Аркадий Прокудин: Один из рисков с точки зрения безопасности — это человеческий фактор

В интервью Anti-Malware.ru эксперты Fortinet Алексей Андрияшин, технический директор в России и странах СНГ, и Аркадий Прокудин, директор по продажам в индустрии нефти и газа, рассуждают о вероятности для предприятия стать жертвой кибератаки, способах защиты информационных инфраструктур на примере продуктов их компании, применении стандартов в защите организаций от киберугроз, а также об открытом API Fortinet Security Fabric для интеграции ИБ-решений разных производителей.

Всё чаще нас пугают тем, что количество инцидентов на предприятиях промышленной сферы и технологической сети растёт. Но на практике — компании чаще оглядываются на требования регуляторов при обсуждении защиты своих информационных инфраструктур или что является определяющим?

А. П.: И среди российских компаний, и среди международных мы наблюдаем такую историю, как выполнение требований законодательства по защите промышленных сетей — с одной стороны. Но с другой стороны, с точки зрения работы с бизнесом, мы регулярно сталкиваемся с тем, что поддержание работоспособности бизнес-систем для компаний стоит на первом месте.

И зачастую мы сталкиваемся с такими ситуациями, когда бизнес непреднамеренно, но всё же вынужден несколько откладывать внедрение систем безопасности. Это происходит по причине того, что необходимо досконально проверить возможность работы оборудования в отказоустойчивом режиме, выполнение требований по виброзащите, по работе в сложных условиях. Это делается для того, чтобы вышеперечисленное ни в коем случае не стало причиной отказа основного оборудования и остановки производства.

Тут надо понимать, что для бизнеса по-прежнему важно его основное выполнение задач — производство, переработка, получение прибыли от этого процесса. И уже вторичным оказывается выполнение требований законодательства.

На ваш взгляд, насколько высока для промышленного предприятия вероятность стать жертвой кибератаки — если говорить точнее, жертвой целевой атаки?

А. П.: Я сталкиваюсь с тем, что заказчики в большей степени оперируют выполнением требований законодательства, нежели осуществлением жизненно необходимых шагов для того, чтобы продолжить работу в защищённом режиме.

А. А.: По своему опыту могу сказать, что действительно многие заказчики, особенно в индустриальном секторе и в промышленных компаниях, считают, что те критически важные объекты производства, критически важные области, которые занимаются, например, производством, добычей и обработкой чего-либо, или производством электроэнергии, не подвержены внешним угрозам, потому что все эти сегменты, как правило, очень сильно изолированы от внешних сетей.

Но всегда есть человеческий фактор, и даже в самом закрытом контуре, в самой закрытой инфраструктуре всегда может найтись сотрудник, который подключит внешний модем, какое-то средство связи, которое позволит из самого замкнутого контура выйти наружу. И тогда SCADA-сеть или SCADA-сегмент либо сегмент управления технологическим производством сразу становится подвержен внешним угрозам.

Но совершить атаку на серьёзное технологическое предприятие просто так, по щелчку пальцев, только в тот момент, когда пользователь вышел в интернет, конечно же, невозможно. И такая вероятность — практически нулевая. Мы же говорим о таргетированных атаках, целенаправленных угрозах; они обычно начинаются с анализа, с изучения, с привлечения методов социальной инженерии, для того чтобы в какой-то момент заставить пользователя совершить какие-либо действия или дождаться того, что он совершит.

Наверняка все слышали о последней атаке на SolarWinds. Эта угроза стала возможна только благодаря тому, что злоумышленники распространили бэкдор, получивший название SunBurst, скомпрометировав систему обновления программного обеспечения для мониторинга и управления ИТ SolarWinds Orion.

Если они придут извне, то серьёзная компания и нормальный периметр защиты, естественно, каким-то образом попытаются противодействовать внешнему вторжению, потому что мы говорим о серьёзных компаниях, индустриальных, а не об условных парикмахерских.

Атака возможна, если будет проведена подготовка, будут подделаны ключи и действия пользователей, систему удастся обмануть и сделать так, чтобы она доверяла действиям злоумышленников. Такое возможно только в том случае, если это — действительно проработанное и отлаженное месяцами или даже годами вторжение. Извне максимум может прилететь какой-нибудь шифровальщик; ну, зашифрует он SCADA-систему управления, АРМ кого-то из администраторов, ничего страшного не произойдёт, производство не встанет.

А. П.: Я бы ещё добавил слабый уровень автоматизации, он играет на руку подобному подходу. К сожалению, на многих этапах производства в нашей стране автоматизация всё ещё не является основным инструментом управления производством. Производством или добычей можно управлять в ручном режиме. Поэтому зачастую я слышу такой довод от заказчиков: если что-то пойдёт не так, мы просто всё выключим и продолжим качать, перерабатывать и так далее вручную.

А. А.: И это действительно будет работать. Если свалится система автоматизации — ничего страшного, основная задача будет выполняться.

А. П.: Да, всё будет качаться, копаться и перерабатываться. Это не интернет-магазин, не телеком-операторы, у которых системы автоматизации являются ключевыми.

По моему мнению, здесь не всё так однозначно. Вспомните, например, ситуацию с крупнейшей компанией, специализирующейся на морских грузовых перевозках и обслуживании портовых терминалов, когда всё остановилось и порты не работали. Казалось, что должно было в ручном режиме работать, но не работало. Там как раз высокий уровень автоматизации и поэтому всё «умерло». У нас же, если я правильно понял, выручает именно то, что уровень автоматизации не слишком высок.

А. П.: Да, так и есть.

Получается, что против неподготовленной атаки промышленные предприятия, скажем так, достаточно защищены, если нет ошибок, злоупотреблений среди «айтишников» и тому подобного. Но если развивается именно целенаправленная атака, то «ключик» всё равно подберут — или через цепочку поставок, или через социальную инженерию и так далее. Если анализировать векторы атаки для наиболее изощрённых случаев, что здесь наиболее опасно, через какие векторы, как правило, атакуют промышленные объекты?

А. А.: В случае рассмотрения атаки на промышленные объекты — это человеческий фактор: социальная инженерия либо переманивание на сторону злоумышленников инсайдера, который сможет обойти периметр физической безопасности и что-то принести, подключить в подходящий момент и дать возможность совершить эту атаку.

Это — наиболее вероятный и, скажем так, простой способ для того, чтобы совершить атаку на технологический объект. В данном случае должны работать сотрудники физической безопасности: контролировать поведение пользователей, возможность допуска к тем или иным сегментам технологической сети. На мой взгляд, самый большой риск — это всё-таки человеческий фактор. Технологическое проникновение только автоматизированными средствами, например, и попытки взломать какой-нибудь веб-сервер и подобрать пароль к сетевому оборудованию — не такой большой риск для технологического предприятия, нежели внутренние манипуляции.

А. П.: Согласен с Алексеем. Компания Fortinet уже больше 15 лет состоит в ассоциациях с командами производителей промышленных автоматизированных систем и является членом профессиональных сообществ по IT-безопасности. И хочется отметить, что о пользе подхода, где именно человеческий фактор является ключевым, говорит активное развитие компании Fortinet в направлении Zero Trust Network Access, когда мы не доверяем никому и постоянно проводим контроль и проверку на всех этапах — будь это первичный вход или выход в сеть, будь это работа и анализ поведенческой структуры и работы того или иного устройства, будь это решения по Network Access Control, которые могут автоматически разбрасывать промышленные устройства в нужные VLAN-сети, либо сети Wi-Fi, которые мы можем строить используя Wi-Fi шестого поколения и которые поддерживают практически все наши решения.

Да, Zero Trust Network Access — очень правильная и перспективная концепция. Мы как раз недавно очень подробно разговаривали об этом на AM Live, с вашим участием. С вашей точки зрения, работает ли этот подход и для промышленных сетей тоже?

А. А.: О концепции Zero Trust Network Access часто говорят как о новой, но на самом деле она актуальна с конца 90-х годов.

В любой компании, будь она технологической или производственной, те или иные средства, которые сейчас используются в ZTNA, применялись и ранее; но речь идёт именно о комплексном решении, комплексном подходе к тому, чтобы иметь возможность контролировать не только действия пользователя, авторизацию и аутентификацию пользователей (что делалось давно, всегда и продолжает использоваться), но и устройства.

С развитием мира интернета вещей, с развитием автоматизации и повышением уровня оптимизации элементов технологических сетей для промышленного сектора очень важно контролировать, профилировать и обеспечивать доверенную работу именно авторизованных устройств в сети Wi-Fi. Потому что, как Аркадий уже говорил, есть средства беспроводной связи, технологические средства в промышленном исполнении, которые используются в компаниях — как проводные, так и беспроводные.

Это говорит о том, что рынок созрел для использования решений, которые готовы подключаться в сеть, неважно каким способом — проводным или беспроводным. Эти решения готовы передавать данные; соответственно, они могут быть скомпрометированы или подменены. Поэтому для исключения такого риска используется средство профилирования устройств либо Network Access Control в расширенном виде, который позволяет детально контролировать буквально каждое устройство, которое подключено в сеть, способно передавать данные, быть авторизованным в сети. Тем самым нейтрализуется риск подключения некоего «спутника» или подменного устройства злоумышленника — например, фейковой точки доступа либо фейкового контроллера, который будет перехватывать данные и отправлять куда-либо.

То есть контроль устройств и пользователей — это очень важный момент. И по сравнению с текущим развитием технологий появилась возможность детально контролировать именно устройства, а не только действия пользователя.

Получается, из-за того что корпоративные технологии, в том числе сетевые, стали использоваться в промышленности — все те же самые коммутаторы, маршрутизаторы и всевозможное оборудование Wi-Fi, пусть и немного в другом исполнении, — мы точно так же можем применять там и Zero Trust, и все остальные технологии защиты, которые используются для обычных корпоративных сетей?

А. А.: Всё верно, и для того чтобы упорядочить и сегментировать, создать некоторые правила работы подобных устройств в технологических сетях, разработаны целые модели: стандарт ISA 99 / IEC 62443, описывающий сегментацию устройств в промышленной сети, модель Пердью для организации сети в гостехнологическом производстве.

Это, по сути, — промышленный стандарт, которого придерживаются многие компании, развивающие уровень автоматизации и использование этих устройств внутри своих сетей, потому что всегда «крутить колесо» вручную, конечно же, не получится: эффективность такой компании будет снижаться и она станет неконкурентоспособной. Поэтому так или иначе будут внедряться современные технологии, сетевые устройства, которые позволят автоматизировать, упорядочить и оптимизировать работу производства, какого бы уровня критической значимости оно ни было.

Соответственно, необходимо применять определённые правила для организации, упорядочивания сегментации сети в промышленных масштабах, и для этого есть соответствующие фреймворки, правила, рекомендации, описывающие, как это делать. В некоторых случаях это — индустриальный стандарт, в некоторых — рекомендации.

Для отечественных компаний западные стандарты не являются обязательными к исполнению, но тем не менее многие к ним прислушиваются, так или иначе их применяют. И если посмотреть названия промышленных ГОСТов, то они используют ту же самую нумерацию, что и иностранные IEC-стандарты.

Наши предприятия тоже ориентируются на все эти стандарты и стараются внедрять их у себя?

А. А.: Конечно; к ним прислушиваются, их оценивают, может быть, переосмысливают и отражают на бумаге по-другому, в виде законодательных актов или неких рекомендаций, но так или иначе промышленный международный опыт используется.

Алексей, вы интересно рассказали про Zero Trust Network Access. Помню, на нашем эфире именно в этом контексте говорилось про то, что было бы неплохо проводить идентификацию и аутентификацию устройств и пользователей в сети в рамках этой концепции, в том числе по поведению. Насколько это реально делать в промышленном сегменте и при помощи чего?

А. А.: Именно в промышленном сегменте применение поведенческих моделей, анализа поведения сетевых устройств, поведения исполнительных устройств наиболее оправданно, потому что промышленные элементы всегда выполняют в конвейере одну и ту же задачу.

И в случае отклонения от нормального поведения очень легко отследить возникновение некой дополнительной сетевой активности либо подключение сторонних сегментов, откуда доступ не должен быть инициирован. Другими словами, отклонение от нормального поведения в промышленном секторе отследить легко и это нужно делать, это является если не гарантией, то хорошим критерием, на который необходимо обратить внимание, моментально предприняв действия для исключения ненормальной работы объекта в промышленных сетях.

Какие средства применяются для этих целей? Модели, которые используют технологии UEBA, или решения, которые анализируют поведение того или иного объекта или субъекта. Если говорить о разработках Fortinet, то FortiInsight, например, — очень неплохое решение, оно позволяет анализировать поведение конкретного рабочего места пользователя либо автоматизированной системы и в случае отклонения от стандартов сигнализировать об этом или предотвращать аномальное поведение.

Мы, конечно же, не говорим о промышленном контроллере, который не использует IP, работает по промышленному стандарту, у которого всего три команды и он больше ничего не понимает; но на вход ему подают задания управляющей системы, которую как раз можно контролировать, которой управляют люди или некие автоматизированные процессы; вот их как раз можно и нужно контролировать. И аномальное поведение в данном случае отследить легко, возможно и нужно.

А. П.: Но здесь я бы сделал переход от аномального поведения к обнаружению и реагированию.

Допустим, мы обнаружили некое аномальное поведение; что можно сделать с этим в промышленном сегменте? С учётом того, что превентивные действия там явно не очень любят и не очень доверяют им.

А. А.: Конечно, потому что любое ложноположительное срабатывание может сыграть злую шутку со всей системой, со всем объектом. Поэтому на подобное должен реагировать аналитик, и в любой промышленной компании есть, например, пультовые системы или SOC, либо системы управления технологическим производством, в которых работают посменно живые люди, использующие инструменты или свои собственные глаза, чувства и навыки для анализа и оценки поведения системы. Естественно, по каким-то факторам, датчикам и так далее.

А. П.: Очень важно понять, что принять решение по остановке какого-то процесса или по утверждению какой-то процедуры должен конкретный человек, чтобы на него можно было возложить ответственность за результат этих действий.

Решение — это тот вопрос, над которым сейчас бьются юристы в части разрешения, например, самодвижущихся автомобилей. Автопилот принимает решение, и оно оказывается неправильным. Кто за это будет отвечать? Водитель, который в это время спал? Или автопроизводитель? Или компания по разработке системы автоматического принятия решений? С системами промышленной безопасности, на мой взгляд, — такая же ситуация. В критический момент важно принять решение, но ещё важнее понять, кто его принял, кто за него будет отвечать. Поэтому принятие решения остаётся на стороне оператора либо некоего руководителя. Автоматическое реагирование может быть только ограничивающим действия атакующей стороны, но не полностью блокирующим.

Я бы хотел добавить по поводу обнаружения. Так как компания Fortinet уже много лет взаимодействует с большим перечнем производителей промышленных систем, у нас существует возможность эмуляции промышленной среды с помощью наших решений — так называемый ханипот в промышленной среде, который позволяет увидеть атаку до того, как она перейдёт на реальные промышленные объекты сети.

А. А.: Аркадий затронул очень важную тему. Действительно, можно рядом с промышленной сетью создать фейковую среду, которая будет представлять интерес для злоумышленника со стороны. Почему? Потому что там будут открыты определённые порты. Все производимые действия и операции будут напоминать работу нормального отлаженного технологического процесса: в нём будут видны технологические протоколы, передача каких-либо команд, активность пользователей, активность внутренняя и внешняя; это всё можно эмулировать, привлечь злоумышленника к проявлению последовательности своих действий, заставить его показать намерения, возможности и алгоритмы, применяемые для совершения той или иной атаки.

Такую обманку можно было бы назвать «ханипот на стероидах». Если ханипот — это некая открытая система, набор открытых портов, которые злоумышленник перебирает, то технология обмана (deception) — это уже не просто какие-то открытые порты, это эмуляция технологического процесса.

Например, когда работает песочница, она не просто эмулирует работу операционной системы, а представляет её злоумышленникам таким образом, будто за ней работает пользователь: двигает мышкой, набивает текст, открывает-закрывает файлы. Система ложных целей аналогичным образом эмулирует работу целой инфраструктуры.

Конечно же, злоумышленник в какой-то момент догадается, что он попал в искусственную среду. Но он потратит время, силы, ресурсы, а самое главное — проявит себя, и станет понятно, что совершается, изучается и выполняется один из этапов цепочки угроз (kill chain), например построение плацдарма или изучение работы сети. Фактически мы как раз разорвём эту самую цепочку угроз путём ведения злоумышленника по ложному следу.

Допустим, мы обнаружили, что в сети появился какой-то аномальный хост, который лезет куда не нужно, и вообще его не должно быть. Почему нельзя автоматически прореагировать? Почему надо ждать решения некоего оператора, а не автоматически загнать его в какой-нибудь изолированный сервер?

А. А.: Если мы видим какое-то внешнее воздействие или проникновение, то, конечно же, можно его заблокировать и предотвратить. Причём не просто блокировать после обнаружения, а построить и отладить систему таким образом, чтобы подобные внешние подключения были исключены.

Если представить, например, сложный отлаженный технологический процесс — произведение атомной энергии или спуск космического аппарата с орбиты на Землю, — то понятно, что в подобных процессах непосредственное участие человека ограничено.

На сложных технологических предприятиях определённые процессы не подразумевают участия человека онлайн, потому что происходят за миллисекунды, и только автоматизированная среда может контролировать выполнение тех или иных алгоритмов сети. Поэтому мы можем ограничить или предотвратить доступ внешних сил к управлению данным процессом, но если мы всё же заметили и это произошло, тогда, конечно же, нужно реагировать.

Каким образом — автоматически или вручную? Этот вопрос — уже к самой компании, но вмешиваться в технологический процесс автоматизированным образом, наверно, не все рискнут, тем более если процесс отлажен и все команды и элементы предусмотрены. Наверняка все технологические процессы в компаниях так и работают. Все команды и даже системы отлаживаются; те, кто изучал системы управления технологическими производствами, знают, что там — достаточно серьёзный, сильный математический аппарат, который подразумевает в том числе и отклонения, и внешние возмущения, и непредвиденные ситуации, которые можно так или иначе демпфировать, сгладить, приведя тем самым систему к нормальному состоянию.

А. П.: Здесь, наверно, стоит учитывать, что на Земле в технологической сети существует возможность управления в ручном режиме. И, наверно, только благодаря тому, что она есть, на автоматизацию смотрят иначе. Возьмём, например, процессы, с которыми мы сталкиваемся, когда отправляем космический аппарат на Марс: он должен выйти на орбиту, спуститься на планету, дальше должен взлететь вертолёт, который будет делать съёмки… Сколько идёт сигнал до Марса? Четыре минуты на каждую команду?

Такая среда не даёт никакой возможности управлять процессом в ручном режиме. Здесь должны быть полная автоматизация, просчёт всех операций. Но на Земле пока подобной потребности не возникает. Наверно, только тогда, когда работа ведётся в крайне неблагоприятных условиях, например на Крайнем Севере — люди там работают в очень неудобной и сложной для человека среде, такие работы гораздо проще проводить роботу. Впрочем, сигнал до Северного полюса долетает не за четыре минуты, а гораздо быстрее, поэтому в случае необходимости мы снова можем перевести систему на ручное управление и работать уже в таком режиме.

А. А.: И вот с чем мы регулярно сталкиваемся, когда начинаем разговаривать с сотрудниками, которые отвечают за автоматизацию, за надёжность и непрерывность технологических процессов: никто никогда никого не пускает внутрь этого технологического процесса.

Но защищать систему управления — можно, люди идут навстречу по этому пути, и здесь безопасникам возможно работать, предлагать решения для защиты компании от внешних воздействий, от инсайдерских атак и так далее.

Допустим, мы хотим «приземлить» Zero Trust Network Access на свою промышленную сеть. Какие решения от Fortinet нам надо будет развернуть, чтобы эта концепция заработала в полную силу?

А. А.: Одно из решений, о котором говорилось ранее, — это NAC-система. В нашем случае это — FortiNAC; данная система позволяет контролировать до порта, до субъекта, до объекта любого пользователя, который подключается к сети, и любое устройство, а также авторизовывать его, однозначным образом определять и разрешать ему выполнять те или иные операции.

При внесении стороннего устройства в замкнутый или изолированный сегмент это сразу же будет фиксироваться, обнаруживаться, блокироваться и станет невозможным при наличии соответствующей системы, которая называется FortiNAC.

Шлюз тоже, наверно, нужен?

А. А.: Если брать модель, которая описана в стандарте IEC 62443 (она подразумевает сегментацию технологического производства), то там, где есть сетевой трафик между сегментами, должна быть система контроля — межсетевые экраны. Там, где используются технологические процессы — например, управление технологическим производством, — присутствует технологический трафик с возможностью передачи по IP, Profibus, Modbus, множество протоколов с префиксом IEC и так далее. Для того чтобы разбирать эти протоколы, необходима соответствующая адаптация.

В межсетевом экране FortiGate есть целый набор индустриальных сигнатур, которые применяются для контроля протоколов управления технологическим производством. Соответственно, всё это делается в межсетевом экране. Далее мы можем рассматривать систему подключения и расширения сетевой ёмкости в каждом из сегментов технологического производства с помощью специализированных коммутаторов, которые предназначены для работы в технологическом сегменте. Название этих коммутаторов — FortiSwitch.

Если компания ещё более прогрессивна и может позволить себе беспроводную сеть — не везде, а в тех или иных сегментах, потому что в некоторых случаях это в принципе запрещено, — то также можно использовать промышленные точки доступа, которые предназначены для работы в тяжёлых условиях; они опять же коммутируются на соответствующем оборудовании FortiSwitch и управляются централизованно системой FortiManager.

Таким образом мы выстраиваем всю фабрику безопасности Fortinet, которую в дальнейшем уже можно подключать к системам обмена электронными сообщениями. Какой бы закрытой компания ни была, так или иначе она использует систему электронной почты, а мы знаем, что больше 90 % «зловредов» поступает именно через электронную почту. Этот канал поступления внешних атак и угроз тоже необходимо контролировать обязательным образом, и к FortiMail мы уже можем подключить Sandbox — песочницу, в которой будут эмулироваться все вложения, поступающие через электронную почту, проверяться все ссылки, по которым переходят пользователи.

Если в каких-то сегментах технологического производства используется возможность доступа в интернет (а она наверняка используется), то стоит установить FortiIsolator — систему, которая позволит пользователям работать в защищённой среде. Все запросы пользователя, которые он отправляет в интернет, в автоматизированном режиме будут направляться в изолированную оболочку, где не страшны ни фишинг, ни троян, ни скачивание какой-то зловредной программы по сценарию «drive-by download», ни открытие мошеннических ссылок — всё это не приведёт компанию ни к какому ущербу.

Это — на конечной точке, машине оператора?

А. А.: Да. При установке FortiIsolator и соответствующих настроек в браузере, если у оператора есть возможность выйти в интернет, то все его запросы будут перенаправляться в защищённую среду, а не осуществляться непосредственно из браузера, который установлен на его рабочей машине. По сути, получается своего рода проксирование; однако это — не прокси в чистом виде, а специализированное решение, которое обеспечивает защищённый доступ в интернет минимальными средствами, но снижает риск кардинальным образом.

Хочу уточнить про защиту конечных точек. Вы практически ничего не сказали про АРМ операторов, диспетчеров и так далее. Мы по вашей концепции должны как-то их защищать или нет? Или лучше туда не лезть?

А. А.: Об этом упоминали. Аркадий как раз говорил о системах EDR, а я подтверждал и соглашался, что такие системы надо использовать. В нашем случае есть два направления развития решений для защиты рабочих станций: это Endpoint Protection в классическом виде, которое представлено в продукте FortiClient, и клиент EDR. Если FortiClient защищает от «зловредов» традиционным способом, по сигнатурному принципу (то есть применяет системы антивирусной защиты, контроля периферийных устройств, установленного ПО и портов), то с помощью EDR мы уже выполняем анализ поведения пользователей и процессов на рабочем месте с применением нейросетей, технологий машинного интеллекта, внешней аналитики.

Насколько оптимизированы FortiClient и FortiEDR для промышленных рабочих станций? Есть разные мнения на этот счёт. Одни вендоры говорят, что не хотят заниматься конечными точками, потому что, как правило, у реальных заказчиков ничего нельзя ставить, а если что-то и можно, то никто не будет отвечать за корректность и устойчивость работы. Другие говорят, что много инвестировали в управление, гарантируют, что всё прекрасно, призывают ставить их защиту для конечных точек и утверждают, что это — самое главное. Какая позиция у вашей компании? Насколько можно доверять такую чувствительную область, как промышленные рабочие станции, этим двум продуктам?

А. А.: Зависит, конечно, от конкретной реализации. Наверняка многие вендоры, которым вы задаёте подобные вопросы, говорят, что однозначного ответа нет: можно ставить, можно не ставить. Насчёт гарантий я бы вопрос опустил, потому что гарантии дают страховые компании, и если есть вероятность возникновения какого-либо риска, то его надо оценить — либо принять, либо полностью исключить, либо просто-напросто застраховать.

Но если мы в каком-то случае сталкиваемся с ситуацией, когда компания оценивает вероятность возникновения риска как высокую, то она очевидным образом будет пытаться от него защититься, и тогда система защиты рабочей станции если не обязательна, то крайне желательна.

Если говорить о EDR, то это — легковесное решение, не требующее серьёзных производственных мощностей от рабочей станции, на которой оно установлено, и практически не влияющее на производительность рабочей станции. Поддерживаются операционные системы Windows, macOS и Linux.

По сути, он собирает телеметрию?

А. А.: Да. Здесь как раз возникают страшные слова «телеметрия» и «передача» какой-либо информации наружу, в облако. Конечно же, это исключено в промышленном производстве, поэтому мы можем предложить вариант установки собственного, офлайн, частного облака, в котором будет работать вся мощность EDR. Конечно же, её средства будут ограничены по сравнению с облачным режимом, где используется весь ресурс FortiGuard Labs, но тем не менее локальный режим, офлайн-режим работы EDR тоже возможен.

А. П.: Алексей, это, наверно, — особенность именно нашего рынка, у нас облачные решения так используются. В целом подход подразумевает, что с облаком использование систем анализа и безопасности промышленных сетей всё равно становится гораздо шире.

А. А.: Очевидно, да. С точки зрения реагирования на угрозы, инциденты, которые мы зафиксировали. А с точки зрения доступа из облака в систему управления технологическим производством — я думаю, это исключено в любой компании.

А. П.: Конечно.

А что не будет работать без облака? Что «отвалится» в таком параноидальном режиме, когда мы используем автономные системы и некоторое локальное решение с базой знаний от Fortinet?

А. А.: «Отвалится» возможность сравнения семплов. Мы же отправляем не сами данные, а модели в зашифрованном виде, которые анализируются. Как раз «отвалится» возможность оперативно сравнить данную модель или семпл с примерами, которые в данный момент времени собрались, поступили откуда-нибудь, с соседнего материка, из соседней страны. Потеряется часть скорости реакции.

После очередного апдейта, приведения системы управления в нормальное состояние такая возможность опять появится, но мы будем запаздывать на время от апдейта до апдейта — в зависимости от регламента по обновлению антивирусной системы управления производством или системы безопасности, который принят в компании.

Хочу сказать ещё об одном решении, которое способно работать офлайн и использоваться для практически мгновенного анализа поступающих файлов на предмет их «зловредности». Решение называется FortiAI и представляет собой производительный сервер, производительную систему, которая развёртывается в пределах организации и, по сути, представляет собой «FortiGuard Labs в кармане», то есть компания получает большую мощность системы FortiGuard Labs внутри замкнутого пространства и проверка файлов на предмет «зловредности» происходит практически моментально. Это — такой же статический анализ, который имеется в песочницах и в FortiGuard Labs, но он будет применяться уже непосредственно на физическом сервере внутри компании.

Он, конечно, тоже должен регулярно обновляться, но тем не менее механизм нейронных сетей, который используется в FortiAI, позволяет очень быстро, за доли секунды, проверять на «зловредность» или классифицировать тот или иной файл, поступивший либо с периферийного устройства, либо по почте, либо любым другим доступным способом. Тогда можно даже в офлайн-режиме с большой долей вероятности отслеживать поведенческие свойства файлов. По крайней мере, можно выдать вердикт о том, что этот файл если уж не «зловредный», то подозрительный.

Если я правильно понимаю, здесь очень важна тема именно надёжной аутентификации и идентификации пользователей и устройств. С чем в данном случае может интегрироваться экосистема Fortinet Security Fabric и какие лучшие практики для технологических сетей можно озвучить?

А. А.: Раз мы рассматриваем технологию Zero Trust Network Access, естественно, она подразумевает выполнение аутентификации, авторизации пользователей и систем в доверенном режиме. Выполнять эти операции доверенным образом может позволить только соответствующий центр, который подтверждает и выдаёт ключи, токены или вердикты о том, что данная система, данная операция является доверенной.

Это делается с помощью серверной аутентификации, авторизации, которые в нашем случае могут быть внешними, построенными, например, на базе от Microsoft либо на каких-то других системах, но мы рекомендуем использовать наш собственный центр авторизации, аутентификации и контроля, который называется FortiAuthenticator; наверняка многие о нём слышали.

Данная система не является обязательной с технологической точки зрения, без неё, в принципе, тоже можно работать, так как можно интегрироваться со сторонними системами, но при наличии FortiAuthenticator мы можем замкнуть на ней все операции по авторизации пользователей и процессов, в том числе на портах сетевого оборудования, применительно к беспроводным пользователям и многие другие. При наличии FortiAuthenticator данные операции начинают проводиться быстрее и прозрачнее с точки зрения управления, но, повторюсь, это — необязательный элемент, без него тоже можно работать, если в компании используется SLP-сервер.

А какие факторы аутентификации поддерживаются FortiAuthenticator?

А. А.: Разумеется, поддерживаются все известные каталоги: Active Directory, LDAP, RADIUS. С точки зрения токенов мы можем реализовывать проверку второго фактора или двухфакторную аутентификацию как с помощью FortiToken, которые могут быть установлены на мобильные устройства, так с помощью аппаратных токенов, которые выдаются пользователям, или с помощью SMS-авторизации, но это — больше корпоративный сценарий работы.

Для проверки технологической сети всё-таки важно понимать, что к конкретным портам подключены определённые устройства, которым мы доверяем. Здесь мы возвращаемся назад и можем вспомнить про FortiNAC. А вот уже выполнение операций на этих устройствах, которые мы заранее профилировали и для которых однозначно определили порядок их работы в сети, как раз будет подтверждаться с помощью FortiAuthenticator путём проверки идентичности пользователей: сначала выполняем аутентификацию, потом — авторизацию на выполнение каких-либо действий в системе.

Насколько я помню, Fortinet Security Fabric поддерживает интеграцию со множеством сторонних решений, которые могут быть также интегрированы в экосистему Fortinet. Что может оказаться полезным с точки зрения защиты технологических сетей — может быть, из партнёрских решений, — что очень хорошо интегрируется с тем, что есть у вас?

А. А.: У нас есть открытая экосистема Fabric API, которая позволяет интегрировать сторонние решения в систему управления нашими продуктами. Это — открытая библиотека, которая позволяет нам сотрудничать с нашими партнёрами, работающими в промышленной среде. Помимо этого у нас ещё есть ряд разработанных коннекторов, которые позволяют интегрироваться «из коробки» со многими производителями.

В то же время в технологической системе можно отметить обязательное требование, которое выдвигают практически все производители — точнее, ответственные лица, которые управляют технологическим производством с точки зрения IT. Это — централизованное управление, причём путём доступа ко внутренней системе, которая используется в компании для управления всем остальным оборудованием технологической сети.

И вот как раз наличие API, открытого интерфейса позволяет интегрироваться в систему управления, которая уже принята в компании. И мы с этим уже сталкивались, общаясь с IT-производителями, с IT-компаниями, которые пускают в свою сеть только те решения, которые способны быть интегрированными в эту единую систему управления. Такая оркестрация, технология SDN, которая распространяется в том числе и в технологических компаниях, активно применяется в крупных организациях.

Спасибо большое за интервью! Желаю успехов!