АСУ ТП, объекты КИИ, ГосСОПКА.Много сложных задач и одно решение

Тем не менее ряд мер и требований реализовать без применения технических средств достаточно сложно. А если объект КИИ включает системы промышленной автоматизации и АСУ ТП, задача применения дополнительных технических средств усложняется в разы. К примеру, если взять небольшой перечень мер, обязательных к реализации для объектов КИИ всех трех категорий значимости, таких как АУД.4 (регистрация событий безопасности), АУД.7 (мониторинг безопасности), ИНЦ.1 (выявление компьютерных инцидентов), ИНЦ.2 (информирование о компьютерных инцидентах), ИНЦ.3 (анализ компьютерных инцидентов)¹, то простой вопрос "Как это технически реализовать в АСУ ТП?", как правило, остается без ответа.

АСУ ТП – это сложно

На этом всем известном факте зиждется общепринятое мнение о том, что простых и эффективных решений в области кибербезопасности АСУ ТП не бывает. Слишком много интересов и зон ответственности пересекается при соприкосновении областей кибербезопасности, промышленной автоматизации и информационных технологий. А ужесточение требований регуляторов и отсутствие решений, позволяющих их закрыть, усложняет и без того непростой процесс принятия решений.

Специалистам Positive Technologies, имеющим многолетнюю экспертизу в области исследований защищенности АСУ ТП, вопрос сложности решений безопасности в этой области также был всегда очевиден. Но ровно до тех пор, пока они не поставили сами себе амбициозную цель – дать рынку простое решение сложных задач. В 2016 г. компанией была выпущена первая версия решения Industrial Security Incident Manager (PT ISIM). Решение было ориентировано на выявление инцидентов и кибератак на системы управления технологическими процессами и стало первым в мире решением такого класса, применяемым на системах централизации управления железнодорожным транспортом.

Сегодня продукт представляет собой систему мониторинга защищенности и управления инцидентами кибербезопасности технологических сетей и систем промышленной автоматизации. Но не только. Помимо непосредственного выявления инцидентов и кибератак, PT ISIM выполняет автоматическую инвентаризацию сети, контролирует все информационное взаимодействие между компонентами АСУ ТП, выявляет попытки неавторизованного управления как самой АСУ ТП, так и непосредственно технологическим процессом. Кроме того, анализируемые и хранимые в нем данные можно использовать при проведении расследований инцидентов. А осенью 2018 г., развивая идею простого решения сложных задач безопасности АСУ ТП, компания выпустила бесплатную версию PT ISIM – PT ISIM freeView Sensor.

Инструмент для любой АСУ ТП

Набор функциональных возможностей коммерческой версии PT ISIM позволяет эффективно ее использовать в АСУ ТП независимо от того, на какой платформе она построена. Например:

• обеспечение безопасности самого технологического процесса: архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс;
• инвентаризация и контроль целостности сети АСУ ТП: PT ISIM в режиме автоматического обучения инвентаризирует элементы сети АСУ ТП, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети;
• визуализация инцидентов: за счет удобных средств графического отображения элементов сетевой топологии и технологического процесса (мнемосхем) PT ISIM позволяет визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики технологического процесса;
• обнаружение сложных атак: PT ISIM анализирует события информационной безопасности и связывает их в логические цепочки. Цепочка событий позволяет наглядно представить развитие инцидента во времени и в нужный момент принять меры по предотвращению угрозы. Таким образом, в отличие от аналогичных средств, использующих только классический сигнатурный подход, PT ISIM эффективно выявляет и длительные многоэтапные атаки;
• оперативное реагирование на инциденты ИБ: в случае возникновения инцидента PT ISIM предоставляет ответственным сотрудникам информацию, соответствующую их полномочиям. Оперативный персонал располагает минимальным набором инструментов, необходимых для поддержки административных регламентов, а служба ИБ получает полный доступ к информации об инцидентах для их расследования;
• учет специфики предприятия: с помощью PT ISIM можно контролировать векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия. В состав PT ISIM входят удобные средства конфигурирования уникальных для защищаемого объекта правил обнаружения атак;
• соответствие требованиям промышленной среды: физические условия эксплуатации в промышленности бывают крайне агрессивными. Промышленное исполнение компонентов PT ISIM подбирается с учетом специфики отрасли и защищаемого предприятия.

И еще одно важное преимущество, которое дает PT ISIM, – это простота его ввода в эксплуатацию. Для того чтоб решение начало работать, на его сенсор необходимо лишь направить копию сетевого трафика технологической сети. Опыт показывает, что практические результаты работы PT ISIM демонстрирует уже в течение нескольких часов после первого включения, при этом оставаясь абсолютно безопасным для самих АСУ ТП.

Из АСУ ТП в SOC

В разрезе необходимости объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА для большинства промышленных предприятий становится все более очевидной необходимость создания Security Operations Center или внедрение как минимум систем класса SIEM для обеспечения централизованного мониторинга инцидентов безопасности. К сожалению, совместное использование АСУ ТП и систем класса SIEM имеет ряд существенных ограничений:

• сегодня SIEM не смотрят в АСУ ТП, для них это "слепая зона";
• в АСУ ТП очень мало источников, с которых SIEM получают и в обозримом будущем будут получать события безопасности;
• в АСУ ТП огромное количество событий, для которых крайне сложно написать правила корреляции в SIEM для корректного выявления инцидентов;
• SIEM не инвентаризируют АСУ ТП (а это требует тот же ФЗ-187);
• SIEM не умеют обрабатывать трафик сетей АСУ ТП, тогда как огромная часть событий и инцидентов выявляются именно в нем;
• и главное – сегодня и в обозримом будущем SIEM по ряду причин не будут коррелировать события АСУ ТП в инциденты с учетом их прикладного значения, тогда как основной объем инцидентов, имеющих критичное значение для специалистов АСУ ТП, происходит в основном на прикладном уровне систем.

PT ISIM как источник информации об инцидентах безопасности АСУ ТП сетевого и прикладного уровня для систем класса SIEM, Incident Management и других дает возможность решить все эти задачи. Важным является тот факт, что в SIEM передаются именно инциденты, а не события, требующие дополнительной интерпретации и корреляций. Такое решение позволяет практически в один прыжок преодолеть ограничения, обозначенные выше, и перейти от сложного проектирования и переконфигурирования технологической сети практически сразу к реализации процессов выявления, управления и реагирования на инциденты кибербезопасности АСУ ТП.

POSITIVE TECHNOLOGIES
107061, Москва,
Преображенская пл., 8
Тел.: +7 (495) 744-0144
Факс: +7 (495) 744-0187
E-mail: pt@ptsecurity.com
https://www.ptsecurity.com/ru-ru/