Контакты
Подписка
МЕНЮ
Контакты
Подписка

Современные угрозы для индустриальных сетей и способы борьбы

Современные угрозы для индустриальных сетей и способы борьбы

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Современные угрозы для индустриальных сетей и способы борьбы

В сегодняшнем мире индустриальные сети все больше развиваются. Происходит переход на IP-протоколы, индустриальные и корпоративные системы активно обмениваются информацией, что неизбежно ведет к их взаимной интеграции. Управление производством переходит в режим онлайн, а руководству необходимо четко понимать, что сейчас происходит на предприятии, планировать его работу и многое другое.
Андрей Нуйкин
Начальник отдела обеспечения безопасности
информационных систем, блок вице-президента
по информационной безопасности, ЕВРАЗ

Такая интеграция несет и новые проблемы для индустриальных сетей, с которыми раньше специалисты по АСУ ТП не сталкивались. Возникают различные новые угрозы, устранять которые иногда весьма затруднительно. Индустриальные сети работают совершенно отлично от корпоративных, и казалось бы простые меры защиты, работающие в одних сетях, не всегда можно применить в других.

Проведя простое сканирование на уязвимости, можно обнаружить много интересного: от стандартных логинов и паролей до отсутствующих обновлений операционных систем. Соответственно, проникший вирус или злоумышленник получит гораздо больше возможностей вершить свои "темные дела".

Например, установка обновлений в корпоративной среде осуществляется автоматически и практически не вызывает вопросов. В индустриальных же – установка обновления может привести к остановке производственного процесса. И поэтому очень часто специалисты АСУ ТП предпочитают не устанавливать их вовсе.

Проведя простое сканирование на уязвимости, можно обнаружить много интересного: от стандартных логинов и паролей до отсутствующих обновлений операционных систем. Соответственно, проникший вирус или злоумышленник получит гораздо больше возможностей вершить свои "темные дела".

Человеческий фактор

В индустриальной сети используется зачастую такое же сетевое оборудование и серверы, как и в корпоративной. Все это оборудование требует обслуживания и настроек. А учитывая, что промышленные цеха могут быть разбросаны по большим территориям и обойти их пешком бывает весьма затруднительно, то системные и сетевые администраторы активно используют удаленный доступ. При этом даже если корпоративная и индустриальная сети разделены, то в настройках межсетевого экрана создаются проходы, чтобы программное обеспечение для удаленного администрирования могло беспрепятственно работать. А учитывая, что администраторы в большинстве случаев находятся в корпоративной сети и со своих компьютеров активно используют Интернет и корпоративную (не только) почту, они являются угрозой для индустриальной сети. Например, злоумышленник, проникнув в корпоративную сеть и выяснив топологию, может скомпрометировать компьютер администратора и воспользоваться им как шлюзом для проникновения в индустриальную.


Компрометация не представляет особых проблем, потому что люди склонны упрощать себе жизнь: используются слабые пароли, совпадающие на большинстве устройств, или системы удаленного управления со слабой защитой. К группе риска относятся также и разработчики. Они аналогично администраторам активно используют удаленные подключения (зачастую напрямую) к контроллерам и серверам управления технологическим оборудованием.


Многие из этих угроз проистекают из того факта, что корпоративные и индустриальные сети часто не имеют четкого разделения. Я сталкивался с различными вариантами разделения сетей: это могли быть некие станции связи с двумя сетевыми картами (рис. 1); есть вариант, когда сети разделены коммутатором и маршрутизатором с настроенными ACL (рис. 2); бывает даже вариант с разделением межсетевым экраном (рис. 3).


Но все эти варианты страдают от человеческого фактора, описанного выше.

Как же бороться с такими угрозами?

На этот вопрос дают ответы различные стандарты по обеспечению индустриальных сетей. Все они в один голос утверждают о необходимости разделения сетей. Причем на всех уровнях.

Компрометация не представляет особых проблем, потому что люди склонны упрощать себе жизнь

На границе индустриальной сети необходимо строить демилитаризованную зону (ДМЗ), в которую выносятся все сервисы, взаимодействующие с корпоративной сетью. Если есть необходимость, в индустриальной сети должна использоваться своя инфраструктура MS AD, свой сервер антивирусной защиты и т.д.

Для разработки требований к защите индустриальной сети можно использовать требования стандарта PCI DSS, применяемого в банковской среде, так как идеологически они имеют много общего.

Строим типовую ДМЗ

Что для этого нужно? В первую очередь – разделить сети. Для этого используем межсетевые экраны. На их базе организуем ДМЗ и ограничиваем прямое взаимодействие сетей. В индустриальной сети установим серверы MS AD – это позволит отделить авторизацию в каждой из сетей. Далее для обеспечения работы администраторов с оборудованием индустриальной сети поставим в ДМЗ сервер VDI, чтобы каждый администратор получил вторую рабочую станцию для работы в этой сети.

На VDI-рабочих станциях они будут авторизоваться с использованием учетных записей из AD. Соответственно, компрометация корпоративной учетной записи администратора не приведет к автоматическому получению доступа в индустриальную сеть. А для повышения уровня безопасности введем еще и двухфакторную аутентификацию по одноразовым паролям.

Компрометация корпоративной учетной записи администратора не приведет к автоматическому получению доступа в индустриальную сеть. А для повышения уровня безопасности введем еще и двухфакторную аутентификацию по одноразовым паролям.

Вы спросите: "Почему по одноразовым?". На мой взгляд, если использовать, скажем, USB-токен, то сработает человеческий фактор: токен будет вставлен в порт и оставлен там навсегда. А одноразовый пароль меняется с определенным интервалом, так что даже в случае перехвата второй раз им уже не воспользуешься. Далее в ДМЗ выносим сервер антивирусной защиты. И на межсетевом экране обеспечиваем одностороннюю связь с корпоративным сервером обновлений, который также выносим. Это позволит нам получать обновления, при этом входящие подключения будут запрещены. Аналогично поступаем и со всеми другими сервисами типа Historian и т.д.

Если промышленных площадок много, то есть вариант создания централизованной ДМЗ. В данном случае на уровне ЦОДа формируется одна ДМЗ для всех площадок. В нее мы выносим единые для всех сервисы. Например, серверы MS AD, антивируса, обновления, двухфакторной аутентификации и т.д. На уровне площадок устанавливаются межсетевые экраны, обеспечивающие создание VPN-туннеля до центральной ДМЗ. При этом остается возможность создания локальных ДМЗ для серверов и сервисов, которые по каким-либо причинам не могут быть вынесены в центральную. Таким образом, возможна экономия на серверах для MS AD, антивируса и т.д.

Организовав такую ДМЗ, мы сможем значительно снизить угрозы, связанные с компрометацией учетных записей администраторов и разработчиков, затруднив распространение вирусов. В идеале мы получим самодостаточную индустриальную сеть, минимально зависящую от корпоративной. Хотя, на мой взгляд, в современном производстве этот идеал практически недостижим, т.к. в корпоративных системах зачастую формируются данные, необходимые для работы индустриальной сети. Например, различные паспорта или сертификаты на произведенную продукцию. Не имея такого сертификата, продукция не может быть передана заказчику. Что также является угрозой. Но это отдельная история.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2016

Приобрести этот номер или подписаться

Статьи про теме