Не выбираем, а сочетаем. Пассивный и активный мониторинг промышленной сети

BIS Journal №2(53)2024

11 июня, 2024

Не выбираем, а сочетаем. Пассивный и активный мониторинг промышленной сети

Вы владелец бизнеса в области промышленного производства с большим числом АСУ ТП и SCADA-систем или ваше предприятие стоит на пороге цифровой трансформации? Тогда вам понадобится серьёзная защита промышленной сети.

Если пренебречь информационной безопасностью, то последствия могут быть катастрофическими для технологических процессов. Рассказываем о базовых для защиты промышленных систем технологиях пассивного и активного мониторинга и объясняем, почему без специализированных решений вам не обойтись.

 

Зачем отслеживать трафик предприятия?

Типичное представление о кибератаке на бизнес — хакер взламывает банковскую систему и переводит миллионы на свой счёт. Но сегодня под ударом оказываются все сегменты российского бизнеса, включая производство, металлообработку, пищевую промышленность и энергетику, а киберзлоумышленники зачастую руководствуются не только финансовыми мотивами. В первом полугодии 2023 года в России вредоносные объекты были заблокированы на 31,9% компьютеров АСУ — почти на каждом третьем устройстве! 

В числе последствий кибератаки на систему управления технологическим процессом может быть не только финансовый ущерб. Мониторинг промышленной сети поможет избежать нарушений в производственных процессах и техногенных катастроф. Представьте, например, к чему может привести нарушение технологических процессов в городской системе водоочистки. Подобные объекты находятся под присмотром государства, которое тщательно следит за тем, чтобы предприятия уделяли достаточно внимания вопросам кибербезопасности. 

Почему так важно отслеживать трафик предприятия? Объединение систем АСУ ТП и ИТ повышает операционную эффективность бизнеса, но также увеличивает риск кибератак на производственные системы. Интеграция разных сетей создаёт новые пути для атакующих, а подключение промышленных устройств к сети расширяет поверхность атаки. Поэтому необходимо постоянно мониторить промышленную сеть, чтобы вовремя обнаруживать аномалии и потенциальные атаки — только так можно обеспечить оперативную и надёжную защиту инфраструктуры, её полную видимость. Однако из-за специфики промышленных систем делать это приходится очень осторожно. Применяемые методы мониторинга должны оказывать минимальное влияние на работу системы.

 

Пассивный мониторинг: проверяем трафик, не «прикасаясь» к нему

Определённые действия системы безопасности несут риски для промышленной сети. Например, когда сканирование трафика для поиска признаков атаки осуществляется в режиме подключения в разрыв канала. Все передаваемые данные пропускаются через защитное решение, которое может их изменить: вырезать данные из трафика или заблокировать коммуникации, если алгоритмы решат, что они несут угрозу. Но алгоритмы тоже ошибаются, и результатом манипуляций с трафиком может стать потеря данных от устройств или нарушение программы управления важным оборудованием. Кроме того, фильтрация трафика «в разрыв» может вносить задержки, негативно влияющие на работу АСУ ТП. 

Помимо активного мониторинга сети, популярно её сканирование для поиска уязвимостей и активные опросы устройств. Однако к последним может быть чувствительно промышленное оборудование, не предназначенное для взаимодействия по общеприменимым протоколам. 

Для бережного, неинвазивного анализа трафика используется пассивный мониторинг: специалисты ведут наблюдение, используя только его копию. Для этого настраивается зеркалирование трафика — на коммутаторе, поддерживающем такую технологию (на некоторых устройствах она называется SPAN, Switched Port Analyzer), создаётся параллельный канал, куда копируются пакеты данных, передаваемые между активами сети. Дубли пакетов отправляются на локальный сервер для анализа различными методами. 

Что можно узнать, «прослушивая» трафик? Рассмотрим на примере промышленной XDR-платформы одного из российских производителей. Пассивный мониторинг, встроенный в платформу, даёт возможность выполнять следующие задачи. 

Инвентаризация. Первое, с чего начинается любая реализация программы ИБ, — это составление глобального списка активов, подключённых к промышленной сети. Уже здесь возникает необходимость в применении специализированного решения: только оно сможет опознать весь спектр подключённого оборудования, включая промышленные контроллеры. Задача решения — «увидеть» в сети:

  • АРМ (автоматизированные рабочие места) и серверы;
  • переносные устройства (ноутбуки, смартфоны, планшеты);
  • сетевое оборудование (маршрутизаторы, коммутаторы и т. д.);
  • промышленное оборудование (промышленные контроллеры, интеллектуальные электронные устройства, конверторы протоколов);
  • вспомогательное оборудование (принтеры, источники бесперебойного питания, системы хранения данных);
  • умные IoT-устройства с подключением к интернету: различные датчики, веб-камеры, замки и т. д.

Все эти устройства могут быть использованы для кибератак на промышленную сеть, поэтому их мониторинг обязателен.

Обнаружение нелегитимных подключений и коммуникаций. Анализ трафика позволяет обнаружить новые хосты в сети, включая нежелательные (к таким могут быть отнесены и мобильные телефоны или планшеты), с помощью машинного обучения строить профиль разрешённых сетевых коммуникаций, а затем обнаруживать аномалии, например незапланированные сеансы удалённого подключения и отдельные сессии связи между устройствами, распространение вредоносного ПО в сети. 

Обнаружение критических команд для промышленных устройств. Если в решении есть технология глубокого анализа пакетов DPI (Deep Packet Inspection), то с её помощью можно отслеживать отправку команд остановки, перезагрузки, форматирования, смены уставки, смены режима работы и параметров загрузки, передаваемых на промышленные контроллеры и другие интеллектуальные устройства.

Достаточно ли пассивного мониторинга для стопроцентной видимости в промышленной сети? Чаще всего нет. В сетевом трафике может быть недостаточно данных, чтобы точно определить атрибут актива пассивными методами. Кроме того, пассивный мониторинг не позволяет получить информацию быстро, так как приходится ждать и надеяться на появление данных об устройствах в трафике. Если нужна большая надёжность и оперативность в получении данных, можно рассмотреть применение активного опроса.

 

Активный мониторинг: необходимы решения с доказанной безопасностью для промышленного оборудования

Пассивный мониторинг — это интроверт на публичном мероприятии, наблюдающий за окружающими и пытающийся составить представление о них из подслушанных разговоров. Чтобы получить конкретную информацию, гостю придётся принимать активное участие в беседе и задавать интересующие его вопросы — так работает активный мониторинг. Чтобы опросить конкретное устройство в промышленной сети, придётся подключаться к нему, передавать дополнительный трафик по сети, выполнять на нём инструкции. 

Активный мониторинг может быть очень эффективным для сбора исчерпывающей информации о профиле и конфигурации. Как минимум с его помощью можно получить: IP и MAC-адрес, название вендора и модель устройства, версии прошивки, данные об установленном ПО и версии ОС. Существуют решения для промышленных предприятий, которые поддерживают язык OVAL (Open Vulnerability and Assessment Language, открытый язык описания и оценки уязвимостей), что позволяет провести полноценную оценку сетевого оборудования и рабочей станции с ОС Windows или Linux на наличие уязвимостей и соответствие политикам безопасности — от версий конкретных программ до разрешения на автозапуск с USB-накопителя. 

Как мы упоминали, активного мониторинга в промышленной среде предпочитают избегать. Это связано в том числе с особенностями оборудования, подключённого к сети. В ИТ-среде для поиска открытых портов, которые могут быть использованы злоумышленниками, используется сканирование оборудования по нескольким общепринятым протоколам.

Многие промышленные устройства, особенно устаревшие, не предназначены для ответа на запросы этих протоколов или приём запросов от них. Иногда отправка активных запросов на ПЛК может даже привести к сбою в его работе или поломке. Поэтому любые предназначенные для корпоративных сетей сканеры уязвимостей и портов не должны использоваться в промышленной среде. 

Тем не менее промышленное оборудование можно опрашивать активным методом, но с пониманием его специфики и ограничений. Решение с таким функционалом существует, то есть безопасное взаимодействие в рамках активного мониторинга с десятками моделей промышленных устройств от разных вендоров возможно.

 

Синергия пассивного и активного: преодолеваем ограничения технологий, используя их вместе

Не существует универсального подхода к обнаружению активов и анализу происходящего в промышленной сети — скорее всего, для решения ваших задач понадобятся инструменты пассивного мониторинга и дополнительные возможности для активного опроса. Один из примеров комбинированного использования — постоянный анализ трафика сети с помощью пассивного мониторинга с автоматическими плановыми проверками-опросами раз в 1–2 месяца активными методами сбора данных для подтверждения соблюдения политик безопасности.

 

Обогащаем данные: как получить дополнительную информацию для расследования угроз

Комбинация пассивного и активного мониторинга помогает достаточно точно оценить происходящее в промышленной сети и состояние подключённых к ней активов. Но если происходит сложная атака или вы хотите досконально разобраться в инциденте, потребуется ещё больше данных.

Их можно получить с помощью технологии EDR (Endpoint Detection and Response), которая позволяет проактивно обнаруживать нетиповые угрозы и целевые атаки на конечных точках. EDR записывает все события, происходящие на конечных точках, обеспечивая наиболее полные данные для расследований и исправления инцидентов безопасности. Если в решение для защиты промышленных устройств входит такая технология, то можно будет видеть не только информацию, полученную путём мониторинга сети, но и все события на хосте, связанные с инцидентом. Это помогает отследить источник угрозы или путь его проникновения в сеть, а также предупредить дальнейшее развитие атаки.

 

Выводы

  • Сеть промышленного предприятия с автоматизированными системами управления нуждается в специализированных средствах кибербезопасности. Обычные, предназначенные для корпоративной сети, не подходят: промышленные устройства могут быть чувствительны к их запросам и дополнительному трафику.
  • Основным методом наблюдения за происходящим в промышленной сети является пассивный мониторинг, который позволяет анализировать трафик, не нарушая его. Однако с помощью пассивного мониторинга не всегда можно получить полную информацию об устройстве или сделать это оперативно.
  • Активный мониторинг, в том числе с помощью запросов на языке OVAL, помогает получить исчерпывающую информацию об устройстве в сети. Однако из-за специфики промышленного оборудования его опрос должен проводиться максимально аккуратно, только по предусмотренным производителем протоколам. Корпоративные сканеры сети для этого не подойдут, так как могут вызвать сбои оборудования. Правильная реализация активного опроса позволяет свести возможность негативного воздействия на технологический процесс к нулю.
  • Синергия между пассивным и активным мониторингом позволяет обеспечить полную прозрачность промышленной сети, отслеживать применение политик безопасности и своевременно реагировать на инциденты, минимизируя возможные ущербы и риски.
  • Для расследования инцидентов ИБ и сложных атак необходимы дополнительные данные о событиях на пострадавшем хосте. 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.09.2024
Невский экспресс. Питерские чиновники спускаются ниже радаров с помощью московского ПО
13.09.2024
Кибермошенники делают всё больше работы за жертву
13.09.2024
Fortinet не стала платить взломщику
13.09.2024
Moscow Forensics Day 2024 — кратко
13.09.2024
Инфляционное давление поднимается
12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco
12.09.2024
Мошенники пугают отельеров понижением социального рейтинга
12.09.2024
Банк России готовится к массовому использованию цифрового рубля
12.09.2024
Остерегайтесь синдрома «мы всегда так делали». Как повысить эффективность SOC и избежать выгорания команды

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных