В рубрику "АСУ ТП" | К списку рубрик | К списку авторов | К списку публикаций
Тем не менее ряд мер и требований реализовать без применения технических средств достаточно сложно. А если объект КИИ включает системы промышленной автоматизации и АСУ ТП, задача применения дополнительных технических средств усложняется в разы. К примеру, если взять небольшой перечень мер, обязательных к реализации для объектов КИИ всех трех категорий значимости, таких как АУД.4 (регистрация событий безопасности), АУД.7 (мониторинг безопасности), ИНЦ.1 (выявление компьютерных инцидентов), ИНЦ.2 (информирование о компьютерных инцидентах), ИНЦ.3 (анализ компьютерных инцидентов)1, то простой вопрос "Как это технически реализовать в АСУ ТП?", как правило, остается без ответа.
На этом всем известном факте зиждется общепринятое мнение о том, что простых и эффективных решений в области кибербезопасности АСУ ТП не бывает. Слишком много интересов и зон ответственности пересекается при соприкосновении областей кибербезопасности, промышленной автоматизации и информационных технологий. А ужесточение требований регуляторов и отсутствие решений, позволяющих их закрыть, усложняет и без того непростой процесс принятия решений.
Специалистам Positive Technologies, имеющим многолетнюю экспертизу в области исследований защищенности АСУ ТП, вопрос сложности решений безопасности в этой области также был всегда очевиден. Но ровно до тех пор, пока они не поставили сами себе амбициозную цель – дать рынку простое решение сложных задач. В 2016 г. компанией была выпущена первая версия решения Industrial Security Incident Manager (PT ISIM). Решение было ориентировано на выявление инцидентов и кибератак на системы управления технологическими процессами и стало первым в мире решением такого класса, применяемым на системах централизации управления железнодорожным транспортом.
Сегодня продукт представляет собой систему мониторинга защищенности и управления инцидентами кибербезопасности технологических сетей и систем промышленной автоматизации. Но не только. Помимо непосредственного выявления инцидентов и кибератак, PT ISIM выполняет автоматическую инвентаризацию сети, контролирует все информационное взаимодействие между компонентами АСУ ТП, выявляет попытки неавторизованного управления как самой АСУ ТП, так и непосредственно технологическим процессом. Кроме того, анализируемые и хранимые в нем данные можно использовать при проведении расследований инцидентов. А осенью 2018 г., развивая идею простого решения сложных задач безопасности АСУ ТП, компания выпустила бесплатную версию PT ISIM – PT ISIM freeView Sensor.
Набор функциональных возможностей коммерческой версии PT ISIM позволяет эффективно ее использовать в АСУ ТП независимо от того, на какой платформе она построена. Например:
И еще одно важное преимущество, которое дает PT ISIM, – это простота его ввода в эксплуатацию. Для того чтоб решение начало работать, на его сенсор необходимо лишь направить копию сетевого трафика технологической сети. Опыт показывает, что практические результаты работы PT ISIM демонстрирует уже в течение нескольких часов после первого включения, при этом оставаясь абсолютно безопасным для самих АСУ ТП.
В разрезе необходимости объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА для большинства промышленных предприятий становится все более очевидной необходимость создания Security Operations Center или внедрение как минимум систем класса SIEM для обеспечения централизованного мониторинга инцидентов безопасности. К сожалению, совместное использование АСУ ТП и систем класса SIEM имеет ряд существенных ограничений:
PT ISIM как источник информации об инцидентах безопасности АСУ ТП сетевого и прикладного уровня для систем класса SIEM, Incident Management и других дает возможность решить все эти задачи. Важным является тот факт, что в SIEM передаются именно инциденты, а не события, требующие дополнительной интерпретации и корреляций. Такое решение позволяет практически в один прыжок преодолеть ограничения, обозначенные выше, и перейти от сложного проектирования и переконфигурирования технологической сети практически сразу к реализации процессов выявления, управления и реагирования на инциденты кибербезопасности АСУ ТП.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018