Обеспечение безопасности АСУ ТП с помощью Kaspersky Industrial CyberSecurity

Обеспечение безопасности АСУ ТП с помощью Kaspersky Industrial CyberSecurity

Система кибербезопасности Kaspersky Industrial CyberSecurity (KICS) полностью адаптирована к специфике автоматизированных систем управления технологическими процессами (АСУ ТП). KICS for Networks позволяет находить аномалии в работе технологической сети, а KICS for Nodes с минимальным потреблением ресурсов обеспечивает антивирусную защиту промышленных компьютеров: рабочих мест операторов, инженерных станций, серверов. Сопутствующие услуги минимизируют основные киберриски и обеспечивают непрерывность работы промышленных объектов.

 

 

  1. Введение
  2. Состав комплексного решения Kaspersky Industrial CyberSecurity
  3. Продукты Kaspersky Industrial CyberSecurity
    1. 3.1. Kaspersky Industrial CyberSecurity for Nodes
    2. 3.2. Kaspersky Industrial CyberSecurity for Networks
    3. 3.3. Kaspersky Security Center
  4. Сервисы Kaspersky Industrial CyberSecurity
    1. 4.1. Kaspersky Security Awareness
    2. 4.2. Kaspersky Security Trainings
    3. 4.3. Kaspersky Security Assessment
    4. 4.4. Kaspersky Incident Response
    5. 4.5. Kaspersky Threat Intelligence
  5. Выводы

 

Введение

В связи с ростом числа сложных и комплексных атак на промышленные системы остро ощущается потребность в надлежащей защите последних. Обеспечение безопасности АСУ ТП является специфическим процессом, имеющим ряд отличий от традиционной борьбы с киберугрозами. В частности, стратегия защиты в основном нацелена на сохранение непрерывности технологического процесса, в отличие от корпоративных систем, в которых важнее сохранить конфиденциальность и доступность данных. Кроме того, последствия нарушения безопасности промышленных систем выходят за пределы финансового ущерба и потери репутации: они могут создать угрозу жизни и здоровью людей. Поэтому защита от действий злоумышленников в этой области критически важна.

Технологии обеспечения безопасности АСУ ТП в настоящее время, как правило, связаны с физической изоляцией инфраструктуры (так называемые «воздушные зазоры»), хотя этот подход можно назвать заблуждением — в первую очередь потому, что большинство промышленных систем так или иначе имеют доступ в интернет. Исследования «Лаборатории Касперского» показывают, что производственные рабочие станции подвержены таким же угрозам, как и традиционные системы. Вредоносное воздействие на АСУ ТП не ограничивается хакерскими атаками и злонамеренными программами: промышленные предприятия постоянно сталкиваются с рисками и угрозами, которые связаны с людьми, процессами и технологиями.

В ответ на подобные вызовы «Лаборатория Касперского» предлагает комплексное решение Kaspersky Industrial CyberSecurity (далее — KICS), которое нацелено на минимизацию специфических для АСУ ТП рисков: ошибки операторов или подрядчиков, непреднамеренное заражение вредоносными программами со стороны работников организации или других исполнителей, случайные или намеренные действия сотрудников, несоблюдение требований регуляторов, неосведомленность о процессе расследования инцидентов и сбора данных о них.

C помощью KICS можно урегулировать следующие основные проблемы, связанные с обеспечением безопасности АСУ ТП: недостаток видимости, обусловленный большой распределенной инфраструктурой и разрозненными ее элементами, внедренными отдельно друг от друга; отсутствие процедур информационной безопасности, средств защиты, а также централизованного управления политиками ИБ и контроля над их применением; низкий уровень, а зачастую и отсутствие, специалистов по промышленной защите информации.

 

Состав комплексного решения Kaspersky Industrial CyberSecurity

Если рассматривать отдельные модули, то KICS состоит из совокупности взаимосвязанных между собой решений и сопутствующих сервисов.

Решения KICS – это три основных модуля: для конечных точек (KICS for Nodes) и для сетей (KICS for Networks), а также центр безопасности (Kaspersky Security Center). Первый предназначен для защиты SCADA-серверов, операторских и инженерных станций в системах АСУ ТП от вредоносных программ и несанкционированных действий пользователя, второй работает на уровне промышленных коммуникационных протоколов и решает задачу обнаружения аномалий и угроз в промышленной сети, а третий обеспечивает централизованное управление безопасностью и служит для управления KICS for Nodes и приема событий от KICS for Networks.

Сервисы KICS делятся на две категории: обучение и программы повышения осведомленности, а также экспертные сервисы и данные об угрозах. В первую категорию входят программа Kaspersky Security Awareness и практические курсы для специалистов в области промышленной кибербезопасности под общим названием Kaspersky Security Trainings. Вторая категория включает услуги по анализу защищенности инфраструктуры организации (Kaspersky Security Assessment), реагированию на инциденты и ликвидации последствий нарушения системы безопасности (Kaspersky Incident Response), информированию о специфичных для АСУ ТП угрозах (Kaspersky Threat Intelligence).

Работу KICS можно также условно разделить на три уровня.

На первом уровне осуществляется защита промышленных рабочих станций и серверов, ведется мониторинг сети и детектирование аномалий в технологических процессах, проводятся тесты на проникновение для оценки безопасности инфраструктуры и учебные курсы для повышения осведомленности персонала. Второй уровень отвечает за расследование инцидентов посредством интеграции с SIEM, получение актуальной информации об угрозах для АСУ ТП, проведение тренингов по промышленной и цифровой криминалистике. KICS for Networks также хорошо помогает в расследовании инцидентов — позволяет сохранять связанный с событием Pcap-трафик отдельно для его дальнейшего анализа. На третьем уровне фигурируют отчеты о целенаправленных атаках на промышленные сети, предоставляются экспертные консультационные сервисы от «Лаборатории Касперского».

 

Рисунок 1. Пример расположения KICS в промышленной инфраструктуре

 Пример расположения KICS в промышленной инфраструктуре

 

Далее о каждом из компонентов будет рассказано более подробно.

 

Продукты Kaspersky Industrial CyberSecurity

Напомним, что в состав KICS входят три основных модуля: для обеспечения безопасности конечных точек, для защиты сети и для администрирования. Каждый из них играет свою роль в общей системе борьбы с угрозами.

 

Рисунок 2. Защита АСУ ТП с помощью решений KICS

 Защита АСУ ТП с помощью решений KICS

Kaspersky Industrial CyberSecurity for Nodes

Основное предназначение этой подсистемы сводится к решению трех задач: предотвращение старта нежелательного программного обеспечения, обнаружение вредоносных программ без негативного влияния на производительность рабочей станции, а также контроль информационного окружения. Продукт обеспечивает безопасность на уровне сервера ICS/SCADA, человеко-машинного интерфейса и инженерных рабочих станций, защищая тем самым от угроз, которые могут быть вызваны человеческим фактором, вредоносными агентами и целевыми атаками.

Этот модуль фактически представляет собой специфический для АСУ ТП антивирус, обладающий преимуществами, которые позволяют ему не нарушать непрерывность производства за счет низкого потребления ресурсов, установки / обновления / удаления без перезагрузки, возможности работы в режиме мониторинга и обнаружения угроз нулевого дня.

Риск, связанный с запуском нежелательного программного обеспечения, снимается благодаря применению в KICS принципов работы по «белому списку» разрешенных приложений. Когда такой список сформирован, его можно протестировать перед фактическим применением в технологическом процессе. Возможны два варианта работы: обнаружение и блокирование. Модуль отслеживает все типы исполняемых файлов. Помимо контроля установки и запуска приложений, осуществляется мониторинг файловых операций для определенных файлов и директорий.

 

Рисунок 3. Формирование правил контроля запуска программ на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 Формирование правил контроля запуска программ на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 

Технологии обнаружения и защиты в KICS for Nodes адаптированы для АСУ ТП таким образом, чтобы обеспечивать постоянную доступность системы. Модуль рассчитан на редко обновляемые промышленные инфраструктуры и реализован посредством традиционного детектирования с помощью сигнатур (в том числе поведенческих). Он способен обнаруживать шифровальщики, а также использовать репутационные базы (в отсутствие доступа в Интернет с помощью Kaspersky Private Security Network).

Следующим компонентом KICS for Nodes для обеспечения безопасности промышленных систем является контроль информационного окружения: устройств, файлов и программируемых логических контроллеров (ПЛК). Целесообразность такого контроля обусловлена тем, что конфигурации конечных точек в АСУ ТП относительно статичны, и отслеживание их целостности является поэтому эффективной мерой безопасности — в отличие от быстро и часто меняющихся корпоративных компьютеров.

 

Рисунок 4. Защита файлов на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 Защита файлов на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 

Контроль устройств осуществляется на основе назначения политик отдельному пользователю или группе, формирования белых списков, активации режимов предотвращения или обнаружения. Мониторинг целостности файлов и папок обеспечивает отслеживание операций, совершаемых над объектами файловой системы. Для проверки целостности ПЛК контрольная сумма его конфигурации сравнивается с эталонной контрольной суммой проекта ПЛК.

 

Рисунок 5. Контроль устройств на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 Контроль устройств на серверах и рабочих станциях в промышленных системах управления с помощью KICS for Nodes

 

Для борьбы с проникновением вредоносных программ по беспроводным сетям, а также для того, чтобы предотвращать попытки установить несанкционированную связь, в KICS for Nodes реализован контроль подключения к Wi-Fi, позволяющий блокировать все соединения, не входящие в список разрешенных.

KICS for Nodes поддерживает безопасное обновление, которое предотвращает негативное влияние изменений в защите на доступность охраняемой системы. Неконтролируемые обновления могут, в частности, спровоцировать проблемы чрезмерного потребления ресурсов. Этот вопрос решается путем применения одной или нескольких из следующих мер:

  • «Лаборатория Касперского» проводит испытание совместимости обновления баз данных с программным обеспечением поставщика SCADA на собственном тестовом оборудовании;
  • поставщик SCADA сам выполняет испытание на совместимость;
  • обновления «Лаборатории Касперского» для защиты от вредоносных программ испытываются на специальном тестовом стенде, имитирующем реальную площадку клиента, и их развертывание автоматизируется при помощи Kaspersky Security Center.

Kaspersky Industrial CyberSecurity for Networks

Этот модуль работает с зеркалированной копией трафика (с порта SPAN). Он выявляет аномалии с помощью технологии глубокого инспектирования пакетов (DPI). Данный подход позволяет не влиять каким-либо образом на трафик в промышленном сегменте.

Первоочередным пунктом в обеспечении безопасности на уровне промышленной инфраструктуры является контроль целостности сети, дающий возможность выявить новые и неизвестные устройства. В KICS for Networks учет ведется с помощью пассивного обнаружения устройств и регистрирования фактов передачи данных между ними, визуализации активов с помощью карты сети, белых списков сетевых взаимодействий.

Обнаружение аномалий в технологическом процессе реализовано с помощью промышленного DPI, который отслеживает передаваемые команды по управлению процессами, телеметрические данные, любые команды, конфигурирующие ПЛК или изменяющие его состояние, изменения параметров в технологических процессах. Стоит отметить, что в KICS for Networks поддерживается машинное обучение в виде отдельного решения, работающего в интеграции с KICS for Networks, которое в терминологии «Лаборатории Касперского» называется MLAD (Machine Learning for Anomaly Detection). Оно выявляет аномалии в сложных и часто перенастраиваемых промышленных сетях не на основе правил, а на базе корреляции сигналов технологического трафика. MLAD обучает рекуррентную нейронную сеть распознавать поведение сигналов при нормальных условиях работы с помощью передовой модели прогнозирования, основанной на использовании долгой краткосрочной памяти (LSTM).

 

Рисунок 6. Автоматическое обнаружение устройств в KICS for Networks

 Автоматическое обнаружение устройств в KICS for Networks

 

Постоянный рост количества компонентов инфраструктуры обусловливает некоторые сложности, связанные с их визуальным отображением для отслеживания существующих сетевых взаимодействий. Функция «Машина времени» позволяет проводить изучение сетевой активности в широком временном диапазоне.

 

Рисунок 7. Построение карты сети в KICS for Networks

 Построение карты сети в KICS for Networks

 

Для отслеживания причинно-следственных связей в событиях информационной безопасности, а также для удобства расследования инцидентов в KICS for Networks поддерживается корреляция связанных между собой событий в групповой инцидент.

 

Рисунок 8. Корреляция событий в KICS for Networks

 Корреляция событий в KICS for Networks

 

KICS for Networks и KICS for Nodes поддерживают интеграцию с системой корпоративной безопасности, обмениваясь информацией с Kaspersky Security Center, Syslog-сервером и SIEM.

Kaspersky Security Center

Центр безопасности представляет собой единую консоль управления защитой узлов сети, с помощью которой можно добиться оптимального уровня контроля, простоты администрирования и прозрачности. Она отображает детальную информацию об уровне защищенности и обеспечивает централизованное управление политиками безопасности, поддерживая установку разных настроек для конкретных узлов и групп, позволяет проводить тестирование обновлений перед их распространением, чтобы предотвратить деструктивное воздействие, дает доступ к управлению на основе ролей, определенных политиками безопасности.

Kaspersky Security Center может быть интегрирован со SCADA-системой для отображения актуального статуса безопасности узлов на мнемосхеме оператора. Это предоставляет возможность своевременно отреагировать на нежелательное событие даже в случае отсутствия дежурного инженера по информационной безопасности. При возникновении инцидента ИБ специально запрограммированный объект мнемосхемы (например, лампочка) меняет свое состояние (допустим, отображается красным). Далее оператор может экстренно вызвать инженера ИБ для расследования.

 

Сервисы Kaspersky Industrial CyberSecurity

Kaspersky Security Awareness

Представляет собой программу повышения осведомленности в области информационной безопасности для сотрудников всех уровней и включает практические курсы, нацеленные на предотвращение появления инцидентов информационной безопасности из области человеческого фактора. За счет проведения курсов в онлайн-формате упрощается процесс отслеживания успеваемости отделом кадров и департаментом ИБ. Программа дает знания с помощью практических занятий, игрового подхода, имитации атак и т. д., формирует навыки безопасного поведения у разных категорий сотрудников с учетом их должностных обязанностей. Для сфер банковского обслуживания, промышленности, транспорта, электронных госуслуг существуют готовые сценарии программ обучения.

Kaspersky Security Trainings

Включают практические тренинги по обучению специалистов в области промышленной кибербезопасности и реагирования на инциденты. В частности, это — курсы по тестированию на проникновение (ICS Penetration Testing for Professionals) и по цифровой криминалистике (ICS Digital Forensics for Professionals), которые позволяют повысить компетенции сотрудников компании в области обнаружения атак, проведения расследований, анализа вредоносных программ и обратной разработки. В результате прохождения курсов у специалистов по безопасности формируются комплексные знания обо всех стадиях расследования инцидентов, что позволит успешно разбирать атаки и устранять последствия без привлечения экспертов извне.

Kaspersky Security Assessment

Оценка защищенности инфраструктуры от киберугроз. Еще до установки решения эксперты вендора проводят предварительную оценку информационных систем и аппаратного обеспечения АСУ ТП, определяют изъяны в существующей системе защиты и возможные пути проникновения злоумышленника, а также предоставляют набор рекомендаций для улучшения ситуации.

Kaspersky Incident Response

Отклик на инциденты и ликвидация последствий нарушения системы безопасности с помощью команды экстренного реагирования, которая поможет локализовать происшествие и провести его расследование, определить источник и характер угроз, разработать план восстановления. Кроме того, при необходимости «Лаборатория Касперского» проведет анализ вредоносных программ (в соответствии с собственными методиками), по итогам которого эксперты дадут пошаговые рекомендации относительно дальнейших действий. Следует отметить, что сервис доступен по требованию и по подписке.

Kaspersky Threat Intelligence

Информирование о специфичных для АСУ ТП угрозах. Основное предназначение сервиса — сообщить клиентам о существовании тех или иных методов проведения атак прежде, чем злоумышленники доберутся до промышленных активов. Сервис предоставляет подробные аналитические отчеты о целевых атаках (APT) с результатами расследований, которые содержат описание новейших методов, тактик и инструментов, используемых киберпреступниками, а также о том, что на конкретный момент времени грозит организации.

В рамках данной категории сервисов сертифицированные партнеры «Лаборатории Касперского» также помогут адаптировать средства защиты к работе с существующими системами и интегрировать решения в архитектуру со специализированными аппаратными и программными компонентами, включая специфические алгоритмы, протоколы, программное обеспечение и оборудование.

 

Выводы

В условиях четвертой промышленной революции кибербезопасность АСУ ТП выходит на передний план, так как успешная кибератака может напрямую повлиять на жизнь и здоровье людей, состояние окружающей среды. При построении системы защиты АСУ ТП внимание традиционно уделяется обеспечению не столько конфиденциальности, сколько непрерывности и целостности технологического процесса.

Комплексное решение от «Лаборатории Касперского» — Kaspersky Industrial CyberSecurity (KICS) — состоит из совокупности продуктов и сервисов, в полной мере закрывающих все потребности в обеспечении безопасности инфраструктуры АСУ ТП, расследовании инцидентов, повышении осведомленности, уровня знаний и практических навыков сотрудников, а также позволяющих получать актуальные сведения о современных угрозах промышленной безопасности.

KICS работает таким образом, чтобы не оказывать негативного влияния на узлы инфраструктуры и технологическую сеть. Важным достоинством рассмотренных сервисов является предоставление «Лабораторией Касперского» актуальных знаний и развитие навыков в области кибербезопасности, промышленной криминалистики и разработки защитных решений. Продукты, входящие в KICS, обеспечивают защиту как конечных точек, так и промышленных сетей со всеми их особенностями, а единая консоль управления, предоставляемая Kaspersky Security Center, позволяет максимально упростить управление системой безопасности промышленной инфраструктуры.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru