© 1995-2022 Компания «Инфосистемы Джет»
Три наиболее актуальных класса решений ИБ АСУ ТП предприятия
Информационная безопасность Информационная безопасность

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

Главная>Информационная безопасность>ИБ АСУ ТП по принципу Парето

22.12.2016

Посетителей: 132

Просмотров: 183

Время просмотра: 1.8 мин.

Авторы

Автор
Даниил Тамеев В прошлом - руководитель направления по работе с ПиТЭК Центра информационной безопасности компании «Инфосистемы Джет»
В наши дни термин «кибербезопасность» все чаще пестрит в новостных заголовках, а о мнимых и реальных хакерских угрозах не забывают упоминать даже региональные СМИ, не говоря уже о крупнейших федеральных каналах и печатных изданиях.

 

 

В кругу специалистов подобный ажиотаж воспринимается довольно спокойно – ничего кардинально нового не случилось. Разве что угрозы, связанные с возможным нарушением работы критически важных объектов и риски, которые они несут, все чаще становятся достоянием общественности. Что характерно, о них и ранее было известно, но лишь специалистам, погруженным в тему безопасности АСУ ТП.

 

К сожалению, серьезных изменений уровня информационной безопасности критически важных объектов при этом не произошло. Виной тому чаще всего является недостаточная убежденность владельцев компаний в целесообразности вложений в данном направлении. Ведь, как и классическая, корпоративная информационная безопасность, ИБ промышленного сегмента со стороны бизнеса выглядит как объект для инвестиций без ощутимой отдачи. Дискутировать о корректности подобного утверждения можно долго, но зачастую попытки специалистов служб ИБ донести актуальность задачи до представителей бизнеса встают перед непреодолимой стеной скепсиса и со стороны технологических подразделений. И один из ключевых вопросов в этом случае звучит так: «Не нарушит ли внедрение тех или иных средств защиты штатную работоспособность объекта и не затруднит ли его эксплуатацию?»

Прекрасно известно, что обеспечение безопасности всегда заставляет искать неуловимую точку баланса между удобством и уровнем защищенности. Так происходит и в том случае, когда речь идет об уровне защищенности технологических объектов.

 

На практике решение данной задачи, как правило, сводится к выбору преимущественно средств пассивного обеспечения безопасности. Под ними мы подразумеваем решения, не содержащие в себе функционала блокирования, внедрение которых проходит неинвазивным способом – без сколь угодно серьезного вмешательства в технологический процесс и инфраструктуру. Учитывая, что парадигма «конфиденциальность–доступность–целостность» в данных условиях меняет приоритет составляющих в пользу доступности и целостности, такой подход оправдан.

 

Для защиты технологического сегмента предприятий в полную силу действует принцип Парето. 20% ваших усилий по ИБ АСУ ТП способны принести 80% результата, поэтому мы предлагаем подробнее рассмотреть три наиболее актуальных класса решений, которые применимы для защиты с учетом вышеуказанных факторов.

 

Системы обнаружения вторжений (СОВ)

 

По большому счету СОВ – это один из компонентов сетевой защиты, которые могут и должны применяться еще на этапе формирования технологической инфраструктуры. Наряду с межсетевыми экранами данные решения обеспечивают безопасность периметра технологического сегмента предприятия, а также выделенных сегментов сети. В наших реалиях, когда в первую очередь речь идет об уже существующих объектах, внедрение сетевых средств обнаружения вторжений – не самая трудоемкая задача. Формирование демилитаризованной зоны на уровне периметра сети с применением данных средств позволит существенно повысить уровень сетевой защищенности, не затрагивая при этом самих технологических процессов. Однако важным фактором является понимание разницы между системами обнаружения и предотвращения вторжений. Первые при выявлении вредоносной или аномальной активности будут предупреждать и оповещать службы ИБ, что полностью вписывается в канву пассивной безопасности. Вторые же изначально созданы для активных действий: блокировки нелегитимного трафика, реконфигурации правил межсетевых экранов и т.п. И несмотря на продвижение подобных «активных» решений рядом производителей, их применимость для защиты технологической сети оправданно вызывает критические сомнения среди специалистов.

 

Контроль привилегированных пользователей

 

На промышленных объектах ряд задач, возложенных на внутренние службы представителей дочерних сервисных компаний и подрядных организаций зачастую выполняется удаленно. Для специалиста в области безопасности данный фактор сразу виден как потенциальный источник угрозы. Но ввиду слабой погруженности служб ИБ в особенности работы технологического сегмента, контролю удаленных подключений к технологическим системам, как правило, не уделяют должного внимания. Даже если исключить вариант злонамеренного воздействия со стороны самих представителей сервисных служб, сам факт наличия удаленного канала, который может быть скомпрометирован и использован злоумышленником, заставляет задумать о необходимости контроля оного. При этом многообразие вариантов реализации средств мониторинга за действиями так называемых привилегированных пользователей позволяет прозрачно и безболезненно для промышленного сегмента осуществлять мониторинг их действий и детектировать попытки нештатного подключения.

 

Корреляция инцидентов и мониторинг событий ИБ

 

Безусловно, одним из ключевых решений в области ИБ являются средства корреляции и мониторинга. В случае корпоративной ИБ они позволяют избавиться от необходимости следить за различными консолями средств защиты и вручную анализировать получаемые с них события, максимально автоматизировав и упростив этот процесс. Когда же речь идет о технологическом сегменте предприятий, где необходим круглосуточный контроль исправности промышленных систем, помимо вышеуказанного функционала, данные решения могут и должны стать одним из компонентов комплексного ситуационного центра. В его рамках формируется единая точка отслеживания как технических показателей систем и контроль процессов, так и мониторинг, и управление информационной безопасностью предприятия.

 

Кроме вышеуказанных решений, безусловно, не стоит забывать и о контроле рабочих станций, анализе технологического трафика, использовании специализированных межсетевых экранов в технологической сети и других актуальных решениях. Но, даже сфокусировав свое внимание только на вышеописанных направлениях, уже в ближайшей перспективе можно серьезно повысить уровень информационной безопасности промышленного сегмента своей компании.

 

Подводя итоги, стоит отметить, что приступая к проекту по защите технологического сегмента предприятий, главное – осознать текущий уровень ИБ, сформировать цели, внутренние требования и заручиться поддержкой надежного, квалифицированного и опытного партнера.

Уведомления об обновлении тем – в вашей почте

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

«Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго...»

Руководитель Центра кибербезопасности рассказал о том, как обеспечивается информационная безопасность в ОАО «РЖД»

ИБ АСУ ТП: Перейдем на ты

Что такое безопасность автоматизированных системах управления технологическими процессами, мы попытались разобраться

X неизвестных в защите критической информационной инфраструктуры

Как создать систему безопасности значимых объектов КИИ? Кто и как должен взаимодействовать с объектами КИИ? Что включает в себя план организации СБ для значимых объектов?

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК «Газпром нефть»)

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Индустрия 4.0. Кибербезопасность: вызовы и решения

Совсем недавно вышел аналитический отчет «Лаборатории Касперского» о том, как обстоят дела с кибербезопасностью в 2018 г.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня