Безопасность АСУ ТП: комплексный подход
Самый традиционный подход к защите АСУ ТП сводится к тому, чтобы сеть производственной автоматизации была физически изолирована от Интернета и от корпоративной сети. Ставшие известными случаи атак на промышленные комплексы показали, что воздушный зазор не панацея и достаточно одной умело подсунутой флэшки, чтобы остановить производство.
Атаки могут иметь разные цели и разных заказчиков. Ее могут организовать конкуренты либо желая узнать больше о процессах и рецептурах, либо намереваясь вызвать выпуск бракованной продукции или даже вообще остановить производство. На предприятиях критической инфраструктуры возможна целевая атака с задачей разведки.
Это длительные, хорошо спланированные акции, могут продолжаться месяцами, от инфицирования до начала атаки. Но даже если нет никакого злого умысла, случайное заражение из корпоративной сети или через твердые носители приводит к простоям, сбоям, остановке выпуска продукции. Явление это очень распространенное: как показало исследование Kaspersky ICS CERT, в 2019 году вредоносные объекты были заблокированы на 46,6% компьютеров АСУ.
Проблемы традиционного подхода
Решение кажется достаточно простым: установить в промышленной сети традиционное антивирусное ПО для конечных точек. Но есть ряд ограничений. Самое важное - этого не стоит делать из-за особенностей АСУ ТП. Более того, классические антивирусы не всегда поддерживают старые версии ОС, которые до сих пор используются в производстве, и часть вредоносного ПО всё же сможет оказать воздействие. Также могут возникнуть конфликты между таким решением и легитимным программным обеспечением производителей систем автоматизации, что потенциально повлечёт простои или некорректную работу.
Практика показывает, что на промышленном оборудовании часто эксплуатируются устаревшие версии ОС, регулярных апгрейдов не проводится. Это само по себе влечет больший риск: для атак могут использоваться даже давным-давно известные уязвимости. Однако чтобы просто запустить в работу на такой ОС обычное антивирусное ПО, приходится делать апгрейды, а это время и средства.
Качественная и надежная защита АСУ ТП может быть только комплексной. Она должна включать средства предотвращения случайных заражений и целенаправленных атак, обеспечивать мониторинг промышленных сетей и обнаружение аномалий для выявления вредоносных действий на уровне программируемых логических контроллеров. Желательно проводить систематические исследования инфраструктуры, а также обучать персонал.
Традиционные решения для корпоративных сетей не способны защитить промышленные среды от киберугроз, они для этого не предназначены. Необходимы специализированные решения именно для производственных сетей.
Комплексное решение было предложено «Лабораторией Касперского» пять лет назад под названием Kaspersky Industrial CyberSecurity (KICS). Это стало началом новой стратегии компании – увеличение предложений для корпоративного сектора. Подход оказался удачным: за эти годы многие крупные компании начали использовать KICS, в том числе «Павлодарский нефтехимический завод», «Северсталь», «Татнефть», «Мосгаз». «Исследование общего экономического эффекта (Total Economic Impact) решения Kaspersky Industrial CyberSecurity», проведённого Forrester в апреле 2019 г., показало, что окупаемость инвестиций в KICS для компании составляет 368%.
Продукт постоянно совершенствуется, в 2020 году «Лаборатория Касперского» была отмечена в четырех категориях отчета Gartner по промышленной безопасности «Competitive Landscape: Operational Technology Security»: защита конечных узлов АСУ ТП; мониторинг промышленных сетей; обнаружение аномалий, реагирование на инциденты, отчетность; сервисы промышленной кибербезопасности.
Клиенты также высоко оценивают достоинства продукта: по состоянию на 27 июля 2020 года Kaspersky Industrial CyberSecurity имеет рейтинг 4.7 из 5 и самое большое количество отзывов на сайте Gartner Peer Insights в разделе промышленной безопасности.
Функциональность продукта
Kaspersky Industrial CyberSecurity – это набор сервисов и решений, который включает в себя ряд программных продуктов. Одна из ключевых задач обеспечения ИБ АСУ ТП – контроль целостности сети: анализ трафика, отслеживание всех запускаемых программ и подключаемых устройств. Другая – контроль безопасности производственного процесса, наблюдение за работой программируемых логических контроллеров. KICS может быть развернут как программный продукт или как физическое или виртуальное устройство, пассивно подключенное к АСУ ТП. Пакет работает с копией трафика, поэтому не замедляет его и не влияет на ход технологических процессов.
Продукт состоит из трех компонентов. KICS for Nodes обеспечивает безопасность серверов АСУ ТП, человеко-машинных интерфейсов и рабочих станций от киберугроз. Другой компонент – KICS for Networks – функционирует на уровне протокола связи, анализируя промышленный трафик на предмет аномалий. Kaspersky Security Center выполняет централизованное управление безопасностью. Этот модуль обеспечивает простоту контроля и прозрачность не только для промышленных уровней инфраструктуры на множестве объектов, но и для окружающих корпоративных сетей.
Среди преимуществ KICS for Networks - пассивная идентификация и инвентаризация устройств в сети, телеметрический анализ технологических процессов практически в режиме реального времени, обнаружение несанкционированных хостов и потоков в сети, система обнаружения вторжений и предупреждения о манипуляциях в сети, проверка команд, передаваемых по промышленным протоколам, интеграция через API-интерфейс со сторонними системами обнаружения. Особый интерес представляет машинное обучение для обнаружения аномалий (MLAD). Реализована телеметрия в режиме реального времени и обработка исторических данных (рекуррентная нейронная сеть) для обнаружения киберугроз и физических нарушений безопасности. Решение легко масштабируется.
ARC Advisory Group отмечает, что в Kaspersky Industrial CyberSecurity представляет уникальную комбинацию машинного обучения аналитических данных и экспертизы специалистов, которая помогает обеспечить адаптивную защиту против любого вида киберугроз.
Примеры использования и экономическая эффективность
Один из последних проектов внедрения Kaspersky Industrial CyberSecurity был реализован в АО «МОСГАЗ». Перед организацией стояла задача обеспечить защиту своей промышленной инфраструктуры от киберугроз и повысить надежность автоматизации предприятия в целом. Было решено внедрить в действующую автоматизированную систему управления (далее – АСУ ТП) Общества программно-аппаратный комплекс с функционалом обнаружения вторжений и контроля целостности как самой корпоративной вычислительной сети, так и технологических процессов управления промышленной инфраструктурой. Важными условиями, предъявляемыми АО «МОСГАЗ» к защитному решению, были возможность тестирования и глубокая интеграция в действующую автоматизированную систему, осуществляющую дистанционное управление устройствами газораспределительной сети Общества. Компания ARinteg и «Лаборатория Касперского» успешно внедрили решение Kaspersky Industrial CyberSecurity в инфраструктуру АО «МОСГАЗ» и ввели его в промышленную эксплуатацию.
Исследование Total Economic Impact, проведенное агентством Forrester по заказу «Лаборатории Касперского», апрель 2019 г., показало, что опрошенный в ходе исследования клиент компании получил следующие финансовые результаты от внедрения KICS.
Сэкономленные расходы на вынужденные простои составили $1,7 млн, на обновление ОС - $461 495, на устаревшее антивирусное ПО для конечных точек - $49 995.
Затраты были оценены следующим образом. Плата за программное обеспечение: организация оплачивала стоимость лицензий на ПО KICS for Nodes на три года на общую сумму $201 904 по текущей стоимости. Затраты на внедрение: организация назвала процедуру внедрения удобной и беспроблемной. Следуя своему стратегическому плану, опрошенная компания постепенно установила KICS for Nodes на 450 компьютерах. Включая усилия по планированию и утверждению внедрения совокупная стоимость миграции (в эквиваленте чистой выгоды за три года с поправкой на риск) составила $25 310. Операционные затраты на управление за три года составили $243 736 в эквиваленте чистой выгоды.
Интервью Forrester с существующим клиентом и последующий финансовый анализ Forrester показали, что выгоды опрошенной организации составляют $2,2 млн за три года, а затраты за аналогичный период — $470 950, то есть чистая текущая выгода равна $1,7 млн, а рентабельность инвестиций — 368%.
Опубликовано 03.08.2020