Власти США выпустили новое руководство, подробно описывающее применение принципов нулевого доверия в средах операционных технологий (ОТ). В нём изложены практические шаги по обеспечению безопасности критически важной инфраструктуры.
Документ разработан межведомственной рабочей группой под руководством Агентства по кибербезопасности и защите инфраструктуры США (CISA). Авторы отдают приоритет непрерывной работе и подчёркивают, что традиционные ИТ-ориентированные подходы не могут быть напрямую применены к ОТ из-за устаревших систем, ограниченной видимости и строгих требований к доступности.
Промышленные системы становятся всё более взаимосвязанными, и поверхность атаки расширяется, создавая новые пути для злоумышленников. В отчёте отмечается, что хакеры используют слабую сегментацию, скомпрометированные учётные данные и уязвимости цепочки поставок для перехода из ИТ-сетей в сети ОТ.
ВПО демонстрирует способность нарушать физические процессы, в то время как методы «жизни за счёт ресурсов системы» (LOTL) позволяют атакующим сливаться с обычными операциями. Эти разработки сделали периметровую защиту недостаточной и обусловили переход к моделям нулевого доверия. В руководстве говорится, что киберинциденты в ОТ могут привести к реальным последствиям, включая сбои в работе сервисов, повреждение оборудования и угрозы безопасности.
Вместо того чтобы предлагать единое решение, ведомства описывают многоуровневый подход, адаптированный к операционным условиям. Он предполагает всеобъемлющую инвентаризацию активов с использованием пассивного мониторинга, сегментацию сети, внедрение средств контроля идентификации и доступа, адаптированных к устаревшим системам, многофакторную аутентификацию и управление рисками цепочки поставок. Также отмечена важность сотрудничества между ИТ-, ОТ- и ИБ-командами для обеспечения баланса между защитой и непрерывностью работы.
Плюс, в новой стратегии уделяется внимание планированию реагирования на инциденты и процессам восстановления. Организациям рекомендуется согласовывать данные меры с существующими процедурами в вопросах безопасности и непрерывности бизнеса, чтобы минимизировать сбои. Регуляторы подводят к идее, что внедрение Zero Trust в ОТ направлено не на полное устранение рисков, а на повышение устойчивости за счёт принятия обоснованных решений с учётом контекста.
Усам Оздемиров
.jpg)
.png)