Реагирование на инциденты в IT- и OT-сегментах сети с риск-ориентированным подходом. Рекомендации от Security Vision
Сети предприятий могут включать в себя много объектов, которые можно разделить на два крупных лагеря: информационные и промышленные технологии.
- Промышленный сегмент включает коммутаторы и маршрутизаторы, совместимые с промышленными протоколами (например, Modbus, OPC-UA, Profinet), системы управления процессами (SCADA) для контроллеров и устройств управления (PLC, RTU, DCS и др.), то есть операционные технологии, OT (Operational Technology);
- Почтовые серверы, мессенджеры, системы управления ресурсами предприятия (ERP) и клиентами (CRM) состоят из классических ИТ-объектов (компьютеров, серверов, баз данных, операционных систем и приложений, маршрутизаторов, коммутаторов и так далее) и составляют собой сегмент IT (Information Technology).
Отличия между OT и IT сегментами связаны с их назначением, архитектурой, требованиями и особенностями эксплуатации: цель работы первого — управление физическими процессами и оборудованием, в то время как ай-ти сосредотачивается на обработке, хранении и передаче данных. В связи с этим триада «целостность-конфиденциальность-доступность» имеет различный приоритет для сегментов: для OT на первое место выходит доступность процессов, далее их целостность и конфиденциальность (ДЦК), а для IT-сегмента в приоритете — конфиденциальность, триада выглядит как «конфиденциальность-целостность-доступность» (КДЦ) — это учитывается при построении ресурсно-сервисной модули в модуле SV AM.
Промышленный сегмент напоминает в бытовом плане надёжную технику, например, плиту или бойлер, главная задача которых — всегда работать, даже если она устарела (эту технику обновляют редко, а сбой может серьёзно повлиять на повседневную жизнь). IT же можно сравнить с вашим компьютером или смартфоном: вы на нём работаете, храните личные данные и постоянно обновляете программы, чтобы быть защищёнными (этот стек технологий гибок, но уязвим к потерям информации). Поэтому для обеспечения высокого уровня безопасности стоит отталкиваться от особенностей подсетей:
- В промышленности оборудование используется десятилетиями, а совместимость новых решений с устаревшими (legacy) системами — большая проблема. Атаки на OT могут приводить к физическому ущербу, остановке производства или даже риску для здоровья и жизни людей. OT-системы часто изолированы от внешнего мира (air-gapped), но с ростом IoT и Industry 4.0 они становятся все более связанными с IT-сетями. Некоторые системы нельзя выключить для обновления или тестирования, так как это может привести к остановке производства, поэтому и доступность находится на первом месте.
- Главная цель информационных систем — обеспечить безопасное и эффективное управление информацией, нарушение конфиденциальности которой (например, утечка клиентской информации) приводит к репутационным и финансовым потерям. IT-сегмент динамичен, технологии и системы обновляются постоянно, новые уязвимости часто закрываются регулярными патчами, а связи с интернетом, облачными платформами и другими сетями делают сегмент более подверженным кибератакам.
Проговорив отличия, мы выделим несколько точек пересечения, на которых основывается методика построения общего центра киберзащиты SOC:
- Системы мониторинга OT передают данные в IT для аналитики и управления бизнес-процессами — необходима платформа для интеграции;
- Устройства Интернета вещей (IoT) связывают IT и OT, создавая новые риски — необходимы средства оркестрации и единого управления процессами;
- Современные атаки (например, ransomware) могут затрагивать как IT-, так и OT-сегменты — поэтому SOC для обоих сегментов основывается на продвинутых способах реагирования с максимальной автоматизацией и единым центром управления.
Эксперты Security Vision подготовили для вас пошаговую инструкцию по построению эффективного центра кибербезопасности.
Шаг 1: Оценка текущего состояния
Проведите аудит сетей IT и OT, чтобы понять их структуру, активы, угрозы и уязвимости. Результатом этого этапа будет определение критичных данных, устройств и систем, мест хранения и обработки информации, приоритетов активов и рисков, готовых для последующего анализа. Управление активами и инвентаризацией (AM/CMDB) и конфигурациями технологических платформ (SPC) стоит выбирать исходя из гибкости, возможностей подключения любых источников данных и гибкости управления конфигурациями, чтобы текущие параметры можно было приводить к эталонным значениям автоматически или по простому нажатию кнопки в интерфейсе.
Шаг 2: Создание единой команды и планов
Организуйте группу специалистов из IT и OT с чётким распределением ролей (IT-эксперты разбираются в данных и современных угрозах в то время, как OT-специалисты понимают специфику оборудования и критические процессы), разработайте план реагирования на инциденты, который охватывает обе среды с учётом процедур, приоритетов и допустимых сроков восстановления, инструкций по изоляции, восстановлению и эскалации инцидентов. Новейший подход к реагированию с объектно-ориентированным подходом и применение динамических плейбуков, которые подстраиваются под окружение, лежат в основе модуля управления инцидентами (SOAR).
Шаг 3: Сегментация и защита сетей
Сегментируйте IT и OT-сети, чтобы минимизировать риск распространения атак: внедрите межсетевые экраны с правилами, ограничивающими взаимодействие между IT и OT, используйте VLAN или физическое разделение сетей, установите специализированные системы обнаружения вторжений (IDS), адаптированные для промышленных протоколов (например, Nozomi, Claroty), настройте системы мониторинга событий и корреляции инцидентов (SIEM в составе комплекта NG SOAR) и мониторинг физического оборудования (например, через SCADA). Для защиты сетей также применяются сканеры защищённости (VS) и системы управления уязвимостями (VM), которые поддерживают автопатчинг и автоматическую проверку исполнения задач, как, например соответствующие модули Платформы Security Vision.
Шаг 4: Централизация мониторинга и корреляции
Внедрите единую платформу для управления инцидентами (интеграция SIEM и IDS при помощи SOAR), обеспечьте видимость обеих сред через SOC, настройте уведомления и приоритеты для них. Платформенный подход к разработке решений Security Vision позволяет пользователям изменять логику работы отдельных модулей и создавать персональные витрины данных и доступных действий для всех участников процесса.
Шаг 5: Автоматизация реагирования
Пропишите правила, когда вмешательство будет происходить автоматически, а когда требуется ручное подтверждение (например, для IT быстрое изолирование заражённых устройств, обновление политик безопасности автоматизируется в первую очередь, а для OT можно автоматизировать переключение на резервное оборудование или снижение мощности оборудования в случае угрозы). При анализе сложных инцидентов в автоматизации также участвуют технологии ИИ: внедрённые в SV SOAR ML-модели позволяют проводить анализ вердиктов и указывают сотрудникам на возможные ложноположительные срабатывания, а интеграция с LLM-моделями в решениях Security Vision делают их (например, ChatGPT и YandexGPT) ИИ-помощниками для аналитиков не только в поиске информации, но и в анализе индикаторов компрометации.
Шаг 6: Постинцидентный анализ и риск-ориентированный подход
Моделирование угроз упрощает анализ рисков (RM) и влияния инцидента на бизнес-процессы, комплаенс и аудит (CM) учитывает особенности объектов КИИ и требования других нормативно-методических документов, а управление непрерывностью (BCP) позволяет проводить разработку планов восстановления деятельности (DRP, Disaster Recovery Plan) и GAP-анализ с оценкой последствий в финансовом выражении: расхождения в показателях RTO (Recovery Time Objective), RPO (Recovery Point Objective) и MTPD (Maximum Tolerable Period of Disruption).
Комплексная система, построенная на основе наших рекомендаций и продвинутых технологий, будет готова к росту инфраструктуры или изменениям в процессе. Это обеспечит не только быстроту и точность реакции, но и минимизацию рисков для бизнеса и процессов.
Реклама. ООО «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», ИНН: 7719435412, Erid: VfnxyH6k56
.png)
.png)