© 1995-2021 Компания «Инфосистемы Джет»
Три наиболее актуальных класса решений ИБ АСУ ТП предприятия
Информационная безопасность

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

22.12.2016

Посетителей: 92

Просмотров: 150

Время просмотра: 2 мин.

В наши дни термин «кибербезопасность» все чаще пестрит в новостных заголовках, а о мнимых и реальных хакерских угрозах не забывают упоминать даже региональные СМИ, не говоря уже о крупнейших федеральных каналах и печатных изданиях.

 

 

В кругу специалистов подобный ажиотаж воспринимается довольно спокойно – ничего кардинально нового не случилось. Разве что угрозы, связанные с возможным нарушением работы критически важных объектов и риски, которые они несут, все чаще становятся достоянием общественности. Что характерно, о них и ранее было известно, но лишь специалистам, погруженным в тему безопасности АСУ ТП.

 

К сожалению, серьезных изменений уровня информационной безопасности критически важных объектов при этом не произошло. Виной тому чаще всего является недостаточная убежденность владельцев компаний в целесообразности вложений в данном направлении. Ведь, как и классическая, корпоративная информационная безопасность, ИБ промышленного сегмента со стороны бизнеса выглядит как объект для инвестиций без ощутимой отдачи. Дискутировать о корректности подобного утверждения можно долго, но зачастую попытки специалистов служб ИБ донести актуальность задачи до представителей бизнеса встают перед непреодолимой стеной скепсиса и со стороны технологических подразделений. И один из ключевых вопросов в этом случае звучит так: «Не нарушит ли внедрение тех или иных средств защиты штатную работоспособность объекта и не затруднит ли его эксплуатацию?»

Прекрасно известно, что обеспечение безопасности всегда заставляет искать неуловимую точку баланса между удобством и уровнем защищенности. Так происходит и в том случае, когда речь идет об уровне защищенности технологических объектов.

 

На практике решение данной задачи, как правило, сводится к выбору преимущественно средств пассивного обеспечения безопасности. Под ними мы подразумеваем решения, не содержащие в себе функционала блокирования, внедрение которых проходит неинвазивным способом – без сколь угодно серьезного вмешательства в технологический процесс и инфраструктуру. Учитывая, что парадигма «конфиденциальность–доступность–целостность» в данных условиях меняет приоритет составляющих в пользу доступности и целостности, такой подход оправдан.

 

Для защиты технологического сегмента предприятий в полную силу действует принцип Парето. 20% ваших усилий по ИБ АСУ ТП способны принести 80% результата, поэтому мы предлагаем подробнее рассмотреть три наиболее актуальных класса решений, которые применимы для защиты с учетом вышеуказанных факторов.

 

Системы обнаружения вторжений (СОВ)

 

По большому счету СОВ – это один из компонентов сетевой защиты, которые могут и должны применяться еще на этапе формирования технологической инфраструктуры. Наряду с межсетевыми экранами данные решения обеспечивают безопасность периметра технологического сегмента предприятия, а также выделенных сегментов сети. В наших реалиях, когда в первую очередь речь идет об уже существующих объектах, внедрение сетевых средств обнаружения вторжений – не самая трудоемкая задача. Формирование демилитаризованной зоны на уровне периметра сети с применением данных средств позволит существенно повысить уровень сетевой защищенности, не затрагивая при этом самих технологических процессов. Однако важным фактором является понимание разницы между системами обнаружения и предотвращения вторжений. Первые при выявлении вредоносной или аномальной активности будут предупреждать и оповещать службы ИБ, что полностью вписывается в канву пассивной безопасности. Вторые же изначально созданы для активных действий: блокировки нелегитимного трафика, реконфигурации правил межсетевых экранов и т.п. И несмотря на продвижение подобных «активных» решений рядом производителей, их применимость для защиты технологической сети оправданно вызывает критические сомнения среди специалистов.

 

Контроль привилегированных пользователей

 

На промышленных объектах ряд задач, возложенных на внутренние службы представителей дочерних сервисных компаний и подрядных организаций зачастую выполняется удаленно. Для специалиста в области безопасности данный фактор сразу виден как потенциальный источник угрозы. Но ввиду слабой погруженности служб ИБ в особенности работы технологического сегмента, контролю удаленных подключений к технологическим системам, как правило, не уделяют должного внимания. Даже если исключить вариант злонамеренного воздействия со стороны самих представителей сервисных служб, сам факт наличия удаленного канала, который может быть скомпрометирован и использован злоумышленником, заставляет задумать о необходимости контроля оного. При этом многообразие вариантов реализации средств мониторинга за действиями так называемых привилегированных пользователей позволяет прозрачно и безболезненно для промышленного сегмента осуществлять мониторинг их действий и детектировать попытки нештатного подключения.

 

Корреляция инцидентов и мониторинг событий ИБ

 

Безусловно, одним из ключевых решений в области ИБ являются средства корреляции и мониторинга. В случае корпоративной ИБ они позволяют избавиться от необходимости следить за различными консолями средств защиты и вручную анализировать получаемые с них события, максимально автоматизировав и упростив этот процесс. Когда же речь идет о технологическом сегменте предприятий, где необходим круглосуточный контроль исправности промышленных систем, помимо вышеуказанного функционала, данные решения могут и должны стать одним из компонентов комплексного ситуационного центра. В его рамках формируется единая точка отслеживания как технических показателей систем и контроль процессов, так и мониторинг, и управление информационной безопасностью предприятия.

 

Кроме вышеуказанных решений, безусловно, не стоит забывать и о контроле рабочих станций, анализе технологического трафика, использовании специализированных межсетевых экранов в технологической сети и других актуальных решениях. Но, даже сфокусировав свое внимание только на вышеописанных направлениях, уже в ближайшей перспективе можно серьезно повысить уровень информационной безопасности промышленного сегмента своей компании.

 

Подводя итоги, стоит отметить, что приступая к проекту по защите технологического сегмента предприятий, главное – осознать текущий уровень ИБ, сформировать цели, внутренние требования и заручиться поддержкой надежного, квалифицированного и опытного партнера.

Уведомления об обновлении тем – в вашей почте

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

«Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго...»

Руководитель Центра кибербезопасности рассказал о том, как обеспечивается информационная безопасность в ОАО «РЖД»

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

ИБ АСУ ТП: Перейдем на ты

Что такое безопасность автоматизированных системах управления технологическими процессами, мы попытались разобраться

Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях

Какие компании должны выполнить требования приказа Минэнерго № 1015? Светлая и темная стороны приказа. Пункты 14, 24 и 30? Наш подход к реализации норм приказа

1500 спартанцев: развитие русскоязычного сообщества специалистов по кибербезопасности АСУ ТП

Один из создателей сообщества «Кибербезопасность в АСУ ТП» рассказал о том, как оно формировалось и развивалось

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня