Кибербезопасность промышленности. К чему готовиться и как защититься в 2021 году
Проблемы информационной безопасности выходят на первый план во многих отраслях, и промышленность не исключение, так как после «удивительного» 2020 года и массового перехода на удалёнку некогда популярный тезис «мы не боимся кибератак, поскольку отключены от интернета», больше не работает.
Из публичных историй конца 2020 можно привести в качестве примера остановку производства крупного мебельного производителя Steelcase по вине вымогательского ПО. Если говорить про Россию, то в октябре 2020 года злоумышленникам удалось взять под управление одно из предприятий в Рязани, относящееся к значимым объектам КИИ. Примечательным здесь стал финал: виновника допущенной ошибки нашли внутри предприятия и наказали сотрудника согласно КоАП.
Законодательство в области безопасности КИИ призывает руководителей промышленных компаний к обеспечению безопасности. Однако если изучить статистику привлечения к ответственности по профильной статье 274.1 УК РФ за всё время её действия, то большинство случаев наказания виновных связано с неправомерным доступом к детализации или иным сведениям операторов связи. И всего лишь несколько судебных дел, связанных с кибератаками, доведены до привлечения виновных к ответственности (хотя именно это соответствует изначальному смыслу ФЗ-187 от 26.07.2017) или вымогательство с подтверждённым финансовым ущербом.
Самое интересное, что в документах регуляторов (приказах ФСТЭК и ФСБ) заложен процессный подход к построению системы защиты объектов КИИ, к числу которых относится множество промышленных предприятий. Таким образом, от выполнения формальных требований фокус должен смещаться к предотвращению неправомерного воздействия на информацию, защите от реальных атак (приводящих к ущербу), обнаружению, реагированию и расследованию инцидентов. «Гарда Технологии» поддерживает такой практический подход и с помощью технологий собственной разработки помогает производственным предприятиям и другим компаниям решать «боевые» задачи безопасности.
Что происходит в производственной сети?
Уверены, что знаете всё о происходящем не только в корпоративной, но и в производственной сети? Согласно данным исследования SANS 2020 года, меньше 30% специалистов по безопасности отвечают утвердительно на подобный вопрос, при этом почти 60% уверены, что недостаточная прозрачность сетей несёт высокие риски их безопасности (рис. 1).
Рисунок 1. Риски безопасности для производственной сети
Самое важное в работе современного специалиста по безопасности – суметь обнаружить угрозу инцидента до его наступления. Не получится защититься от всего сразу, потому важно обращать внимания на индикаторы, с высокой долей вероятности сигнализирующие о проблемах в ИБ. Если говорить о мониторинге промышленной сети, то к таким можно отнести:
- ошибки разграничения доступа;
- появление новых неучтённых устройств;
- появление нетипичного трафика и возникновение аномалий;
- непроизводственная активность на подключённых в сеть устройствах.
Всё это может привести к опасным последствиям, например:
- заражению устройств и захвату управления;
- нарушению технологических процессов;
- несанкционированной передаче данных вовне;
- проникновению в другие сегменты сети.
Решать указанные задачи и пресечь кибератаки помогает система обнаружения и расследования сетевых инцидентов «Гарда Монитор». Приведём несколько примеров.
Один из механизмов, который мы часто применяем на практике, – контроль сетевых соединений на периметре технологического сегмента за счёт глубокого разбора содержимого пакетов и сигнатурного анализа трафика. «Гарда Монитор» позволяет обнаружить (рис. 2):
- возникновение нелегитимного трафика (игровой, YouTube, BitTorent и т. п.);
- подключение к SCADA-серверу из внешнего сегмента и изменение параметров работы технологического оборудования;
- сканирование хостов технологического сегмента сети;
- эксплуатацию уязвимостей в ПО устройств;
- ошибки в настройках межсетевых экранов и маршрутизаторов.
Рисунок 2. Промышленный трафик — отображение в интерфейсе «Гарда Монитор»
«Гарда Монитор» способна разбирать популярные промышленные протоколы до уровня команд, что позволяет максимально точно учитывать специфику технологических сетей при детектировании киберинцидентов.
Другой пример – контрольсетевых соединений внутри технологического сегмента. Используя «Гарда Монитор», служба безопасности осуществляет:
- инвентаризацию устройств и служб (по используемым протоколам);
- автоматическое выявление новых устройств и служб;
- прозрачное понимание команд, передаваемых внутри промышленных протоколов;
- выявление вредоносной активности или действий злоумышленников с помощью автоматического обнаружения аномального поведения устройств;
- автоматизированное уведомление о нарушениях в сети.
Наконец, стоит упомянуть о важном мероприятии, про которое нередко забывают. Но ровно до тех пор, пока не столкнутся с отсутствием или недостоверностью имеющихся данных. Речь про расследование инцидентов, фиксацию фактов и восстановление хронологии событий. «Гарда Монитор» независимо от сетевого оборудования, промышленных систем и других средств защиты фиксирует всю сетевую активность, а не только точечные «сработки». Эти сведения помогают проанализировать ход атаки или последовательность злоумышленных действий, чтобы сделать необходимые выводы, а также могут быть отправлены по запросу в компетентные органы.
Как обеспечить безопасность производственных баз данных
Сердце любой информационной системы – базы данных, иначе она просто лишена смысла. Производственные системы, системы проектирования, моделирования, учёта не исключение. Если посмотреть на самые громкие киберинциденты 2020 года, то они направлены либо на кражу данных, либо блокировку доступа к ним с целью шантажа. Самый эффективный способ контроля того, что происходит с критичными данными, — мониторинг баз данных «в непосредственной близости» от них. К подобного рода инструментам (системы DAM/DBF — Data access management — управление доступом к данным/Data base firewall — межсетевой экран баз данных) относится система защиты баз данных и веб-приложений «Гарда БД» (рис. 3). На промышленных предприятиях и объектах КИИ она позволяет:
- проводить полный аудит действий сетевых- и БД-администраторов промышленных баз;
- защищать критичные и особо важные БД;
- выявлять теневые, нелегитимные и неконтролируемые БД на промышленных объектах;
- детектировать специфичные инциденты с учётом специфики конкретного производственного объекта;
- своевременно обнаруживать критичные уязвимости и неверно сконфигурированные СУБД (в том числе на базе старого ПО);
- фиксировать и проводить независимое расследование инцидентов, связанных с базами данных.
Рисунок 3. Непрерывный мониторинг баз данных в системе «Гарда БД»
Приведём несколько сценариев использования «Гарда БД» для защиты баз данных на промышленных предприятиях, где применение любых других механизмов защиты либо неэффективно, либо не защитит от инцидента.
1) Появление баз данных, доступных вне защищённого контура. При переходе на «удалёнку» службам ИТ, в том числе производственных предприятий, пришлось срочно обеспечивать доступ к служебным ресурсам фактически откуда угодно (из дома, кафе или коворкинга). При этом вопросы безопасной организации такого доступа не всегда решаются в приоритетном порядке. «Гарда БД» способна в онлайн-режиме контролировать работу в базах, выявлять и сигнализировать о нарушении правил доступа, уязвимых или неверно настроенных СУБД, блокировать нелегитимные запросы и т. п. Это позволяет службе безопасности своевременно пресекать нарушения и минимизировать риски серьёзных последствий утечек данных, атак на СУБД и т. п.
2) Выявление нелегитимных манипуляций с промышленными базами данных с помощью нештатных средств. Чтобы получить нелегальный доступ или нарушить целостность производственной, конструкторской или любой другой системы, злоумышленники нередко действуют в обход штатных процедур работы, например, через веб-интерфейс или клиентское ПО. Для полноценного выявления такого рода инцидентов недостаточно использовать только лишь системы специализированных средств защиты на конечных устройствах. «Гарда БД» контролирует и фиксирует все обращения непосредственно в базах данных, на которых работают указанные выше системы, не оставляя «белых пятен» для службы ИБ, и позволяет обнаружить и заблокировать:
- большие единовременные выгрузки из баз данных;
- выгрузки из баз данных небольшими частями в течение определённого времени;
- попытки злоумышленника воспользоваться ИТ-инструментами, отладочными программами;
- попытки администраторов выгрузить данные, напрямую подключившись к СУБД.
3) Аттестация информационных систем промышленного предприятия в случае применения несертифицированных СУБД.
«Гарда БД» помогает выполнить нормативные требования регуляторов, в частности, отдельные положения следующих групп мер приказа ФСТЭК №239:
- ИАФ (идентификация и аутентификация);
- УПД (управление доступом);
- АУД (аудит безопасности);
- ЗИС (защита информационной системы);
- ИНЦ (обнаружение вторжений).
«Гарда БД» имеет сертификат ФСТЭК России по требованиям безопасности информации.
Основные тренды промышленной кибербезопасности в 2021 году
Все сценарии применения современных технологий для защиты от актуальных угроз в промышленности в рамках одной статьи разобрать невозможно. Ещё более неблагодарное занятие – прогнозирование. Однако попробуем наметить несколько важных трендов.
Во-первых, киберпреступники в 2020 году хорошо «почувствовали вкус наживы». Суммы выплат мошенникам за остановку атаки или восстановление доступа к данным со стороны компаний исчисляются миллионами долларов. Поэтому кибератаки на промышленные объекты будут всёбольше сфокусированы на получение выкупа.
Во-вторых, количество доступных в интернете сервисов производственных предприятий будет расти, следовательно, случайные или целенаправленные сканирования, подборы паролей, DDOS-атаки и тому подобное не потеряют актуальности.
В-третьих, цифровизация будет проникать на производства, а это значит, что вариативность традиционных для корпоративных инфраструктур инцидентов ИБ станет обыденной и для промышленных сегментов. Речь о злоупотреблениях или халатности сотрудников, атаках через классические сетевые службы и протоколы, обычные вирусы для ПК. Наконец, никуда не уходят геополитический фактор, промышленный шпионаж и конкурентная борьба.
В современных реалиях connected world (англ. «взаимосвязанного мира») не защищаться от вышеупомянутых рисков кибербезопасности может означать моментальный проигрыш и снижение темпов развития бизнеса на долгие годы вперёд.