Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»
№1-2 (300) / 2020
Информационная безопасность

Особенности реализации IIoT Firewall в энергетической компании

Автор
Дмитрий Касымов Руководитель практики кибербезопасности телекоммуникаций компании Positive Technologies

61

0

12

0

3

Сценарии применения IIoT Firewall

 

Что дает внедрение решения?

 

Безопасность для IIoT — якорь или драйвер?

 

 

Информатизация, начавшаяся в телеком-отрасли пару десятилетий назад, все больше распространяется на другие сферы деятельности, в том числе затрагивает ресурсодобывающие и энергетические компании. Но вместе с преимуществами возникают и новые риски. Одним из таких моментов стал экспоненциальный рост Интернета вещей (IoT) и промышленного Интернета вещей (IIoT). По прогнозам Cisco, ожидается, что в 2020 г. к интернету будет подключено порядка 50 млрд устройств. Цифровизация захватывает все больше областей применения — от ранее изолированных промышленных процессов до использования повседневных потребительских устройств. Это приводит к тому, что ландшафт кибератак становится все более разнообразным.

 

Разберем основные сценарии использования IIoT Firewall на примере проекта в одной из крупнейших энергораспределительных компаний Евросоюза.

 

Его целью было обеспечить безопасность IIoT-инфраструктуры. Компании нужно постоянно мониторить рабочее состояние опор воздушной линии электропередачи (ЛЭП) для обеспечения непрерывной подачи электроэнергии. Такого рода задачи эффективно решаются с помощью набора IIoT-датчиков, передающих данные о состоянии ЛЭП в режиме реального времени. На рис. 1 показан один из примеров IIoT-инфраструктуры энергетической компании.

Рисунок. 1. Пример IIoT-инфраструктуры

Для связи с IIoT-шлюзом используются протоколы M2M или LoRa. Он, в свою очередь, обеспечивает агрегацию информации и ее последующую отправку в центр сбора и анализа данных. За взаимодействие между IIoT‑шлюзом и центром отвечает протокол Message Queue Telemetry Transport (MQTT)1 MQTT (Message Queuing Telemetry Transport) — упрощенный сетевой протокол, работающий поверх TCP/IP, ориентирован на обмен сообщениями между устройствами по принципу publisher/subscriber..

 

MQTT эффективен для работы с телеметрией, получаемой от расположенных на удаленных локациях датчиков, IoT- и IIoT-устройств, когда не требуется обмениваться данными большого объема и существуют ограничения пропускной способности канала.

 

В работе MQTT используется принцип «издатель-подписчик»: пользователи делятся на клиентов, посылающих и принимающих сообщения, соответственно, на издателей (Publishers) и подписчиков (Subscribers). Причем они не обмениваются сообщениями напрямую. За координацию передачи сообщений и управление отвечает брокер (Broker), который обеспечивает маршрутизацию пользовательской информации. Достоинства MQTT — открытость и простота, минимальный объем служебной информации, наличие классов обслуживания, иерархическая структура и возможности маршрутизации на прикладном уровне.

 

Чтобы обеспечить безопасность IIoT-инфраструктуры, необходимо решение, которое, с одной стороны, минимально воздействует на существующий ИТ-ландшафт, а с другой — способно предотвращать вредоносные действия со стороны злоумышленников и обеспечивать контроль целостности и доступности сервисов.

 

Для выполнения последней задачи необходимо детально анализировать и контролировать трафик протокола MQTT на уровне приложений. Наиболее просто это реализует установка IIoT Firewall перед и после MQTT Brokers. Мы обеспечиваем контроль трафика со стороны как MQTT publisher, так и MQTT subscriber.

 

На рис. 2. представлена схема внедрения IIoT Firewall.

Рисунок 2. Схема внедрения IIoT Firewall

Варианты применения IIoT Firewall

 

Сценарий 1. Anti MitM

 

По умолчанию протокол MQTT работает без шифрования и аутентификации, а значит, злоумышленники могут организовать различные атаки типа Man in the middle (MitM)2 Вид атаки, при которой злоумышленник тайно ретранслирует поток информации и изменяет связь между двумя сторонами, они же считают, что общаются непосредственно друг с другом. Является методом компрометации канала связи: взломщик, подключившись к каналу между контрагентами, вмешивается в протокол передачи, удаляя или искажая информацию.. Включение SSL на каждом брокере MQTT, скорее всего, приведет к снижению производительности и усложнению обслуживания.

 

Таким образом, для обеспечения безопасности связи необходимо, чтобы IIoT Firewall шифровал передаваемую информацию и фильтровал недопустимый или несанкционированный трафик.

Рисунок 3. IIoT Firewall: поддержка шифрования

Сценарий 2. Защита авторизации

 

В IIoT-инфраструктуре происходит постоянный обмен данными между большим количеством устройств и несколькими приложениями, которые осуществляют сбор и обработку этой информации. Как уже было сказано, для обеспечения связности устройств (Publishers) и приложений (Subscriber) используется MQTT broker. К сожалению, этот функционал реализуется посредством статических параметров, решение не имеет удобного интерфейса и средств контроля доступа.

 

С точки зрения безопасности следует учитывать, что IIoT-устройства выдают только ту информацию, которую они должны выдавать, a приложения как получатели имеют доступ только к тем данным, которые им необходимы и разрешены.

Сценарий 3. Обеспечение DPI для анализа полезной нагрузки и защиты от DDoS-атак

 

MQTT-брокеры не анализируют информацию, передаваемую посредством MQTT-сообщений. Все, что они делают, — просто включают / выключают механизмы публикации (publisher) / подписки (subscriber). При этом отсутствует какая-либо фильтрация, то есть внутри MQTT-сообщений может передаваться любая, в том числе вредоносная нагрузка, которая способна оказывать большое влияние на приложение, обрабатывающее информацию.

 

Контроль полезной нагрузки MQTT-сообщений при помощи IIoT Firewall позволяет:

 

  • предотвращать DDoS-атаки — проверяя размер сообщений и их разрешенные паттерны на основе статистического анализа данных;
  • предотвращать получение приложением поврежденных данных;
  • выявлять аномалии в поведении IIoT-устройств (например, при заражении вредоносным ПО или повреждении устройства)(рис. 4).
Рисунок 4. Контроль аномалий и DDoS-атак с помощью IIoT Firewall

Сценарий 4. Управление и контроль парка IIoT-устройств

 

Одна из самых важных задач безопасности — управление активами. Парком IIoT-устройств нужно управлять, активы необходимо контролировать и каталогизировать, причем это должно происходить в автоматическом режиме и в реальном времени.

 

IIoT Firewall анализирует все проходящие через него MQTT-сообщения и обеспечивает управление активами для IIoT-устройств и приложений. Это позволяет администратору IIoT‑инфраструктуры:

 

  • получать полную информацию по каждому устройству: частоту генерации сообщений, смену их формата, изменение адресации сообщений, контроль версии прошивки устройств и т.д.;
  • обеспечивать полную видимость каждого приложения: какие данные собираются, от каких устройств, как часто приложение посылает запросы и т.д.;
  • контролировать вышедшие из строя или взломанные устройства, используя статистический анализ и отслеживая аномалии в трафике.

Результаты проекта

 

Внедрение обеспечило возможность:

 

  • проводить на основе анализа трафика инвентаризацию IIoT-устройств, которые обмениваются данными в сети;
  • определять детализированные правила для каждого устройства и приложения;
  • выполнять авторизацию и блокировку или устанавливать ограничения на взаимодействие между устройствами и приложениями;
  • определять словари разрешенных сообщений как элементы управления белого или черного списка;
  • выявлять и блокировать сообщения в зависимости от размера полезной нагрузки;
  • анализировать передаваемые данные, выявлять и блокировать сообщения при нахождении аномалий;
  • управлять SSL-сертификатами;
  • управлять учетными данными M2M.

 

Представленные сценарии можно использовать не только в энергетическом секторе, но и в компаниях из других отраслей, обладающих крупными распределенными системами IoT/IIoT.

Павел Волчков

Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»

Комментарий

 

Якорь или драйвер

 

Обсуждение взаимоотношений ИБ и бизнеса ведется беспрестанно. Что бизнес видит в информационной безопасности: накладные расходы или точку роста? Как убедить топ-менеджмент компании в необходимости вложений в ИБ? Как обосновать бюджеты: через риски, комплаенс или «пугалки»? Этой теме посвящены сотни статей и тысячи выступлений. Глубоко убежден в том, что для обеспечения внутренней безопасности единого рецепта быть не может: все зависит от ситуации, с которой столкнулась конкретная компания, от портфеля ее услуг и их позиционирования. В конце концов, от личных взаимоотношений людей в организации и их способности убеждать и слышать друг друга. Можно привести разные примеры: где-то информационная безопасность — важнейшая корпоративная функция, а где-то лишь помеха для бизнеса.

 

Безопасность выпускаемого продукта — совсем другое дело. В этом случае ИБ становится значимым конкурентным преимуществом: вендор или сервис-провайдер, который раньше других осознает это и встроит средства ИБ в свой продукт, в долгосрочной перспективе окажется в выигрыше.

 

Яркий пример — системы дистанционного банковского обслуживания, где оценка клиентом защищенности важна не меньше, чем его мнение о функциональности.

 

Думаю, в будущем подобное ждет нас и в индустрии IIoT-устройств. Удовлетворив базовые потребности клиентов по функционалу, вендоры решений Интернета вещей обратят внимание и на аспекты безопасности. Сначала хорошим тоном, а потом уже и стандартным требованием станут использование принципов Security by Design при создании устройств, встраивание в продукты механизмов ИБ и выпуск отдельных средств защиты для работы в IIoT-среде. Только это — спрос на безопасность и готовность вендоров удовлетворить его — поможет победить «детские болезни» IIoT-индустрии. В противном случае придется каждый раз изобретать велосипед.

Уведомления об обновлении рубрик – в вашей почте

Кластерные СУБД

Направление развития информационных технологий все чаще затрагивает кластеризацию или разделение БД по нескольким серверам.

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Как изменится ритейл в 2020 году

Какие тренды характерны для отечественного ритейла, и как мировые гиганты справляются с вызовами рынка

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на обновления наших статей
Задать вопрос
редактору








Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня