Как эффективно объединить команды ИТ (информационных технологий) и OT (операционных технологий), заставив их работать как единое целое для защиты промышленных сетей? Что могут сделать предприятия для слияния «айтишников» с ОТ-специалистами и обеспечения безопасности технологических сетей АСУ ТП?
- Введение
- Предыстория
- О важности взаимодействия и правильно выстроенного баланса работы
- Примеры распространённых ошибок
- Как выглядит алгоритм объединения сетей?
- Выводы
Введение
Прогресс трансформирует специфику деятельности и побуждает к инновациям в промышленности. С каждым днём производственная деятельность приобретает всё более цифровой характер, сети подвергаются реальному киберриску. В мире, где даже промышленный сегмент может попасть под контроль злоумышленников, кибербезопасность расширилась от защиты электронной почты пользователей до охраны производственных систем, заводов, электростанций и многих других предприятий. Для достижения высокой степени безопасности руководителям ИБ таких структур необходим грамотный подход ко внедрению решений и реагированию на инциденты. Но для эффективной защиты ото внешних угроз необходимо решить внутренние противоречия. При возникновении вопросов связанных с автоматизацией промышленных предприятий и обеспечением кибербезопасности сталкиваются интересы двух команд, ответственных за непрерывность работы. Первая команда — ИТ (информационные технологии); в неё входят специалисты, которые поддерживают работу сетей предприятия, сетей центра обработки данных, организуют каналы связи между филиалами организации, предоставляют доступ в интернет, обеспечивают безопасность структуры. Вторая команда — OT (операционные технологии), которая отвечает за АСУП (автоматизированную систему управления предприятием) или АСУ ТП (автоматизированную систему управления технологическим процессом). Соответственно, специалисты OT обеспечивают автоматизацию основных технологических операций на производстве. В силу того что развитие коммуникационных технологий и управление технологическим процессом не всегда пересекались в прошлом веке, ИТ и ОТ так и не нашли общего языка.
Предыстория
До недавнего времени эти команды были разделены из соображений информационной безопасности: то, что касалось автоматизации промышленного производства, не имело доступа к интернету и офисным сетям. ИТ и ОТ всегда немного «враждовали» между собой: «айтишники» пытались расширить функциональные возможности команд АСУ ТП, предоставить доступ к корпоративным и глобальным сетям, а «производственники» этому сопротивлялись, ведь если произойдёт взлом или авария в офисной сети, возникнут серьёзные проблемы. Но при кибератаке на промышленную сеть проблем будет существенно больше. В прессе часто фигурируют сообщения о взломанных трубопроводах или центрифугах обогащающих уран — это примеры того, что случается, когда злоумышленники проникают в производственные сети. Поэтому команда АСУ ТП воздерживалась от возможности подключения к интернету, предпочитая изолироваться от глобальной сети. Причиной послужил стереотип: если нет никакого контакта между сетями, значит, системы будут в безопасности. Это позволило возникнуть недопониманию между командами ИТ и OT.
О важности взаимодействия и правильно выстроенного баланса работы
Современные реалии диктуют правила и требуют от обеих команд соблюдения кибергигиены и кибербезопасности. Бизнес же не предоставляет возможности держать систему управления технологическим процессом изолированной от интернета. На это есть причина: бизнесу необходим регулярный мониторинг промышленных сетей для предиктивного ремонта, обслуживания и оптимизации загрузки оборудования. Механизм подобного мониторинга тщательно отработан, но только в ИТ-среде; сфера ОТ не располагает технологиями связанными с искусственным интеллектом, машинным и глубоким обучением. Традиционно сети АСУ ТП «заточены» именно под производство — рабочие процессы позволяют видеть и фиксировать контроллеры, управляющие станками с автоматизированными линиями. Часть технологий, которая позволяет бизнесу безопасно и эффективно управлять производством, находится под контролем ИТ. В таких условиях взаимодействие и грамотно выстроенный баланс работы со внешними сетями доступа — это оптимальное решение для продуктивной работы ИТ и OТ.
Примеры распространённых ошибок
Тотальная изоляция ото внешней сети относится к устаревшим методам защиты. Вакуум перестал быть эффективным, зато появились примеры того, какие проблемы могут возникнуть с безопасностью даже в полностью «отрезанной» от интернета среде.
Пример № 1
Станок — дорогостоящее оборудование, через определённое время работы он перестаёт работать и выдаёт ошибку. Для перезапуска заказчик обращается к производителю, который в 90 % случаев находится в другом регионе. Первое, что рекомендуют сделать в такой ситуации, — произвести диагностику станка в режиме удалённого доступа.
Как это выглядит на самом деле? Представитель АСУ ТП берет модуль GSM и предоставляет специалисту производителя удалённый доступ к станку. Это катастрофа с точки зрения безопасности.
Пример № 2
При возникновении проблемы с контроллерами заказчик сообщает производителю об ошибке. Производитель объясняет проблему необходимостью обновления прошивки и высылает её заказчику.
Что делает заказчик? Он записывает прошивку на флеш-карту (которая, вероятно, заражена вредоносными программами) и передаёт её в производственный сегмент, изолированный от виртуальных сетей. Там карту памяти с прошивкой вставляют в стационарный компьютер, система которого может быть слабо защищена.
Итог — ситуация, в которой команда ОТ не может защитить производственный сегмент стандартными методами, а простая изоляция ото внешнего мира и сети уже не является гарантией защиты от вторжений.
Для того чтобы подобных ситуаций не возникало, а производство оставалось максимально эффективным, командам ИТ и ОТ необходимо объединить сети и начать разговаривать на одном языке.
Как выглядит алгоритм объединения сетей?
Перед началом работ необходимо провести два аудита. Первый — анализ классической ИТ-инфраструктуры, который даёт информацию о том, как выглядят центр обработки данных компании и офисная сеть, как организована связь с филиалами. Второй аудит касается промышленной части учреждения и позволяет понять, какое оборудование установлено, какие вычислительные возможности требуются и какие компьютеры эти вычислительные возможности закрывают, какие промышленные протоколы используются в этой среде передачи данных.
NB!
Аудит не может производиться без специалистов заказчика, потому что только они знают, как выглядит сеть предприятия и какие протоколы уровня межсетевого взаимодействия в ней функционируют. Крайне важно иметь представление о наличии унаследованных (legacy) интерфейсов, таких как RS-232, RS-485 и т. д.
По результатам этих двух проверок создаются две схемы, на основании которых формулируется дальнейший план действий. Следующий шаг — согласование плана действий с заказчиком.
В большинстве случаев достаточно установить надёжный файрвол современного вендора, который сумеет адекватным образом защитить сети. Хорошими примерами таких вендоров можно назвать «Лабораторию Касперского», «Код Безопасности», Cisco или Positive Technologies. Именно файрвол будет блокировать вредоносный трафик, не разрешать атакам проходить как в одну сеть, так и в другую, контролировать развитие аномальных явлений и сигнализировать специалистам по безопасности о том, что происходит нечто нестандартное. Система защиты, которая объединит две сети, должна быть должным образом настроена. В простых случаях этого может быть достаточно, чтобы обеспечить необходимый уровень безопасности.
Но если сеть более сложна или развёрнута географически широко, велика вероятность того, что потребуются более серьёзные мероприятия, чем простая установка файрволов.
Первый шаг — сегментация
Для таких случаев необходима сегментация промышленной сети: нужно разделить участки сети на логические объекты. Сегментацию можно сделать на уровне коммутации трафика или на уровне маршрутизации.
Второй шаг — выбор оборудования
Необходимо провести ревизию оборудования и установить новое, промышленного типа, которое будет адекватно поддерживать стандарты трафика и контролировать их. На данном этапе важно не совершить серьёзную ошибку — избежать использования оборудования офисного типа в промышленности. Промышленное устройство всегда даёт нагрузку с учётом таких факторов, как, например, температура в цехах, запылённость на производстве и влажность. Также промышленное оборудование имеет большую надежность исполнения, расширенный температурный режим, возможность крепления на DIN-рейку промышленного стандарта. Офисное оборудование на это не рассчитано и, как правило, имеет внутри вентиляторы, что совершенно недопустимо на производстве. Решающий фактор — оборудование должно поддерживать промышленные протоколы.
Третий шаг — модернизация сетевой части АСУ ТП
Несколько лет назад вынужденной мерой было размещение в ключевых точках промышленной сети сенсоров для мониторинга и фильтрации трафика. Сейчас появились отличные решения, которые делают промышленную сеть сенсором безопасности. Сегодня у нас есть возможность устанавливать оборудование, которое самостоятельно проводит анализ на уровне трафика, чипсета, интерфейсов. Это именно то, что безопасники называют термином Deep Packet Inspection (сокр. DPI) — технология проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика, а также накопления статистических данных. Благодаря этой технологии обычная промышленная точка доступа Wi-Fi становится сенсором безопасности — это одна из её функциональных особенностей. Аналогичная ситуация складывается с коммутаторами, маршрутизаторами и даже серверами, которые могут быть установлены в промышленном сегменте. Промышленные серверы анализируют проходящий трафик.
В качестве завершающего шага необходимо настроить систему дашбордов, которые позволят оператору наблюдать за производством и реагировать соответствующим образом. Современные системы управления позволяют любому из специалистов команды ОТ не вникать в нюансы атак: достаточно просто понимать, что зафиксирована аномалия, и выбрать одно из действий — эскалировать проблему или блокировать.
В результате получаем комплексное решение, которое одновременно выполняет свои функциональные обязанности по продвижению трафика и защищает промышленный сегмент сети от возможных вторжений, в том числе от уязвимостей нулевого дня (0-day, zero-day). По аномальному поведению того или иного устройства система может сигнализировать об аномалии и превентивными мерами сохранить промышленную сеть в безопасности или блокировать трафик.
Выводы
В ситуации связанной с объединением двух команд данный алгоритм является оптимальным решением. Но прежде чем приступать к его выполнению, необходимо решить ещё одну задачу — психологическую: подружить ИТ с ОТ, объяснить командам нюансы работы друг друга и прекратить таким образом спор о лучших мерах соблюдения безопасности. Это нулевой шаг, исходная точка начала технических работ — научить говорить на одном языке «айтишников» и «асутэпэшников». Секрет успеха прост: обратиться за помощью к проверенному партнёру, который умеет за счёт обширного опыта объединения двух команд в единое целое эффективно решать проблемы, поставленные бизнесом.
