InfoWatch делится экспертизой по сетевой безопасности АСУ ТП

Когда теория сталкивается с реальностью

Современная ИТ-инфраструктура промышленного предприятия может состоять из сотен конечных устройств, объединенных в технологическую сеть. Чем разнообразнее становится эта структура, тем сложнее специалисту ИБ зафиксировать все несанкционированные действия в ней.

 

 

Таких случаев в практике специалистов по аудиту ИБ достаточно много. Они предупреждают: сотрудники подразделений ИТ и ИБ, отвечающие за безопасность АСУ ТП, должны хорошо знать особенности своей сети – какие конечные устройства в ней есть и какие взаимодействия между ними происходят. Крайне важно вовремя зафиксировать несанкционированные действия и отреагировать на них. Пример из корпоративного сегмента: крупная компания с помощью программы Bug Bounty выявляет у себя уязвимость и проводит расследование. Оказывается, что на протяжении трех лет на одном из корпоративных серверов присутствовал некий shell – скрипт, который злоумышленники могли использовать для доступа в инфраструктуру компании и управления ей.

«Во время проведения аудитов АСУ ТП реальность, которую мы наблюдали, оказывалась очень далека от идеальной архитектуры сети. Бывало, что в технологическом сегменте сети присутствовали СКУД, видеокамеры, принтеры и т. д. Иногда корпоративный сегмент вообще не был отделен от технологического. Иногда отсутствовала DMZ-зона между технологическим и корпоративным сегментами или не были настроены межсетевые экраны. Здесь всё зависит от уровня зрелости компании с точки зрения ИБ. Казалось бы, те же самые проблемы мы видели и десять, и пять лет назад – но они встречаются и по сей день», – рассказывает Равиль Зулькарнаев. – Очень важно постоянно говорить о таких вещах с заказчиками, делать на них акцент и побуждать к более активным действиям: задуматься о том, что происходит, провести аудит, проверить состояние сети и привести ее в соответствие с правилами безопасности. ИТ-сфера постоянно развивается, и в дальнейшем справиться с этими проблемами, возможно, будет гораздо сложнее, чем сейчас».

Предупрежден – значит, вооружен

Специалисты InfoWatch ARMA отмечают наиболее частые ошибки в обеспечении безопасности сетевой инфраструктуры, которые встречались при проведении аудитов. Первая из них –  плохое знание сети компании сотрудниками ИТ и ИБ. Часто это происходит оттого, что у АСУ ТП долгий жизненный цикл и специалисты, которые поддерживают ее, периодически меняются. Например, предыдущий ИБ или ИТ-специалист произвел изменения в сети в соответствии с новыми бизнес-требованиями и не отразил это в документации. Пришедший ему на смену сотрудник оказывается занят текущими задачами и не может оперативно разобраться в нюансах архитектуры технологической сети. «Однажды мы с главным инженером компании поднимали всю документацию и даже демонтировали плиты в полу, чтобы понять, куда уходит провод и к чему он вообще подключен», – говорит Равиль Зулькарнаев.

 

 

Вторая ошибка – сеть не сегментирована на технологический и корпоративный сегменты или ее компоненты сильно перемешаны. Опять же это может произойти из-за долгого жизненного цикла АСУ ТП либо из-за халатности персонала. «Например, в одной из компаний топ-менеджеры были уверены, что их технологический сегмент никак не связан с корпоративным. Но в процессе аудита за настенным монитором мы нашли роутер, который соединял технологический и корпоративный сегменты. Его установил администратор ИТ для удобства, чтобы удаленно подключиться к технологическому сегменту», – говорит эксперт.

Третья ошибка – отсутствуют, не настроены или не поддерживаются средства защиты информации. Доходит до парадоксальных ситуаций: компания закупила межсетевые экраны, но они до сих пор не установлены, поскольку для их внедрения и поддержки в штате нет свободных компетентных специалистов.

Четвертая ошибка – небезопасный удаленный доступ, начиная с отсутствия грамотной парольной политики (например, к одному из серверов компании можно было подключиться по RDP от имени администратора с паролем «1») и заканчивая небезопасной настройкой удаленного подключения. «В прошлом году мы проводили исследование с использованием поисковой системы Shodan, и его результаты меня удивили. Оказалось, что достаточно большое количество технических устройств находились в открытом доступе из сети Интернет», – замечает Равиль Зулькарнаев.

Информационная безопасность АСУ ТП – непрерывный процесс

Защита АСУ ТП – это всегда комплексное решение, подобранное индивидуально. Не существует какого-то «коробочного» продукта для решения всех проблем. Пример такого комплексного подхода, включающего проведение аудита и использование инструментов InfoWatch ARMA, описан в ИТ-классе ICT-Online.ru.

 

 

«Есть два основных аспекта, которые я хотел бы сегодня подчеркнуть. Первый: информационная безопасность – это процесс. Недостаточно просто взять и внедрить средства защиты информации, нужно их поддерживать. Второй важный момент: информационная безопасность – это не только технические средства, которые вы внедряете, но и персонал, который непосредственно этими техническими средствами пользуется и их обслуживает. В процессе аудита часто оказывается, что последнее повышение квалификации у специалиста ИБ было три-четыре года назад. Это плохо, потому что ИТ-сфера быстро и кардинально меняется. Вместо того, чтобы выполнять базовые рутинные задачи в рамках должностной инструкции, сотрудник мог бы применить в своей инфраструктуре новые технологии, которые существенно облегчили бы его работу», – замечает Равиль Зулькарнаев.

Для читателей ICT-Online.ru эксперт подготовил пять важнейших рекомендаций по обеспечению сетевой безопасности АСУ ТП.

Первое: использование DMZ-зоны между технологическим и корпоративным сегментом и установка в DMZ-зону промежуточных серверов – в случае, если для обеспечения бизнес-задач необходимо передавать какую-то информацию из технологического сегмента сети в корпоративный.

Второе: из корпоративного сегмента не должно производиться никакого технологического управления, в том числе в удаленном режиме. «Был случай, когда администратор одного из вендоров осуществлял настройку системы удаленно, через USB модем. Он не уведомил об этом непосредственного заказчика, и когда проводил свои манипуляции, инженер-наладчик на объекте чуть не получил сильный разряд электроэнергии. Тогда удалось избежать несчастного случая, но это очень показательный пример, как цепь ошибок может привести к трагедии», – комментирует эксперт.

Третье: использование VPN и авторизации для обеспечения удаленного доступа к технологическому сегменту сети – в случае технологической необходимости такого доступа.

Четвертое: сегментация сети и строгий контроль компонентов технологического сегмента. В нем не должно быть ничего, кроме комплекса технических средств для управления или мониторинга технологическим процессом и средств защиты информации. Однако важно отметить и помнить всем специалистам ИБ, что в технологическом сегменте ИБ в первую очередь направлена на обеспечение функциональной безопасности.

Пятое: централизованный сбор событий информационной безопасности.

 

 

«Еще раз подчеркну, что технологическая сеть промышленного предприятия должна быть прозрачной: специалисты ИБ и ИТ должны понимать, какие конечные устройства у них в сети есть, куда и для чего они подключаются. Также должны быть настроены межсетевые экраны по правилу: запрещено все что не разрешено. Не исключена возможность интеграции СЗИ различных вендоров, так как отдельный продукт того или иного производителя может оказаться наиболее эффективным для конкретной задачи. Наконец, все СЗИ должны постоянно поддерживаться: устанавливаться новые версии системы обнаружения вторжений, обновляться базы антивирусных средств и т. д.», – резюмирует Равиль Зулькарнаев.

 

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch, АСУ, ИТ инфраструктура