Обзор способов защиты информации АСУ ТП

Вышел самый актуальный и наиболее полный обзор InfoWatch ARMA — отечественной системы защиты информации АСУ ТП от кибератак на промышленные предприятия. В обзоре рассмотрены угрозы защиты информации АСУ ТП (автоматизированных систем управления технологическим процессом) и способы защиты с помощью InfoWatch ARMA ― детально и на понятных схемах.

Возможности каждого продукта, который входит в состав системы InfoWatch ARMA, сопровождаются примерами интерфейсов и реальных ситуаций по решению инцидентов. Отдельное внимание уделено сценариям внедрения, вариантам лицензирования и поставки.

Автор: Савинов Кирилл, главный системный архитектор отдела ИБ компании «РАССЭ» (ГК «АйТеко»).

Кибербезопасность АСУ ТП. Актуальное состояние

В 2020 году заметно выросло количество атак на промышленные предприятия: на 60% больше, чем в 2019 г., следует из аналитического отчета Positive Technologies за 2020 г.

Резкий всплеск наблюдается и в количестве уязвимостей, найденных в оборудовании АСУ ТП. Всего в 2020 году обнаружено почти на 25% больше уязвимостей АСУ ТП, чем в 2019 г., по данным отчета компании Claroty («О рисках уязвимостей систем промышленного контроля: 2-е полугодие 2020 года»). Обнаруженные уязвимости АСУ ТП, в основном, затрагивают сектора промышленного производства, энергетики и водоснабжения. По сравнению с первым полугодием 2019 г., в первом полугодии 2020 г. количество уязвимостей в секторе водоснабжения выросло на 122%, в энергетическом секторе — на 58,9%, в сфере промышленности — на 87,3%.

Также нельзя забывать и о таких последствиях пандемии, как удалённая работа и поддержка удалённых рабочих мест, которые создают дополнительные каналы доступа к сетям предприятий, что увеличивает шансы возникновения инцидентов информационной безопасности.

Как отмечают многие отраслевые исследователи, повысить возможность злоумышленнику провести кибератаку дает наличие подключения промышленной сети к корпоративной.

Результаты исследования компании Positive Technologies показали, что проникнуть в технологическую сеть из корпоративной удается в 55% случаев. Злоумышленники используют такие недостатки безопасности, например незащищенные каналы администрирования и недостаточно эффективная сегментация. В некоторых случаях технологические системы вообще не сегментированы и представляют собой «плоские» сети.

Какие классы решений для защиты выбрать и почему?

Системы защиты АСУ ТП от кибератак

Компания InfoWatch в 2020 году представила систему защиты информации в АСУ ТП – InfoWatch ARMА, которая позволяет защитить АСУ ТП как на уровне сетевого трафика, так и конечных узлов, а так же предоставляет возможность централизованного управления всей системой защиты InfoWatch ARMA. InfoWatch ARMA Industrial Firewall (входит в состав системы InfoWatch ARMA) проходит сертификацию по требованиям ФСТЭК России к промышленным межсетевым экранам и системам обнаружения вторжений на соответствие ИТ.СОВ.С4.П3 и ИТ.МЭ.Д4.П3 по четвёртому уровню доверия, благодаря чему InfoWatch ARMA может использоваться для защиты объектов КИИ в соответствии с требованиями законодательства. В целом, как заявляют разработчики, система позволяет выполнить технические меры защиты информации Приказа № 239 ФСТЭК России (до 90%).

На данный момент InfoWatch ARMA состоит из трёх продуктов:

• InfoWatch ARMA Industrial Firewall – промышленный межсетевой экран нового поколения (ngfw). Проходит сертификацию по требованиям ФСТЭК России к межсетевым экранам и системам обнаружения и предотвращения вторжений (СОВ). Включен в Единый реестр российского ПО Минкомсвязи РФ.
• InfoWatch ARMA Industrial Endpoint – средство защиты промышленных АРМ и серверов АСУ ТП;
• InfoWatch ARMA Management Console – средство централизованного управления системой защиты InfoWatch ARMA.

Предусмотрена интеграция системы InfoWatch ARMA в существующую инфраструктуру предприятия, в том числе с SIEM-системой (через syslog), антивирусным средством защиты или DLP (по ICAP) для повышения прозрачности промышленной сети и большей наблюдаемости событий информационной безопасности.

Почему в InfoWatch ARMA именно такой набор средств защиты?

Система InfoWatch ARMA проектировалась с учетом подхода, который применяется с целью предотвращения или сдерживания атаки и называется «эшелонированная защита». InfoWatch ARMA позволяет выстроить эшелоны защиты на таких уровнях как сеть и оконечные устройства. Благодаря тому, что продукты системы InfoWatch ARMA интегрированы между собой, сотрудник ИБ АСУ ТП видит картину ИБ целиком, опираясь на данные от всех средств защиты информации. Это позволяет своевременно локализовать атаку и предотвратить ее распространение.

В конце 2021 года также планируется добавление модулей Sandbox (анализ файлов в антивирусной песочнице) и Honeypot – сенсор для имитации оборудования с целью выявить вредоносную активность злоумышленника.

Рассмотрим функциональность InfoWatch ARMA детально.

InfoWatch ARMA Industrial Firewall поддерживает стандартные функции межсетевого экрана (фильтрация трафика на L3, проксирование) и маршрутизатора (NAT, статическая и динамическая маршрутизация). Отдельно можно отметить функции для создания VPN-туннелей. Они позволят создать защищённую распределённую сеть АСУ ТП.

Функции межсетевого экрана можно использовать для сегментации корпоративных и промышленных сетей, а также реализации задачи микросегментации внутри технологической сети – например, отделения смежных АСУ ТП разной категории значимости и контроля передаваемой между ними информации.

Применение на границе с корпоративным сегментом

Применение для обеспечения безопасной связи со смежными АСУ ТП

InfoWatch ARMA Industrial Firewall разбирает передаваемый трафик, определяя по заголовкам и содержимому IP-пакета тип протокола. Более того, для значительной части промышленных протоколов возможно определение конкретной команды, посылаемой на оборудование, а также внутренних адресов протокола и передаваемых значений.

Установка InfoWatch ARMA Industrial Firewall возможна на уровне SCADA-систем или между SCADA и ПЛК. Такая возможность нужна предприятиям не всех отраслей, но в отдельных случаях даёт возможность обнаруживать и блокировать опасные для технологического процесса команды.

Применение для мониторинга внутри АСУ ТП

DPI возможен для следующих протоколов:

• Modbus TCP;
• Modbus TCP x90 func. code (UMAS);
• S7 Communication;
• OPC DA | OPC UA;
• IEC 60870-5-104;
• IEC 61850-8-1 MMS;
• IEC 61850-8-1 GOOSE.

Данный список постоянно дополняется новыми протоколами и полями протоколов.

3. Система обнаружения и предотвращения вторжений

Система обнаружения вторжений (СОВ) InfoWatch ARMA Industrial Firewall позволяет находить вредоносную активность, направленную на промышленные объекты, благодаря специально разработанным базам правил и механизмам с учетом промышленной специфики. СОВ может работать как в режиме обнаружения вторжений (IDS), так и в режиме предотвращения вторжений (IPS).

Система обнаружения вторжений поставляется с базой решающих правил, включающих реагирование на эксплуатацию уязвимостей корпоративной инфраструктуры и АСУ ТП.

Для пользователей существует возможность добавления собственных решающих правил, а также приобретение подписки на обновление правил от вендора систем защиты информации.

По каждому срабатыванию правила СОВ предоставляется информация о предполагаемом злоумышленнике, объекте атаки, вредоносном воздействии, статусе (пакет заблокирован или пропущен – в зависимости от настроек).

Интерфейс просмотра срабатываний правил СОВ

Список протоколов, разбираемых СОВ, шире, чем для DPI, и включает в себя:

• Modbus TCP;
• Modbus TCP x90 func. code (UMAS);
• S7 Communication | S7 Communication plus;
• OPC DA | OPC UA;
• IEC 60870-5-104;
• IEC 61850-8-1 MMS;
• IEC 61850-8-1 GOOSE;
• ENIP / CIP;
• PROFINET;
• DNP3.

InfoWatch ARMA Industrial Firewall обладает функциональностью аутентификации и разграничения прав внешних пользователей при подключении в защищаемую сеть. Аутентификация производится с использованием портала авторизации в соответствии с учетными записями (локальными или LDAP).

Интерфейс портала авторизации

Таким образом, можно контролировать подключение удаленных пользователей к площадке или организовать доступ технической поддержки производителя АСУ ТП.

Применение для обеспечения безопасной связи с технической поддержкой

Одна из задач, решаемых InfoWatch ARMA Industrial Endpoint, – создание замкнутой защищенной среды, когда на конечном устройстве запускается только доверенное программное обеспечение из белого списка. В таком случае нет необходимости проверять каждый файл и нагружать оборудование, как это делает антивирусное средство защиты. Вредоносное программное обеспечение не сможет повлиять на систему даже при загрузке на рабочую станцию.

InfoWatch ARMA Industrial Endpoint обладает встроенными функциями обучения, благодаря которым система изучает запущенные программы и формирует «белый список» программного обеспечения.

Интерфейс управления белыми списками ПО

InfoWatch ARMA Industrial Endpoint позволяет защитить конечные устройства, ограничив права на использование съемных носителей (USB, диски, портативные устройства и т.д.) для уменьшения возможностей заражения рабочей станции или утечки информации с неё.

Интерфейс управления съемными носителями

Дополнительная возможность – контроль целостности файлов и директорий. Это позволяет отслеживать любые изменения в файлах и директориях, избегая риска внесения вредоносных изменений в файлы или подмены файлов.

Интерфейс управления контролем целостности

InfoWatch ARMA Management Console является единым центром управления системой защиты InfoWatch ARMA. Система агрегирует информацию с подключенных средств защиты и позволяет оперативно оценить текущую защищенность объектов.

Обзорная панель InfoWatch ARMA Management Console

Возможно централизованно осуществлять настройку конфигураций средств защиты, входящих в состав системы InfoWatch ARMA, обновлять базы решающих правил СОВ и гибко применять единую конфигурацию к нескольким межсетевым экранам. Всё это сокращает время на администрирование системы ИБ.

Управление системами защиты InfoWatch ARMA

Одна из важных задач, которую позволяет решить InfoWatch ARMA Management Console, – повышение качества и скорости реагирования на событие ИБ.

События безопасности, поступающие от подключенных средств защиты информации системы InfoWatch ARMA, анализируются и при обнаружении вредоносных действий формируются в инцидент ИБ.

Интерфейс настройки правил корреляции, создание инцидента

Для оперативного реагирования на инциденты ИБ возможна настройка правил реагирования. Это позволит снизить нагрузку на штат сотрудников ИБ в условиях кадрового дефицита.

К примеру, можно настроить условия формирования инцидента ИБ с автоматической отправкой рекомендаций по решению инцидента сотрудникам ИБ и операторам на производстве. Таким образом, максимально повышается скорость реагирования по устранению несанкционированного доступа к конфиденциальной информации и несанкционированных действий в АСУ ТП.

Интерфейс настройки правил корреляции, создание инцидента

Кроме того, возможна настройка автоматического формирования правила блокировки на межсетевом экране, которое распространится по всем указанным InfoWatch ARMA Industrial Firewall.

Интерфейс карточки инцидентов

InfoWatch ARMA Management Console обладает полным инструментарием для управления жизненным циклом инцидента ИБ при его расследовании. Кроме того, информацию об инциденте ИБ можно отправить во внешние системы SIEM или SOC.

Интерфейс просмотра и управления инцидентами

InfoWatch ARMA Management Console предоставляет функциональность построения карты сети, учета активов и средств защиты. Это позволит лучше видеть взаимосвязь событий безопасности как единого целого, найти уязвимые места сети.

Карта сети позволяет наглядно определить, на каких устройствах был выявлен инциденты, а в случае, если инцидентов несколько, можно получить доступ к их перечню тут же на экране карты сети.

Интерфейс карты сети

InfoWatch ARMA Industrial Firewall предусматривает установку в сеть в одном из четырех вариантов (режимов работы). Режим работы определяется настройками сетевых интерфейсов и количеством устройств:

1. режим маршрутизации;
2. режим прозрачного моста;
3. режим sniffing mode (обнаружение вторжений путем анализа копии сетевого трафика, снятого со SPAN порта);
4. режим отказоустойчивого кластера.

В режиме маршрутизации InfoWatch ARMA Industrial Firewall – межсетевой экран с функциями обнаружения и предотвращения вторжений, обеспечивающий защиту информации на уровне L3.

Режим маршрутизации

В режиме прозрачного моста InfoWatch ARMA Industrial Firewall функционирует как система обнаружения и предотвращения вторжений в прозрачном режиме с возможностью блокировки вредоносных пакетов. Интерфейсы при этом соединены в сетевой мост.

Режим прозрачного моста

В режиме sniffing mode (мониторинга) InfoWatch ARMA Industrial Firewall анализирует копию сетевого трафика со SPAN портов сетевых устройств и выявляет атаки в сети.

Режим sniffing mode (мониторинга)

В режиме отказоустойчивого кластера несколько InfoWatch ARMA Industrial Firewall объединяются в единый кластер в режиме active-passive. При выходе из строя одного из InfoWatch ARMA Industrial Firewall сетевую доступность обеспечивает оставшееся устройство.

Режим отказоустойчивого кластера

InfoWatch ARMA Industrial Endpoint – модуль защиты конечных устройств устанавливается на промышленный сервер или рабочую станцию, настраивается синхронизация с InfoWatch ARMA Management Console, за счет чего возможно централизованное конфигурирование всех подключенных InfoWatch ARMA Industrial Endpoint и сбора с них события безопасности.

InfoWatch ARMA Management Console – компонент управления, выполненный в виде виртуальной машины или самостоятельного устройства. Он может быть установлен в любую зону промышленной сети или DMZ, при единственном условии ― наличие сетевой связности с управляемыми модулями.

InfoWatch ARMA – комплексная система защиты информации в АСУ ТП. При этом лицензии на составляющие его продукты могут приобретаться независимо друг от друга.

• InfoWatch ARMA Management Console лицензируется по количеству подключаемых к консоли управления объектов InfoWatch ARMA, лицензия бессрочная;
• InfoWatch ARMA Industrial Endpoint лицензируется поштучно, лицензия на год;
• InfoWatch ARMA Industrial Firewall лицензируется по объему пропускаемого трафика. При этом отдельно лицензируются компоненты DPI и СОВ.

Варианты поставки также могут комбинироваться. Типовым вариантом является установка аппаратных межсетевых экранов с подключением их к консоли управления, которая может функционировать на сервере виртуализации.

1. InfoWatch ARMA Management Console поставляется в виде ПАК либо готового образа для среды виртуализации.

Системные требования:

• Процессор 2,0 ГГц, 2 ядра;
• ОЗУ 16 Гб;
• Жёсткий диск от 120 Гб.

2. InfoWatch ARMA Industrial Endpoint выполнен в виде msi-файла для установки на целевую систему. Системные требования: ОС Windows 10.

3. InfoWatch ARMA Industrial Firewall может быть поставлен в виде ПАК или в виде образа для установки на физическую или виртуальную машину. Виды ПАК и их характеристики перечислены ниже. Для использования установочного образа нужны следующие минимальные требования:

• процессор 2,0 ГГц, 2 ядра;
• ОЗУ 8 ГБ;
• жёсткий диск 120 ГБ, SSD;
• 2 Ethernet 10/100/1000 Мбит/сек.

Машина обеспечит защиту 150 Мбит/с трафика. Если же потребуется увеличить пропускную способность, то можно масштабировать ресурсы.

Поставляемые ПАК InfoWatch ARMA Industrial Firewall:

Преимущества Технические характеристики

Преимущества

Преимущества Технические характеристики

ARMA-19RACK-8E

Преимущества:

• Работает при температурах от 0 до +40°C
• Монтаж в 19-дюймовую стойку
• Включен в Реестр Минпромторг России

Узнать стоимость

ARMA-19RACK-8E

Исполнение: Серверное, монтаж в 19-дюймовую стойку

Сетевые порты: Ethernet - 8 портов 1 Гб/с

Пассивное охлаждение: Нет

Питание: Питание - 2х650 Вт., с возможностью горячей замены

Общая пропускная способность всего устройства с включенными модулем МЭ: до 3 Гбит/с

Общая пропускная способность всего устройства с включенными модулями МЭ и СОВ и DPI: до 1 Гбит/с

Межсетевой экран, пакетов/сек: до 2 700 000

Межсетевой экран, количество одновременных соединений (сессий): до 9 200 000

Степень защиты корпуса: Нет

Температура эксплуатации: от 0 до 40 °С

Работает при влажности: от 10 до 95 % (без конденсата)

Работает при вибрации: Нет

Работает при ударе: Нет

Габаритные размеры (ШхГхВ), мм: 437х650х43 (1U)

Вес: 15 кг.

Узнать стоимость

Преимущества Технические характеристики

Преимущества

Преимущества Технические характеристики

ARMA-BOX

Преимущества:

• Работает при температурах от -40 до +60°C
• Степень защиты корпуса — IP 40
• Настольное исполнение без движущихся частей

Узнать стоимость

ARMA-BOX

Исполнение: Настольное и промышленное, без движущихся частей с возможностью крепления на DIN-рейку

Сетевые порты: Ethernet - 6 портов 1 Гб/с

Пассивное охлаждение: Да

Питание: Питание - 12 до 24 В, внешний блок питания

Общая пропускная способность всего устройства с включенными модулем МЭ: до 1.5 Гбит/с

Общая пропускная способность всего устройства с включенными модулями МЭ и СОВ и DPI: до 600 Мбит/с

Межсетевой экран, пакетов/сек: до 1 400 000

Межсетевой экран, количество одновременных соединений (сессий): до 3 100 000

Степень защиты корпуса: IP-40

Температура эксплуатации: от -40 до +60 °С (Без адаптера питания, с индустриальным SSD и памятью DDR)

Работает при влажности: от 10 до 90 % (без конденсата)

При воздействии стационарной синусоидальной вибрации: IEC 60068-2-64 (w/ SSD: 3Grms STD, random, 5 - 500 Hz, 1 hr/axis)

Работает при ударе: IEC 60068-2-27 (w/SSD: 50G, half-sine, 11 ms duration)

Габаритные размеры (ШхГхВ), мм: 280х210х80,5

Вес: 5,6 кг.

Узнать стоимость

Защита информации промышленной сети является необходимостью. Практика показывает, что даже при наличии «воздушного зазора» между корпоративной и промышленной сетью, киберпреступники могут достигать своих целей. Поэтому необходимо защищать АСУ ТП, контролировать информационные потоки с помощью средств защиты информации.

InfoWatch ARMA – комплексное решение для обеспечения защиты АСУ ТП с единым центром управления. Благодаря интегрированности всех продуктов между собой и гибкой политике лицензирования возможно защитить даже небольшое производство, установив в начале средство защиты на хостах или промышленный межсетевой экран нового поколения в режиме СОВ. Внедрение InfoWatch ARMA не потребует значительных ресурсов. Для больших промышленных производств InfoWatch ARMA предлагает возможность глубокой сегментации сети, защищённое объединение географически разнесённых АСУ ТП. Автоматизация создания инцидентов ИБ и реагирования на них позволит повысить эффективность существующего штата ИБ.

Специалисты компании «РАССЭ» (ГК «АйТеко») внедряют системы защиты промышленных сетей. Мы работаем как с интеллектуальными системами, использующими искусственный интеллект для контроля аномалий, так и с простыми межсетевыми экранами. InfoWatch ARMA хотя и не содержит в себе нейронных сетей, но является актуальным решением, предназначенными для обеспечения безопасности АСУ ТП. Это надёжная система, хорошо зарекомендовавшая себя у заказчиков «РАССЭ».

Подводя итоги, можно рекомендовать к использованию InfoWatch ARMA в качестве решения для защиты АСУ ТП.