky Industrial CyberSecurity. Она способна централизованно в рамках всей промышленной сети обнаруживать сложные атаки и реагировать на них. Единая концепция промышленной кибербезопасности объединяет три основных элемента непрерывности производственных и бизнес-процессов: технологии, экспертизу и знания (см. новость раздела «Лаборатория Касперского» от 20 сентября 2022 г.).

– Говорить отдельно про угрозы КИИ нет смысла: нужно смотреть шире, охватывая в том числе новые «угрозные» тренды для систем промышленной автоматизации и для ИT-сектора в целом. Чем больше новых технологий внедряется, тем больше появляется новых возможностей для атакующих. То есть, практически любая новая технология может быть скомпрометирована. Недавно Kaspersky ICS CERT выпустил прогнозы относительно ландшафта киберугроз в 2023 году. В ближайшем будущем злоумышленники будут усиливать натиск на объекты, относящиеся к логистике, агропрому, энергетическому сектору. Существует вероятность, что количество атак, относящихся к объектам возобновляемой энергии, также увеличится за счет того, что в это направление глобально вкладывают все больше инвестиций, а интерес к этому растет.

Технологии для противодействия этим угрозам будут совершенствоваться, а для новых векторов атак будут создаваться новые решения для борьбы. Сейчас большое количество компаний, в том числе наша, работают на опережение. У нас есть технологии, которые позволяют детектировать ранее неизвестные или узкоспециализированные угрозы: такую возможность дает платформа для защиты от сложных таргетированных атак Kaspersky Anti Targeted Attack Platform. Мы также применяем методы машинного обучения и используем ИИ для защиты от ранее неизвестных угроз.

– Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Безопасность

Ключевые слова: информационная безопасность, Лаборатория Касперского, критическая инфраструктура