Усиливаем защиту объектов КИИ от киберугроз

InfoWatch ARMA подготовила рекомендации для немедленного усиления защиты объектов КИИ в условиях критического уровня угроз. Ниже вы найдете краткие подсказки по мерам защиты объектов КИИ первого и второго порядка, которые можно предпринять для минимизации поверхности атаки. Рассмотрим работу с существующими/штатными механизмами защиты объектов КИИ и кратко опишем рекомендации по работе с наложенными СЗИ. Если после прочтения материала вам потребуется детальная индивидуальная консультация, вы можете обратиться к специалистам InfoWatch ARMA тут по программе поддержки. Это бесплатно и предусматривает возможность внедрения ПО InfoWatch ARMA при необходимости.

Проверяем штатные механизмы защиты сети

Прочитайте и выполните «Hardening Checklist» для используемых ОС, и проверьте, что защита сети на вашем предприятии установлена на каждом из устройств, подключенных к сети. Усиленная защита сети от целевых атак предполагает наличие разных СЗИ, например, антивирус или межсетевой экран (МЭ). Проверьте, что защита сети в АСУ ТП настроена на каждом уровне. Грамотно сконфигурированная защита сети на вашем предприятии снизит к минимуму риск проникновения злоумышленника.

Основной принцип для настройки:

• Активация аутентификации
• Настройка парольной политики
• Установка явных прав на использование ресурсов, установка ограничений
• Отключение неиспользуемых сервисов
• Переключение на безопасные версии протоколов

Учет рекомендаций от производителя:

• Ознакомиться с рекомендациями вендора системы автоматизации (пример для Siemens или Schneider Electric)
• Обновить пароли доступа прямо сейчас, убедиться, что они будут соответствовать стандартным требованиям
• Установка параметров и настроек в соответствии с рекомендациями производителями
• Установка безопасного сетевого соединения между компонентами системы
• Настройка прав доступа в программном обеспечении АСУ ТП
• Настройка создания резервных копий

Сетевое оборудование:

• Отключите неиспользуемые порты на сетевом оборудовании и разместите их на отдельный VLAN
• Ограничьте доступ к сетевым портам, разрешив только конкретным устройствам работать через него (самый простой способ по MAC адресу).
• Установите таймаут сессии
• Отключите Telnet для администрирования, ограничьте адрес для администрирования, сконфигурируйте SSH
• Используйте SNMPv3, либо поменять стандартное название community
• Включите журналирование событий
• Отключите неиспользуемые сервисы (dhcpd, http server и т.д.)

Настройка межсетевых экранов:

• Прочитайте общие Best Practice или для вашего МЭ
• Главная настройка: белый список, запрещено все, что явно неразрешено
• С помощью DPI отключите неиспользуемые протоколы
• Все разрешающие правила должны иметь конкретные IP-адреса и номера портов TCP / UDP и должны ограничивать трафик на определенный IP-адрес или диапазон адресов, трафик должен быть описан по источникам передачи и иметь конкретного получателя с указанием используемого сервиса и сетевого порта
• Транзитная передача данных из сети системы управления в корпоративную сеть должна быть блокирована. Все пересылки должны заканчиваться в DMZ
• Идеально, если любой протокол, разрешенный между АСУ ТП и DMZ, не будет разрешен между DMZ и корпоративной сетью (и наоборот)
• Сети систем управления не должны напрямую подключаться к Интернету, даже через канал связи, защищенный с помощью МЭ

Операционные системы (примеры настроек):

• Использование протокола ACL (Список управления доступом) по файловой системе и файловому реестру во избежание неожиданных модификаций в файлах и записях в системном реестре
• Деактивирование автозапуска съемных носителей
• Настройка параметров для обновления пароля в /etc/login.defs
• Настройка блокировки учетных записей при неудачных попытках аутентификации в файлах /etc/pam.d/password-auth и /etc/pam.d/system-auth .
• По возможности отключить использование общих сетевых ресурсов (SMB)

Дополняем систему защиты наложенными СЗИ с помощью InfoWatch ARMA

Для выполнения рекомендаций по предупреждению кибератак, озвученных на конференции ИБ АСУ ТП КВО сотрудниками ФСТЭК России, лучше использовать СЗИ российских вендоров по понятным причинам. Выбирайте сертифицированные СЗИ или те СЗИ, которые сертифицируются сейчас. Вы можете использовать существующие СЗИ, либо запросить ПО InfoWatch ARMA и получить его бесплатно по программе поддержки.

InfoWatch ARMA разработала единую систему защиты, состоящую из трех продуктов:

• InfoWatch ARMA Industrial Firewall - сертифицированный промышленный межсетевой экран нового поколения
• InfoWatch ARMA Industrial Endpoint - средство защиты рабочих станций и серверов SCADA
• InfoWatch ARMA Management Console центр управления всеми СЗИ.

Все три продукта работают как единая система - сразу «из коробки», а также используются как отдельное СЗИ, способное внедриться в любую инфраструктуру предприятия.

Общие рекомендации:

1. Исключение автоматического обновления посредством сети «Интернет»

Настроить можно внутри ОС, также можно настроить блок на межсетевых экранах на адреса, которые связаны с автоматическим обновлением ОС. Начните тестировать обновления на отдельном стенде, и далее уже устанавливайте на устройства. Обновление на стенде не выявит закладку, но это позволит предотвратить прямое автоматическое событие ИБ, связанное с обновлением.

2. Установка актуальных баз данных САВЗ и решающих правил СОВ у вендора СЗИ

Каждую из данных подсистем предоставляют вендоры защиты. Обновите каждую из баз для реагирования и предотвращения актуальных угроз.

3. Анализ и устранение уязвимостей узлов, являющихся точками проникновения (например, с помощью ScanOVAL)

Определите точки проникновения на предприятии. Стандартно - это точки интеграции или соединение с внешними сетями и сетями общего пользования. Воспользуйтесь программой, выпущенной ФСТЭК России, ScanOVAL, для оперативного и автоматизированного обнаружения уязвимостей ПО на рабочих станциях и серверах.

4. Провести инвентаризацию сервисов и служб, отключить неиспользуемые

Все службы, которые не используются на ОС, межсетевых экранах и других ПО, рекомендуется отключить. Это позволит устранить те каналы распространение атак, которые ранее могли быть неактуальными.

Настраиваем сетевую защиту.

Одним из вариантов повышения уровня защищенности на предприятии, является использование межсетевого экрана. InfoWatch ARMA Industrial Firewall разработан с учетом всех современных требований к безопасности на промышленных предприятиях. Глубокий анализ сетевых пакетов повышает прозрачность сети, тем самым позволяя вовремя выявлять и быстро реагировать на попытки взлома или несанкционированного доступа. В Industrial Firewall встроены системы обнаружения и предотвращения (IDS\IPS) вторжений, которые регулярно обновляют базы данных сигнатур как самостоятельно, так и через консоль управления.

1. Настройка МЭ на блокировку «белым списком», блокировка входящего трафика с зарубежных IP-адресов, из Tor, отключение неиспользуемых портов

В первую очередь необходимо настроить межсетевые экраны, чтобы они пропускали трафик в соответствии с политикой безопасности предприятия, а не разрешали прохождение трафика с любых хостов на любые хосты. Установите блокировку по тем информационным потокам, которые неактуальны для предприятия. В обязательном порядке стоит отключить подключение из сетей анонимизации, в частности Tor, и сетевые порты.

2. Ограничить количество подключений к информационной инфраструктуре с каждого отдельного IP адреса

Для сетей АСУ ТП наиболее актуальны flooding-атаки, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP). Ограничьте количество подключений на внешних средствах защиты с каждого отдельного IP адреса.

3. Активировать вспомогательные функции для защиты (в т.ч. DPI и потоковый антивирус) на сетевых средствах защиты информации

Важно понимать, что подобная активация замедляет работу СЗИ и требует дополнительной настройки, в частности это касается потокового антивируса. Если возможность работы с тем сетевым трафиком и той скоростью, которые будут после настройки дополнительных механизмов защиты, возможна, их следует активировать.

4. Ограничить возможности удаленного управления прикладным и системным ПО через сети общего пользования

Рекомендуется запретить возможности удаленного управления прикладным и системным ПО через сети общего пользования. Реализацию такого ограничения можно осуществить с помощью межсетевого экрана нового поколения или техническими мерами. На примере Industrial Firewall защищаем удалённый доступ через сеть VPN:

Защищаем рабочие станции.

Кроме защиты сети, важно защитить рабочие станции. InfoWatch ARMA Industrial Endpoint защищает отдельные устройства управления технологическим процессом. Замкнутая программная среда минимизирует пространство для маневра злоумышленника, контролируя целостность рабочих файлов и создавая списки одобренных ПО - «белые списки».

В Industrial Endpoint есть функция контроля подключенных съёмных носителей, мультимедийных, портативных и прочих устройств: запретить или разрешить только те устройства, которые необходимы в работе диспетчерам и исключить использование стороннего ПО, не относящееся к производственным процессам.

1. Исключите использование ПО, не требуемого для выполнения должностных обязанностей

Составьте «белые списки» ПО, которые может использовать специалист АСУ ТП на рабочем месте, настройте штатные меры защиты и политики Security Police (возможно на старых версиях ОС Windows и Linux)

2. Контроль/запрет подключения неучтенных съемных носителей информации и мобильных устройств

 Запретите любые подключения съемных носителей и мобильных устройств насколько это возможно. В случае применения съемных носителей по служебной необходимости ограничьте использование «белым списком» и техническими мерами.

3. Исключить применение систем удаленного доступа, удалить их, если они используются в инфраструктуре

Некоторые программы удаленного доступа работают через внешние серверы. Запретите использование TeamViewer и аналогичных программ удаленного управления на диспетчерском уровне.

4. Ограничить использование личных СВТ, модемов, накопителей и обновить правила безопасного использования таких средств

Напомните сотрудникам АСУ ТП, что сейчас крайне нежелательно использовать личные накопители в рабочих сетях. Личная ответственность каждого сотрудника должна быть зафиксирована политикой использования личных съемных носителей.

Работа с инцидентами и мониторинг.

На рынке ИБ представлено множество СЗИ, которые помогают автоматизировать процессы в защите информации. Одним из таких средств служит InfoWatch ARMA Management Console – единый центр управления СЗИ. Работая в одном веб интерфейсе, специалист ИБ освобождает время для расширенного анализа - события ИБ собираются со всех средств защиты в единый список, коррелируются в инциденты ИБ и далее инциденты ИБ назначаются на ответственного специалиста. После назначения ответственного передаются инструкции для работы с инцидентами ИБ или проводится совместное расследование. Помимо этого, Management Console обновляет продукты InfoWatch ARMA и их конфигурации. Другие настройки для синхронизированных СЗИ также осуществляются через единый центр.

1. Организовать анализ критичных событий безопасности

Ожидается увеличение количества событий ИБ и инцидентов. Для максимально эффективного анализа инцидентов ИБ, нужно снизить количество ложных срабатываний и уменьшить информационный поток. Такой процесс работы могут реализовать SIEM и SOC- системы, а также консоли управления СЗИ.

2. Организовать мониторинг объектов информационной инфраструктуры предприятия

Нужно проверить существование журналирование и отправка логов в SIEM и SOC со всех критичных объектов.

3. Оперативно отправлять информацию о появившихся инцидентах в НКЦКИ и читать бюллетени безопасности

Чем быстрее вы уведомите ГосСОПКА о происходящих сейчас атаках, тем быстрее другие субъекты КИИ узнают о том, как от этих атак защититься. НКЦКИ направляет бюллетени с подробностями тех атак, которые сейчас распространяются, также помогает в реагировании на атаки, может помочь в правильной отработке данного инцидента и быстро предотвратить его последствия.

Мы рассмотрели методы, которые позволяют в кратчайшие сроки организовать и усилить защиту объектов КИИ. В первую очередь настраиваем штатные механизмы: сетевое оборудование и имеющиеся межсетевые экраны. Обращаем внимание на рекомендации от производителей автоматизированных средств управления (АСУ), проверяем настройку операционных систем (ОС).

Далее переходим к уже существующим наложенным СЗИ. Проверьте настройки средств защиты сетей и, если имеются, средств защиты рабочих станций и серверов. Настройте систему по работе с инцидентами ИБ и организуйте мониторинг информации на объектах.

Если наложенных СЗИ нет, а необходимость есть, то обращаемся за консультацией к экспертам InfoWatch ARMA, чтобы получить возможность бесплатно использовать единую систему защиты от кибератак, а именно сертифицированный промышленный межсетевой экран нового поколения, средство защиты рабочих станций и серверов и консоль управления СЗИ в рамках программы поддержки.