7 шагов защиты. Кибербезопасность для управления технологическими процессами
Безопасность всегда была важным приоритетом для крупного производства. В разные эпохи менялись лишь ее особенности - до развития электронных средств связи, таких как телефон и интернет, во главу угла ставилась безопасность собственно на производстве. С развитием электронных средств связи, появилась необходимость отслеживать и эти сферы функционирования промышленного предприятия.
В последнее время аспект кибербезопасности производства все больше и больше выходит на первый план. Это и неудивительно - сейчас повсеместная распространенность гаджетов и сетей позволяют злоумышленникам, взломав всего одно устройство, нанести значительный урон производству, и даже полностью взять под контроль технологические процессы.
Последствия такого вмешательства могут оказаться катастрофическими. Достаточно вспомнить майские атаки вируса-вымогателя Wanna Cry, атаковавшего учреждения более 70 стран, и оставившего после себя десятки тысяч зараженных компьютеров. Тогда подверглись атаке в основном госучреждения. Но случись такая же массовая атака на промышленные предприятия - ущерб был бы гораздо больше.
По словам Шона Писли из компании Deloitte* в презентации на VMA в своем "Обзоре рынка 2010 года", такая ситуация сложилась в связи с тем, что внедрение интернет-сетей в промышленные предприятия изначально проводилось для скорости, доступности и удобства работы. Вопросы безопасности до недавнего времени отходили на второй план.
Сейчас ситуация изменилась. Так, Писли отметил, что уже треть промышленных предприятий (в США) сообщает об использовании "Internet of Things" (IoT)*, а еще треть - планирует это сделать в ближайшем будущем.
Около 50% производителей используют мобильные приложения. 75% производителей используют сети Wi-Fi для передачи данных в/из подключенных продуктов. Многие компании даже используют специальные датчики для обеспечения безопасности рабочих и повышения эффективности использования рабочей силы. Данные с них также передаются через сетевые устройства.
Такая ситуация приводит к возникновению на промышленных предприятиях тысяч людей с прямым и косвенным доступом к критическим системам и буквально десятков тысяч способов проникновения злоумышленников в эти системы.
Кроме того, организация внутренних сетей на многих предприятиях оставляет желать лучшего. Зачастую это бессистемный, хаотичный набор нового и старого оборудования, средств управления и сетей, смонтированных в разное время и без единой системы и понимания задач - настоящее "лоскутное одеяло". Такая ситуация приводит к увеличению уязвимости сетевых систем.
Согласно опросу, проведенному Deloitte, 50% респондентов в опросе по управлению технологическим процессом заявили, что они проверяют безопасность своей системы один раз в месяц. Этого недостаточно, ведь хакеры могут организовать DDoS* атаку или даже перехватить всю систему управления технологическими процессами предприятия, вызвав тем самым крупную аварию, в любое время
Такие угрозы уже осознают и государственные органы. Так, например, Департамент внутренней безопасности (DHS)* недавно выпустил протокол под названием "Семь шагов для эффективной защиты промышленных систем управления". Он включает следующие пункты:
1. Внедрите "белый список" приложений для защиты своего оборудования в конечных точках.
Разработка списка известных, проверенных приложений, разрешенных для запуска в вашей системе, гораздо эффективнее против вредоносного ПО, чем попытка блокировать неизвестные приложения и программы, поскольку новые вредоносные программы выходят почти ежедневно. Статический характер систем ICS (Industrial control system)* делает их идеальными кандидатами для запуска приложений с белым списком, и операторам рекомендуется работать со своими поставщиками с базовым уровнем и откалибровать эти развертывания.
Писли отметил, что важно точно знать, насколько безопасны эти приложения. Где хранится информация? Как эта система была разработана с точки зрения безопасности? "Мы должны использовать жизненный цикл безопасного программного обеспечения. При этом к вопросу следует подойти системно - с самого начала. Если вы начнете внедрять приложения бессистемно - переделка и систематизация обойдется гораздо дороже, и не будет столь же эффективна". Иными словами, проектировать сетевые системы и их защиту лучше еще на этапе проектировки самого предприятия
2. Обеспечьте правильную настройку и управление обновлениями.
DHS рекомендует начать с полной инвентаризации и внедрения базового уровня программного обеспечения. Нужно в обязательном порядке проверять загруженное программное обеспечение с помощью цифровых подписей и хешей, поставляемых поставщиком. Действительно эффективная программа идеально устраняет или ограничивает подключение внешних устройств к вашей сети управления.
Нет сомнений в том, что проведение инвентаризации программного и аппаратного обеспечения потребует много времени, но это важный шаг. Если вы не знаете, где ваши уязвимости, как вы можете создать оборонительную стратегию?
Как только вы получите полную картину своей системы и возможных уязвимостей, вы сможете настроить эффективную систему безопасности, чтобы защитить конфиденциальные данные на протяжении всего жизненного цикла. Какие типы элементов управления безопасностью следует использовать? На это вам укажет характер самих данных.
Важен своевременный бэкап. Убедитесь, что все важные данные регулярно копируются, а также убедитесь, что вы имеете беспроблемный доступ к резервным копиям. Это действительно важный аспект.
Так, например Стив Мустард, соавтор информационного документа ISA* "Промышленная кибербезопасность для малого и среднего бизнеса", однажды сказал в интервью, что люди часто не беспокоятся о резервном копировании информации, а если даже они это делают, то не помнят, где сохраняли эти копии. "Если даже вы сохранили свои данные, но не можете их использовать, это сохранение вам ничего не даст. Вы должны постоянно следить за резервными копиями. Резервное копирование и восстановление данных идут рука об руку".
3. Уменьшите поверхность атаки.
DHS рекомендует изолировать сети ICS, от "большого интернета", создать локальную сеть. Подключение в внешним сетям возможно только на строго определенных участках, где нужно создать нечто вроде шлюза. Заблокируйте все неиспользуемые порты и отключите все неиспользуемые службы.
4. Создайте защищаемую среду, имея прочный физический периметр.
Сегментировав сети, разделив их на участки, вы можете ограничить ущерб от нарушения периметра сети, если вредоносное ПО каким-то образом все же проникло в сеть предприятия. Важно уловить любые атаки в одном месте.
5. Управление аутентификацией.
DHS рекомендует удалять и/или изменять учетные записи по умолчанию. Разграничивать функции пользователей сети, вводить уровни доступа в систему, различающиеся для каждого сотрудника. Внедрить многофакторную аутентификацию, где это возможно.
Также необходимо внедрение безопасных паролей и отдельных учетных данных для корпоративных и контрольных сетевых зон. Никогда не обменивайтесь Active Directory или другими хранилищами между корпоративными сетями и внешними сетями.
6. Мониторинг и реагирование.
DHS рекомендует следить за подозрительной деятельностью в сети. Имейте систему обнаружения/предотвращения вторжений. Имейте представление, как функционирует ваша сеть в "нормальном состоянии", так вам будет легче понять, когда начнется атака. Также мелкие неполадки и тревожные "сигналы" нельзя оставлять без внимания. Зачастую это помогает купировать угрозу на ранних стадиях, еще до начала полномасштабной атаки
Также Писли предупреждает, что, вероятно, все американские компании имеющие ценные инженерные данные находятся под ударом "В США в год теряется от 200 до 300 миллиардов долларов", - сказал он. По его словам, наибольших успехов в этом добились китайцы. "Китай добился больших успехов в получении ценных корпоративных данных в США; вероятно, все ваши компании [производящие запорную арматуру] уже подвергались атакам, или были взломаны".
Стив Мустард отмечает, что самой верной стратегией для любой компании, большой или малой будет принятие того факта, что каждый находится под угрозой. "Многие компании сосредоточены на технических решениях, но забывают о людях, о человеческом факторе. Прежде всего необходимо понимать, что КАЖДЫЙ человек в организации играет свою роль в обеспечении кибербезопасности, а не только те специалисты, которым это положено по должности".
Зачастую сотрудник компании, не подозревающий о такой опасности, может скачать приложение, содержащее вирусы, может воспользоваться непроверенным носителем информации, наконец - элементарно открыть электронное письмо, содержащее троян. Следовательно, кибербезопасность компании включает в себя и инструктажи сотрудников, своевременное доведение до них информации, касающееся соблюдения мер элементарной защиты.
"В более широком смысле такая политика включает в себя и людей, не работающих в компании, но связанных с ней - например партнеров или клиентов. Они ведь тоже могут невольно отправить вам что-то зараженное".
В документе DHS также приведена информация, касающаяся мониторинга SIEM*-безопасности - входа в систему. Обязательно контролируйте использование или неправильное использование административных привилегий.
7. Внедрение безопасного удаленного доступа.
Не допускайте постоянных подключений для удаленных пользователей - например ваших поставщиков или бизнес-пользователей. Хорошим средством организации удаленного доступа является использование управляемого оператором соединения и двухфакторной аутентификации.
Мустард отмечает, что есть также ситуации, когда сотрудники должны использовать общественную, незащищенную сеть Wi-Fi, например, во время поездок. "Часто вы не можете избежать этого, но если у вас есть VPN (виртуальная частная сеть)*, есть частный канал для общения, то это значительно затруднит злоумышленникам возможность кражи информации, поскольку в таких сетях вся информация шифруется. Организовать такой канал нетрудно, но чревато определенными неудобствами, т.к. пользователю придется вводить дополнительные логин и пароль.
Однако нужно помнить, что панацеи от взломов нет, и иногда они происходят даже при совершенных мерах защиты.
У вас есть план восстановления информации после атаки?
Крайне важно иметь план восстановления. В него должны быть включены доступные резервные копии информации и четкий алгоритм действий при атаке. Все в компании должны понимать, как распознать атаку, и что может произойти, если нет доступа к данным или процессам. Все сотрудники должны хорошо знать и понимать, что делать в такой ситуации.
Если вы следовали рекомендациям и имели легкодоступные, актуальные резервные копии, у вас будет все, что вам нужно для последующего восстановления данных.
На вопрос о том, что же делать, если ваш бизнес все же стал жертвой сетевых вымогателей, Писли ответил так: "Ключевым моментом, связанным с вымогательством, является то, что ваша компьютер заблокирован, и информация, хранящаяся на нем - недоступна. Чтобы получить доступ, вам нужно заплатить. Но гораздо лучшим выходом будет полное форматирование носителей жестких дисков, подвергшихся заражению, а затем - восстановление информации с помощью резервной копии. Если же вы решите заплатить - вы будете платить потом снова и снова. К тому же не факт, что заплатив, вы получите доступ к информации. Не нужно говорить, что словам злоумышленников доверять не стоит.
Заключение
Таким образом, в наше время существует огромное количество программ и приложений для отслеживания и контроля данных, а также множество программных продуктов, способных предотвратить большинство кибератак. Однако, всегда нужно помнить о человеческом факторе. Даже если вы выделяете огромные финансовые ресурсы на сетевые брандмауэры, фаерволы, антивирусы и виртуальные частные сети (VPN), в том случае если ваш персонал недостаточно подготовлен, возможно, на ваше предприятие будут происходить кибератаки.
Источник статьи - журнал valvemagazine.com
Примечания:
* Deloitte - Deloitte Touche Tohmatsu Limited (произносится «Делойт Туш Томацу Лимитед»; как правило упоминается просто как Deloitte/«Делойт») — международная сеть компаний, оказывающих услуги в области консалтинга и аудита.
* Internet of Things (IoT) - Интернет вещей, концепция вычислительной сети физических предметов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.
* DHS (Department of Homeland Security) - Министерство внутренней безопасности. Согласно акту Конгресса о внутренней безопасности компетенция министерства внутренней безопасности сводится к борьбе с терроризмом, его последствиями и последствиями стихийных бедствий, незаконной торговлей наркотиками
* ICS (Industrial control system) - общее понятие, используемое для обозначения нескольких типов систем управления, включая системы диспетчерского управления и сбора данных (SCADA), распределённые системы управления (DCS) и другие виды систем управления, которые можно встретить в промышленных секторах критически важных инфраструктур. В российской терминологии соответствует понятию АСУ
* SIEM (Security information and event management) — управление информационной безопасностью. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений.
* DDoS (Distributed Denial of Service) — распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов