Игорь Душа, технический директор InfoWatch ARMA
Игорь Душа рассказывает про тенденции защиты информации, которые существуют, дает рекомендации по выбору средств защиты информации (СЗИ) и иллюстрирует примерами конкретных атак по всему миру, которые нужно учитывать в моделях угроз. Всё это мы упаковали в короткий дайджест о трех основных трендах в построении ИБ АСУ ТП в 2021 году, которые помогут защититься от кибератаки любой сложности.
Тренд №1. Эшелонированная защита
Подход эшелонированной (многоступенчатой) защиты информации означает, что злоумышленник должен потратить много ресурсов на преодоление нескольких «линий обороны». Почему это актуально для АСУ ТП на промышленных объектах? Мы видим, как пандемия ускорила конвергенцию ИТ, OT сетей (Operational Technology – комплекса программно-аппаратных средств, выполняющих мониторинг и управление физическим устройствами, процессами и событиями на предприятии) и IIoT. Раньше среда ОТ традиционно изолировалась от ИТ-сети для защиты устройств и процессов предприятия от атак и взломов. Но теперь ОТ и ИТ становятся все более взаимосвязанными, промышленные системы – все более заметными, а это приводит к росту атак на OT-сегмент, в которых киберпреступникам даже не приходится использовать изощренные тактики.
Как показала успешная кампания ботнета Lemon_Duck, у которого есть как минимум 12 независимых векторов заражения, промышленные системы могут быть скомпрометированы загрузкой вредоносных программ через сеть. Lemon_Duck заражает промышленные предприятия с помощью фишинговых писем о COVID-19 и вакцине, использует «полный перебор» паролей протоколов SMB и RDP.
Из-за того, что большинство ИТ-систем практически не требуют аутентификации или шифрования для внутреннего доступа, киберпреступники могут получить неограниченный доступ к любому устройству, работающему в сети, включая SCADA-приложения и другие критически важные компоненты АСУ ТП.
Как не стать жертвой киберпреступников: рекомендации эксперта InfoWatch ARMA.
Шаг 1. Взять под контроль те участки промышленной сети, где коммуникации АСУ ТП выходят в корпоративную сеть или за пределы контролируемой зоны. То есть сегментировать IT и OT-сети.
А именно: на границе с корпоративным сегментом, при подключении технической поддержки, на участке сети между обособленными и смежными АСУ ТП, между SCADA и ПЛК. С этим хорошо справляются специализированные промышленные межсетевые экраны нового поколения, которые своевременно обнаруживают и блокируют атаки на промышленные сети, благодаря встроенной системе обнаружения вторжений (СОВ), а также защищают от несанкционированного доступа и позволяют обеспечить безопасное удаленное подключение благодаря VPN.
«Промышленные системы и сети характеризуются широким спектром проприетарных протоколов, уязвимости в которых предоставляют злоумышленникам возможности для самых разных вариантов атак.
Для своевременного обнаружения угроз и реагирования на них необходимо обеспечить непрерывный мониторинг сети на предмет аномалий, несанкционированного доступа и подозрительных действий. При выборе как межсетевого экрана, так и систем обнаружения вторжений, нужно обращать внимание на список промышленных протоколов, которые он может инспектировать и на глубину разбора пакетов промышленного трафика. Функция фильтрации до уровня команд и их значений значительно увеличивает прозрачность данных в сети, позволяет осуществить более тонкую настройку и генерацию значимых событий безопасности», – поясняет Игорь Душа, технический директор InfoWatch ARMA.
Межсетевой экран такого типа входит в состав системы InfoWatch ARMA и называется InfoWatch ARMA Industrial Firewall. Встроенная в него СОВ обнаруживает и блокирует вредоносное ПО, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК, а межсетевое экранирование контролирует доступ к сетям OT и устройствам АСУ ТП. Защита от такой актуальной в пандемию угрозы, как рост количества сотрудников на удаленке, решается с помощью VPN.
Шаг 2. Обеспечить защиту рабочих станций и серверов АСУ ТП.
Фишинговые атаки наглядно показывают, что современные ботнеты свободно эксплуатируют уязвимости на компьютерах под управлением ОС Windows – самой распространенной операционной системе рабочих станций АСУ ТП. Поэтому важно контролировать все действия оператора или диспетчера, например, подключение съемных носителей и запуск приложений.
Эту задачу решают средства защиты класса Endpoint, без которых невозможно построить комплексную эшелонированную защиту. В InfoWatch ARMA защиту на хостах реализует InfoWatch ARMA Industrial Endpoint, который, кроме уже перечисленных функций, позволяет создать безопасную программную среду. О ней, как втором тренде, поговорим подробно.
Тренд №2. Безопасная программная среда
Сегодня не только промышленные сети, но и рабочие станции АСУ ТП уже имеют подключения к ИТ-сетям и доступ к цеху и ПЛК. Не удивительно, что они часто становятся начальной точкой атаки: если киберпреступники встретили сильную «оборону» со стороны сетей, то следующее уязвимое место они будут искать внутри самой АСУ ТП, эксплуатируя уязвимости оборудования или операционной системы. Рост числа удаленных подключений в период пандемии привел к использованию бесплатных приложений и устройств, часто в обход корпоративных политик безопасности с уязвимостями, которые можно было легко эксплуатировать удаленно.
По данным исследования, проведенного Ассоциацией по вопросам защиты информации (BISA) в сентябре 2020 г., только 22,6% респондентов усилили системы защиты информации (а именно обновили свои политики безопасности и модели угроз) на предприятии. Еще 10,8% закупили СЗИ, 48% ограничились только проведением дополнительного инструктажа, а 18,6% – лишь разрешением ранее запрещенной «удаленки», без обеспечения ее безопасности.
А по данным британской компании Bulletproof, киберпреступникам достаточно 32 миллисекунды для атаки на общедоступное работающее приложение. Такие приложения, как правило, бесплатны и устанавливаются без согласования со службой ИБ.
Отсутствие контроля подключения съемных носителей информации и действий сотрудников может повлечь разрушительные последствия. Как, например, всем известная атака систем атомной электростанции в Бушере летом 2010 г. Вирус Stuxnet распространялся с USB-носителей («флеш-накопителей») и мог инфицировать любой компьютер, использующий операционную систему Windows.
Источник: t.me/RuScadaSec
При этом он перехватывал управление компьютером и сам начинал отдавать команды таким образом, чтобы у операторов сохранялась иллюзия контроля над ситуацией. Для этого вирус, долгое время находясь внутри системы, собирал информацию о технологических процессах и текущем режиме работы оборудования. Получив контроль над иранскими ядерными центрифугами, Stuxnet начал потихоньку менять им режим работы. В результате центрифуги начали выходить из строя – 1368 центрифуг вышли из строя, восстановить их не представлялось возможным.
«Кибератаки не случаются мгновенно, сложные целенаправленные APT-атаки готовятся месяцами или даже годами, требуют от киберпреступников владения внушительными ресурсами, специальных знаний и большого количества времени для серьезной разведки. Предприятие-жертва зачастую замечает присутствие злоумышленников в своих сетях только когда видит мгновенное распространение и разрушительное воздействие атаки, происходящей в настоящий момент. Это, конечно, уже слишком поздно. Важно обнаружить и локализовать присутствие вредоноса до того, как хакеры получат доступ к сети и возьмут ее под контроль», – комментирует Игорь Душа, технический директор InfoWatch ARMA.
Ни слова больше о Stuxnet, или какое средство защиты выбрать.
Напрашивается логичный вопрос: можно просто поставить антивирусную защиту, зачем еще что-то? Нет, нельзя и вот почему. Классический антивирус увеличивает нагрузку на промышленную сеть и может выдать ложные срабатывания. Чтобы антивирусу понять, легитимно или нет неизвестное ПО, ему требуется его открыть, проинспектировать и только после принять решение – заблокировать или разрешить использование. В отличие от систем ограничения программной среды и СЗИ НСД, в частности InfoWatch ARMA Industrial Endpoint (входящего в состав InfoWatch ARMA), который действует иначе: не позволяет исполнять файлы, не входящие в white list, в том числе вредоносное ПО (например, вирусы-шифровальщики). Таким образом, любое недоверенное ПО автоматически блокируется. К тому же, InfoWatch ARMA Industrial Endpoint обнаруживает любые нелегитимные изменения в программной среде рабочей станции или сервера АСУ ТП. Так создается безопасная программная среда, которая позволяет своевременно обнаружить и локализовать действие вредоноса.
Если вы не еще не организовали безопасную программную среду для защиты АСУ ТП, примите следующие меры:
Шаг 1. Возьмите под контроль подключение любых съемных носителей информации.
Шаг 2. Установите оператору и диспетчеру запрет на запуск любых приложений, кроме тех, которые требуются для их работы.
Тренд №3. Централизованное управление системой защиты и расследование инцидентов ИБ
В 2020 г. киберпреступники обратили особо пристальное внимание на сетевые ресурсы и активы компаний, которые доступны из Интернета. Как отмечают исследователи из Heimdal, операторы программы-вымогателя Netwalker до апреля 2020 г. сначала доставляли свой вредонос посредством фишинговых писем, а, начиная с апреля, стали эксплуатировать уязвимости в необновленных VPN-решениях, подбирать пароли для удаленного доступа по протоколу удаленного рабочего стола (RDP) и искать все новые уязвимости в веб-приложениях. Этот тренд породила пандемия и поспешный вывод на периметр сервисов, которые раньше были доступны лишь из локальной сети.
Выиграли те компании, у которых уже были установлены инструменты по повышению прозрачности сети и учету ее активов, а также более тщательного наблюдения за хостами. Во времена дефицита кадров, огромного парка мультивендорного оборудования и разнообразия средств защиты, эти процессы необходимо автоматизировать и предоставить специалистам ИБ возможность работать в едином интерфейсе для своевременного и слаженного реагирования на угрозы и обнаружения их источника.
«Проектируя систему защиты АСУ ТП InfoWatch ARMA, мы изначально закладывали идею анализа всего происходящего в промышленной сети и на хостах как единое целое. С самого начала нам было важно минимизировать количество ложных срабатываний, чтобы снизить нагрузку на небольшой по численности и перегруженный штат ИБ-специалистов. Сейчас, когда российский рынок только осознает необходимость таких функций, которыми обладают пока только зарубежные СЗИ класса XDR, InfoWatch ARMA готова к эксплуатации на промышленных предприятиях. Наша система позволяет отследить всю цепочку атаки, включая вредоносные действия и зараженные устройства», – комментирует Игорь Душа, технический директор InfoWatch ARMA.
InfoWatch ARMA Management Console (входит в систему InfoWatch ARMA) позволяет ИБ-специалистам не только целиком увидеть ситуацию кибербезопасности в сети и на активах, но и совместно работать над расследованием инцидентов в едином интерфейсе, а также передавать коллегам события ИБ в SOC- и SIEM-системы. Это позволяет быстро выявить источник атаки, локализовать его и уменьшить площадь распространения, а командам ИБ – быстро взаимодействовать, что особенно важно сегодня, когда компании имеют разветвленную филиальную структуру и не имеют единого центра управления системой безопасности информации.
Что нужно сделать уже сегодня руководителям промышленных предприятий и специалистам ИБ АСУ ТП, чтобы вовремя отражать атаки и сохранить стабильное развитие:
Шаг 1. Не забывать о том, что безопасность промышленной сети напрямую зависит от инвентаризации всех зарегистрированных и вновь появляющихся СЗИ и приложений.
Для своевременного обнаружения вторжений важно получать данные со всех СЗИ в едином интерфейсе. А также централизованно расследовать инциденты и автоматизированно управлять всеми активами АСУ ТП.
Шаг 2. Обеспечить взаимодействие специалистов ИБ по четким регламентам и правилам, которые будут выдаваться в случае инцидента.
В эпоху непрерывно изменяющихся внешних обстоятельств и перестройки процессов на предприятиях, важно реагировать без промедлений и заминок. Это относится не только к персоналу ИБ, но и к тем системам защиты, которые выбираются. Только учитывая все эти факторы, можно обеспечить непрерывность и безопасность производственного процесса и быть на шаг впереди киберпреступников.
Мы рассмотрели базовые принципы, которые составляют фундамент системы безопасности информации АСУ ТП в борьбе с современными угрозами. Рекомендации эксперта InfoWatch ARMA помогут ИБ-специалистам на ранних этапах обнаружить подозрительное или аномальное поведение файловой системы оборудования АСУ ТП, предотвратить несанкционированные действия пользователей, а, значит, своевременно обнаружить и предотвратить даже сложные кибератаки. 2020 год показал необходимость комплексного подхода к ИБ АСУ ТП и создания комплексной системы безопасности от одного вендора, который имеет опыт работы с разными отраслями и отлично понимает модели угроз того или иного заказчика, сэкономит заказчику ресурсы и время на этапе внедрения.