Для чего команде ИБ нужен специализированный поток данных об угрозах для АСУ?

Для чего команде ИБ нужен специализированный поток данных об угрозах для АСУ?

Как промышленным предприятиям в России наиболее эффективно защититься от кибератак? Для чего нужен специализированный поток данных об угрозах для автоматизированных систем управления (АСУ) и какой подход предлагает «Лаборатория Касперского»?

 

 

 

 

 

 

 

  1. Введение
  2. Коротко о потоке данных Kaspersky ICS Hash Data Feed
  3. Разве угрозы для АСУ чем-то отличаются от тех, что встречаются в инфраструктурах других типов?
  4. Почему ICS-угрозы выделены в особый поток данных?
  5. Если конечные точки сети уже защищены другими решениями, для чего нужен поток?
  6. Откуда собираются данные об угрозах и как обеспечивается их качество?
  7. Какие типы систем охватывает поток данных об угрозах для систем промышленной автоматизации?
  8. Какие задачи можно решать с помощью потока данных?
  9. Как получить доступ?

Введение

«Лаборатория Касперского» уделяет особое внимание защите предприятий промышленного сектора. В компании есть центр безопасности промышленных систем, в котором исследователи и аналитики занимаются сбором и анализом информации об угрозах, обнаруженных на компьютерах АСУ (автоматизированных систем управления) по всему миру.

Целостная экосистема решений «Лаборатории Касперского» для защиты промышленных организаций включает в себя и потоки данных о специфичных для таких инфраструктур угрозах — Kaspersky ICS Hash Data Feed.

Часто нас спрашивают, для чего нужны потоки данных об угрозах именно такого типа, в чём их отличие от других потоков угроз, чем они дополняют уже имеющиеся защитные решения и как можно использовать подобные данные.

Давайте сегодня поговорим об этом, разберём самые популярные вопросы о потоках данных об угрозах для АСУ и их применении.

Коротко о потоке данных Kaspersky ICS Hash Data Feed

Kaspersky ICS Hash Data Feed — это поток данных, который предоставляет регулярно обновляемую информацию о вредоносных программах, обнаруженных продуктами «Лаборатории Касперского» на более чем двух миллионах компьютеров АСУ наших клиентов по всему миру. Он содержит хеши вредоносных программ, а также важные метаданные, например IP- и URL-адреса источников вредоносного кода.

Поток предоставляется в виде JSON-файла и предназначен для совместного использования с широким спектром решений по мониторингу и защите конечных узлов и сети АСУ, а также полезен при обнаружении и расследовании киберинцидентов.

Размер первичного файла потока данных не превышает 100 МБ. Данные в потоке обновляются каждые 60 минут.

Разве угрозы для АСУ чем-то отличаются от тех, что встречаются в инфраструктурах других типов?

Да, есть важные отличия и особенности, которые необходимо учитывать при обеспечении эффективной защиты конечных узлов и сетевого периметра АСУ. Давайте попробуем разобрать ключевые из них.

Начнём с того, что АСУ подвержены атакам с использованием как специально разработанного под промышленную специфику вредоносного инструментария, так и инструментария «общего» назначения. На данный момент вредоносные программы, которые обычно блокируются на узлах АСУ, как правило, принадлежат к тем же семействам, что и обнаруживаемые на компьютерах в корпоративной сети, и имеют ту же функциональность.

Однако важно понимать, что для затруднения обнаружения злоумышленники постоянно бинарно модифицируют одни и те же вредоносные программы, используя различные техники упаковки и обфускации. Таким образом, используемые в одних атаках экземпляры вредоносных программ отличаются, если сравнивать их побайтово, от экземпляров использованных в других атаках. Например, нами описана популярная среди злоумышленников стратегия, при которой бинарно уникальные экземпляры шпионского ПО использовались в атаках не более чем на 100 компьютеров жертв (а часто — на гораздо меньшее количество). Бинарно различающиеся экземпляры, очевидно, имеют разные контрольные суммы.

Ещё одно отличие — степень опасности одних и тех же вредоносных программ в корпоративной среде и в промышленной. Некоторые вредоносные программы, не несущие серьёзной угрозы для компьютеров в корпоративной сети (например, повреждённые вследствие ошибки при сборке или бинарной модификации, а также связанные с уже неработающими командными центрами), могут исключаться из потоков данных об угрозах общего назначения, даже несмотря на распространённость, вследствие их безвредности для ИТ-систем и их пользователей. При этом они могут быть опасны для сред АСУ, которые оказываются намного менее толерантными к поведению вредоносного кода — потреблению системных ресурсов или генерируемому трафику (необязательно вредоносному).

Важно также иметь в виду, что технологическая сеть имеет свою собственную площадь атаки и свои каналы связи с внешним миром — дополнительные к тем, что доступны из офисных сетей: каналы связи со смежными объектами, каналы удалённого доступа для производителей оборудования, поставщиков услуг и прочих подрядчиков. Угрозы нередко проникают через них, минуя фильтры защитных решений на периметре организации. Как следствие, среди этих угроз есть и такие, которые практически не встречаются внутри периметров офисных сетей или не попадают в них вовсе. Бреши в безопасности технологических инфраструктур, таким образом, выполняют роль своеобразного фильтра, пропуская внутрь некое подмножество гуляющих по интернету угроз.

Сюда же можно отнести внутренние особенности технологических сетей и систем автоматизации, такие как обилие старых незакрытых уязвимостей, устаревшие версии операционных систем и ПО, недостаточная изоляция и сегментация АСУ ТП сети и в целом более низкая степень охвата защитными решениями и технологиями. Это приводит к тому, что в инфраструктуре АСУ живёт и циркулирует своя «флора и фауна» самораспространяющегося ПО — старых червей и вирусов. Для компьютеров АСУ с устаревшими версиями операционных систем по-прежнему опасны объекты с автозапуском — исполняемые файлы, скрипты, autorun.inf, .LNK и другие.

Без учёта специфики АСУ не обойтись и злоумышленникам, включая «работающих» по популярным схемам монетизации вроде BEC (Business Email Compromise) или кражи данных учётных записей для корпоративных ресурсов с целью их последующей продажи. Они вынуждены учитывать специфику атакуемых организаций. При использовании техник социальной инженерии важным оказывается владение терминологией, а при выборе способа кражи денег — знание особенностей ведения бизнеса и операционной деятельности организаций-жертв. 

Мы наблюдали, как даже в рамках одной киберпреступной среды появляются «специалисты» по металлургии, промышленному производству, нефтехимии и т. д. Каждый из них может при этом работать со своим набором экземпляров вредоносных программ, заражать ими свой набор особенных интернет-ресурсов, делать свои фишинговые рассылки. В более целенаправленных атаках, например со стороны вымогателей, хактивистов или APT, специфичности в используемом инструментарии ещё больше.

И, конечно, не стоит забывать о человеческом факторе. Работники промышленных предприятий и подрядчики выполняют роль «губки», со специфической селективностью впитывающей угрозы из окружающей среды и приносящей их в технологические системы. Так, среди наиболее распространённых источников первоначального заражения мы видим специализированные интернет-ресурсы: профессиональные и тематические форумы, веб-сайты производителей продуктов для промышленных предприятий, ресурсы поставщиков продуктов и услуг. 

Дополнительно отметим использование «поломанных» дистрибутивов, патчей и генераторов ключей для общеупотребимого и специализированного ПО для АСУ, а также фишинговые письма, которые учитывают интересы и особенности целевой аудитории или случайно в них «попали».

Почему ICS-угрозы выделены в особый поток данных?

Неспециализированные потоки данных часто не содержат необходимой информации об угрозах, которые учитывают упомянутые выше особенности АСУ. Это существенно повышает риски несвоевременного обнаружения атак на инфраструктуру АСУ и неэффективного реагирования на инциденты в области кибербезопасности. 

Недостаточный объём данных об угрозах АСУ в неспециализированных потоках данных обусловлен тем, что количество новых угроз, попадающих в лаборатории глобальных ИБ-вендоров, исчисляется сотнями тысяч в день. Включать их все в доступные конечным пользователям потоки данных оказывается технически невозможным из-за ограничений каналов передачи, систем хранения и обработки на стороне получателей. Поэтому потоки данных «общего назначения» содержат информацию только о наиболее распространённых угрозах, представляющих опасность для большинства потребителей. Данные об угрозах для АСУ по большей части будут, таким образом, исключаться, поскольку количество и популярность угроз для «офисных» сред, равно как и востребованность и доступность информации о них, существенно выше.

Kaspersky ICS Hash Data Feed предоставляет максимально полную информацию об актуальных угрозах для систем промышленной автоматизации с учётом специфики рисков, с которыми сталкиваются промышленные предприятия.

Если конечные точки сети уже защищены другими решениями, для чего нужен поток?

Для начала отметим, что поток совместим с широким спектром решений по кибербезопасности от разных брендов, которые поддерживают приём внешних данных, и не ограничивается только защитой конечных узлов. Поток может использоваться совместно с системами анализа информации из различных источников для раннего обнаружения инцидентов (SIEM, SOAR), сетевыми экранами, легковесными сканерами и многими другими инструментами, являясь важным элементом многоуровневой защиты конечных узлов и сети АСУ. Это даёт несколько преимуществ как в дополнение к традиционным средствам защиты, так и при использовании в качестве самостоятельного инструмента.

Во-первых, поток поможет решить задачу защиты тех узлов промышленной сети, которые не получается эффективно обезопасить традиционными средствами. Такое положение дел возможно в промышленном сегменте предприятия из-за проблем совместимости или аттестационных требований (скажем, по части неизменности программной среды). Например, мы часто наблюдаем у заказчиков такие ситуации:

  • не получается установить современное средство защиты;
  • не получается включить все его защитные компоненты;
  • не получается устанавливать обновления баз детектирующих компонентов с рекомендуемой разработчиком частотой или подключить средство к облачной инфраструктуре вендора для быстрого получения оценок репутации объектов;
  • приходится исключать из защиты обширные зоны, например части файловой системы и дискового пространства.

Одновременно есть потребность максимально исключить риски пропуска угроз, в том числе и в ситуации, когда применяется защитное решение от другого вендора и нет уверенности в полноте поступающей от него информации о детектируемых в сегментах АСУ угрозах.

В таких случаях поток может использоваться совместно с технически простым решением, которое легко протестировать на сочетаемость с защищаемой системой. Также поток не требует подключения к облачной базе угроз из промышленной сети. Используя локальную копию Kaspersky ICS Hash Data Feed, организации могут поддерживать более высокий уровень изоляции своей сети, не полагаясь на внешние облачные сервисы. Кроме того, при использовании совместно со сканером, который не реализовывает немедленной блокировки обнаруженных угроз, поток позволяет собирать ценную информацию о выявленных подозрительных файлах, обеспечивает контролируемое реагирование на угрозы без риска повлиять на нормальное течение технологического процесса.

Во-вторых, поток ценен для защиты и мониторинга периметра промышленной сети, когда используется совместно с сетевыми решениями по безопасности, такими как сетевые фильтры и системы обнаружения вторжений.

В-третьих, поток поможет в обнаружении и расследовании инцидентов. Наши данные позволяют ускорить этот процесс, быстро идентифицируя скомпрометированные системы, и оперативно определить масштабы заражения, после чего оценить его влияние на системы и выбрать подходящие меры по остановке развития и уменьшению последствий инцидента.

Таким образом, использование Kaspersky ICS Hash Data Feed обеспечивает повышенную безопасность для критически важных систем, предоставляя исчерпывающую специализированную информацию для своевременного обнаружения угроз для АСУ на разных уровнях, реагирования на компьютерные инциденты и их расследования, а также устраняет ограничения в защите тех компьютеров сети, которые не удаётся полноценно обезопасить традиционными средствами.

Откуда собираются данные об угрозах и как обеспечивается их качество?

Поток формируется на основе сведений, которые собираются на данный момент с более чем 2 000 000 реальных компьютеров АСУ наших клиентов. Количество таких машин в нашей глобальной сети Kaspersky Security Network постоянно растёт.

По тщательно выработанным критериям в поток включаются данные обо всех новых угрозах, обнаруженных продуктами «Лаборатории Касперского» в системах имеющих непосредственное отношение к средам промышленной автоматизации.

Мы используем целый ряд технологий и процедур для верификации данных об угрозах. Это, в частности, анализ на основе статистических критериев, проверка экспертными системами «Лаборатории Касперского» (песочницы, эвристический анализ, анализ подобия, профилирование поведения и т. д.), исследование силами аналитиков и проверка по «разрешающему списку».

Стоит отметить, что Kaspersky ICS Hash Data Feed содержит около 70 % уникальной информации в сравнении, например, с нашим потоком данных об угрозах для корпоративного сегмента предприятия, обеспечивая тем самым максимальный возможный охват угроз для сред АСУ.

Какие типы систем охватывает поток данных об угрозах для систем промышленной автоматизации?

В первую очередь речь идёт о серверах, рабочих станциях и системах человеко-машинного интерфейса (HMI), традиционно относимых к АСУ.

Во-вторых, это серверы, рабочие станции и HMI систем автоматизации зданий, физической безопасности, видеонаблюдения и обработки биометрических данных.

Сюда же можно отнести системы используемые при проектировании, разработке и интеграции (в пуске / наладке) АСУ, а также комплексы регулярного обслуживания автоматизированных производственных активов и системы разработки конечных продуктов (средства проектирования, моделирования, программирования, настройки и параметрирования).

Какие задачи можно решать с помощью потока данных?

Команды ИБ промышленных предприятий могут использовать Kaspersky ICS Hash Data Feed для решения широкого ряда задач по кибербезопасности АСУ:

  • обнаруживать представляющие угрозу для АСУ ТП вредоносные программы и атаки, сопоставляя данные из потока со сведениями о файлах, обнаруженных в периметре сети OT и на конечных узлах, а также анализируемых в песочницах;
  • повысить эффективность цифровой криминалистики и реагирования на инциденты, сопоставляя данные из Kaspersky ICS Hash Data Feed с выявленными в рамках конкретного инцидента индикаторами компрометации (IoC) и получая дополнительную информацию, такую как тип вредоносного кода и его разновидности, связанные IoC и векторы атаки, что даёт возможность обнаруживать не выявленные ранее объекты, затронутые атакой, и определять реальный масштаб инцидента;
  • осуществлять проактивный поиск известных экземпляров вредоносных программ в инфраструктуре ИТ и ОТ, выявлять признаки компрометации, например, посредством сравнения хешей файлов в сетевом трафике с данными в потоке Kaspersky ICS Hash Data Feed;
  • улучшить точность приоритизации и эскалации инцидентов, так как специалистам по кибербезопасности часто не хватает полной информации об обнаруженных угрозах для принятия решений;
  • усилить имеющиеся средства защиты, такие как антивирусное ПО и программы для защиты конечных точек, ПО для контроля приложений, решения для обнаружения, изучения и блокирования вредоносной активности (EDR, XDR, MDR), системы обнаружения и предотвращения вторжений (IDS, IPS), межсетевые экраны нового поколения (NGFW), безопасные шлюзы и т. д.

Механизм использования потока Kaspersky ICS Hash Data Feed универсален и заключается в сопоставлении индикаторов компрометации с собираемыми внутри сети данными — о хешах файлов, IP- и URL-адресах.

Инструмент будет актуален для команд ИБ в самых разных отраслях: производство, нефть и газ, энергетика, автоматизация зданий, инжиниринг, интеграция АСУ и обслуживание промышленного оборудования, химическая промышленность, водоснабжение и водоочистка, производство продуктов питания и напитков и т. д.

Как получить доступ?

Доступ к Kaspersky ICS Hash Data Feed предоставляется по подписке на один год или три года.

Свяжитесь с нами по адресу ics-cert@kaspersky.com для обсуждения «пилотирования» потока данных. Это позволит вам протестировать наше решение и оценить эффективность использования потока угроз в вашей среде. Специалисты «Лаборатории Касперского» помогут пройти через необходимые подготовительные этапы и стадии процесса внедрения.

Авторы:

Елена Киселёва, аналитик информационной безопасности команды исследования угроз и реагирования на инциденты в промышленных информационных системах Kaspersky ICS CERT

Евгений Гончаров, руководитель команды исследования угроз и реагирования на инциденты в промышленных информационных системах Kaspersky ICS CERT

Реклама. Рекламодатель АО «Лаборатория Касперского», ИНН 7713140469, ОГРН 1027739867473 

ERID: 2VfnxxZd4dn

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru