Изначально системы автоматизации создавались для изолированного применения — данные не передавались вовне, им ничто не угрожало. Поэтому не было острой необходимости защищать промышленные системы. Но сейчас ситуация поменялась, в промышленные системы тоже пришла сетевая парадигма. Это породило новые угрозы и потребность в совершенно ином подходе к обеспечению безопасности промышленных систем.
Сегодня слово «экосистема» прочно закрепилось за сферой информационных технологий. Мы говорим уже не только об экосистемах городов, но также о «цифровой экосистеме», «ИТ-экосистеме». Что главное: даже не имея технических подробностей, мы точно знаем, что наш ноутбук, смартфон, дом и автомобиль действительно незримо связаны — они «общаются» друг с другом. И даже далеко не всегда ставят нас, своих хозяев, об этом в известность.
Выстраивание ИТ-экосистем происходит уже много десятилетий — и теперь мы искренне расстраиваемся, если на смартфоне вдруг не запустилась видеоконференция из почты, даже не задумываясь о том, сколько систем при этом должны согласованно сработать. Продукты для информационной безопасности (ИБ) всегда обладали элементом автономности, и эта автономность действительно добавляла секретности и защищённости. Но сегодня это уже не так. В ИБ тоже пришла парадигма сетевой связанности. В противном случае важная информация об инциденте, вовремя не переданная в центр мониторинга информационной безопасности, просто потеряла бы свою значимость (и, кстати, в кратчайшие сроки). Значит, передача событий по ИБ, быстрая обработка, своевременное извещение и эффективная реакция — это и требование, и норма сегодняшнего и уж тем более завтрашнего дня.
В ИБ много продуктов: антивирусы, межсетевые экраны, комплексы предотвращения утечек (DLP), системы обнаружения вторжений и разнообразные иные решения. Данные изо всех этих источников надо собрать и обработать, а для этого нужна централизованная платформа мониторинга и анализа событий по ИБ, которая обозначается известной многим аббревиатурой — SIEM. Подобных систем в мире много, они различаются по функциональности и стоимости. Многие известные SIEM можно считать центрами экосистем ИБ, объединяющих всю линейку продуктов одного вендора и интегрируемых решений его стратегических партнёров. По нашему мнению, такое право им даёт уровень интеграции.
Компания «Информзащита» имеет 27 лет опыта работы с продуктами для информационной безопасности. Мы отличаем маркетинговые анонсы от технологических новшеств устойчивых вендоров. Пришло время сказать: на российском рынке уже имеются примеры экосистем ИБ. Там, где есть нативная связанность различных по назначению продуктов, информационная безопасность существует и работает.
«Лаборатория Касперского» — известный во всём мире вендор. «Информзащита» давно и успешно внедряет продукты этой компании. С появлением SIEM KUMA (Kaspersky Unified Monitoring and Analysis Platform) мы готовы предлагать заказчикам экосистему ИБ, в центре которой находится как раз эта платформа. И речь в данном случае идёт не только о корпоративном, но и о промышленном сегменте предприятий, АСУ ТП, защите КИИ (критической информационной инфраструктуры).
Центр промышленной безопасности «Информзащиты» завершил уже не один проект по защите КИИ промышленных предприятий. Пройдя суровый путь запуска антивирусов на работающих АРМах SCADA, смены IP-адресаций и установки межсетевых экранов в действующих агрегатных подсетях, настройки IDS там, где раньше никто промышленный трафик не разбирал, можем уверенно сказать, что решения «Лаборатории Касперского» для защиты промышленных предприятий — Kaspersky Industrial CyberSecurity (KICS), на сегодняшний день представляющие собой специализированную XDR-платформу, где мониторинг и обнаружение вторжений в промышленной сети (KICS for Networks) объединены с защитой промышленных рабочих мест (KICS for Nodes) — работают надёжно и польза от них ощутима. Теперь же мы получили SIEM-систему от того же вендора с широкими возможностями по приёму событий KICS for Networks и KICS for Nodes, которая в новой версии включает в себя функциональность EDR, а также платформу киберразведки (Threat Intelligence) Kaspersky CyberTrace для обогащения событий актуальными потоками данных об угрозах, поставляемыми экспертами мирового уровня из глобального центра Kaspersky ICS CERT. Всё это создаёт действительно эффективную экосистему промышленной кибербезопасности Kaspersky OT CyberSecurity.
Цель этой статьи — не столько описать функциональность SIEM KUMA, сколько перечислить процессы, которые могут быть выстроены с применением ряда продуктов «Лаборатории Касперского» для реальной киберзащиты АСУ ТП. Однако всё же необходимо рассказать о KUMA подробнее. Последняя версия продукта — 2.1 — вышла в феврале 2023 года, следующее обновление ожидается уже этой осенью.
KUMA обладает впечатляющей производительностью до 300 тысяч событий в секунду (EPS) на один узел, при этом у платформы низкие системные требования. Продукт изначально предназначен для работы в современных виртуализируемых средах. KUMA поддерживает взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), что значительно упрощает выполнение требований законодательства. Платформа содержит раздел «Инциденты», который позволяет агрегировать различные связанные между собой уведомления (алерты) в единую цепочку, а созданные инциденты могут автоматически наполняться создаваемыми алертами.
KUMA поддерживает мультиарендность (multitenancy) для поставщиков услуг по безопасности (MSSP) и крупных предприятий, предоставляет возможность использования системы в географически распределённых организациях с гибкой настройкой области видимости по данным и разграничением ролей операторов.
В KUMA также предусмотрены:
- мониторинг состояния источников событий, что необходимо для своевременного уведомления администраторов о возникших проблемах;
- реагирование задачами Kaspersky Security Center (KSC) или Kaspersky Endpoint Detection and Response (KEDR), изменение статуса устройства в KICS или запуск произвольного скрипта на основе срабатывания правил корреляции;
- возможность реагирования через Active Directory — изменять группу пользователя в домене, блокируя учётную запись в случае её компрометации;
- автоматическая категоризация устройства, обогащение событий на потоке при интеграции с CyberTrace;
- набор предустановленных правил корреляции, подготовленных экспертами «Лаборатории Касперского», с обогащением данными из матрицы MITRE ATT&CK;
- HTTP REST API для управления активами, списками, событиями;
- множество других возможностей.
Весь перечисленный набор функций работает в уже привычном для «Лаборатории Касперского» интуитивно понятном графическом интерфейсе.
Большой перечень функциональных возможностей реализуется «из коробки». Но роль настройки источников и интеграций, безусловно, не теряет значимости, и выполнить требуемые задачи для промышленного предприятия в полной мере и качественно может только та команда, которая понимает, как устроены конкретные ИТ-процессы и АСУ ТП на реальных предприятиях.
Дадим краткое описание процессов типовой экосистемы, которая может быть предложена заказчику.
На АРМах промышленной сети устанавливаются элементы защиты конечных точек, например KICS for Nodes. Инфраструктура управляется привычным KSC. При этом заметим, что уже есть очень совершенные сервисы управления, например, шлюзами IoT от «Лаборатории Касперского». Современный KSC имеет возможность дополнить данные KICS for Networks об активах (assets) в сетях. Для кого-то может быть особо интересным то, что в KSC предусмотрена отправка информации о состоянии безопасности на хосты в соответствии со стандартом IEC 104 / OPC 2.0, т. е. в MES или другую систему, куда отдают данные OPC-серверы. Сам же KICS for Networks принимает на себя или через удалённые сенсоры трафик сетей АСУ ТП для анализа на предмет обнаружения атак, новых подключений, подозрительных команд. И всё это, конечно, выполняется как для типовых протоколов, так и для АСУ ТП.
Не только эти данные, но и сведения из других источников поступают в KUMA для обработки и анализа. Дополнительно эта информация обогащается потоками данных из сервисов Kaspersky Threat Intelligence — и обогащённое событие может быть прямо из системы передано в IRP / SOAR.
Работа аналитика в центре мониторинга безопасности (SOC) будет существенно облегчена, так как интеграция с Kaspersky Threat Lookup (KTL) позволяет KUMA по запросу из карточки события получить киберразведывательные данные по хешу, IP-адресу или URL, а с Kaspersky CyberTrace — автоматически на потоке данных. Вот это уже действительно система помощи в принятии решения, где осуществляется не просто менеджмент логов, а современный анализ собранного контента, который позволяет значительно сократить длительность расследования инцидента.
Всё это даёт возможность в полной мере окупить средства предприятия, потраченные на создание инфраструктуры продуктов ИБ. Если смотреть немного вперёд, то это — реальный задел для построения уже не только центра киберзащиты, но и в целом системы безопасности предприятия по многим направлениям. Это интеграция с системами и физической охраны, и функциональной безопасности.
По мнению специалистов «Информзащиты», решения «Лаборатории Касперского» будут ещё более востребованными среди заказчиков из промышленного сегмента в России и в мире. Разделяя оценки экспертов рынка ИБ, мы считаем, что труд в службах информационной безопасности заказчика будет всё больше интегрироваться и автоматизироваться, а значит, и программные продукты должны быть более современными, понятными и управляемыми. Если всему этому будут способствовать нейронные сети и глубокое обучение, то, вероятнее всего, наша жизнь станет более защищённой.
Реклама. Рекламодатель АО НИП «ИНФОРМЗАЩИТА», ИНН 7702148410, ОГРН 1027739250318
LdtCKAJa7
