Объекты КИИ: эшелонированная защита от кибератак
С началом пандемии эксперты отмечают рост кибератак во всех отраслях экономики. Повышенное внимание хакеров наблюдалось также к объектам критической инфраструктуры, системам жизнеобеспечения и госуправления. О том, как менялись в этом году векторы атак, каналы утечек, какие ошибки допускались чаще всего специалистами по ИБ и как обеспечить безопасность АСУ ТП рассказывает Игорь Душа, директор по развитию продуктов для защиты информации в АСУ ТП, InfoWatch ARMA.
Есть ли внутри КИИ разных отраслей отличия по характеру атак? Например, транспорт и ТЭК.
Начнем с того, что все атаки можно поделить на целевые (APT) и нецелевые. Нецелевые атаки (или массовые) одинаковы по своей природе. По-прежнему основными источниками угроз нецелевых атак для предприятий всех отраслей промышленности остаются Интернет, съемные носители и электронная почта. Атаки на ОТ-сети продолжают идти со стороны корпоративного сегмента. Примером тому служит лавина вирусов-шифровальщиков, которая была зафиксирована в первом полугодии 2020 года, когда предприятия вынуждены были перестраивать процессы и переходить на удаленный режим работы. Вот некоторые из них. В апреле 2020 года была совершена атака на португальскую энергетическую компанию EDP с кражей конфиденциальной информации о счетах, договорах, транзакциях, клиентах, партнерах, произведенная с помощью шифровальщика Ragnar Locker. Киберпреступники потребовали выкуп в размере $10,9 млн. В июне этого же года с помощью вируса Sodinikibi зашифровали системные файлы бразильской энергетической компании Light S.A. Требование выкупа составило $7 млн в криптовалюте Monero, потом сумму удвоили.
Целевые атаки для каждой отрасли действительно будут различаться. Но нужно заметить, что их отличие становится сильным только на последних стадиях реализации атаки. Это хорошо видно на примере визуализации стадий атак по MITRE ATT&CK (это общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT). Первые этапы: разведки, проникновения, закрепления на атакуемом объекте – будут мало отличаться друг от друга, и даже больше – могут быть идентичны при схожей архитектуре и оборудовании.
Отличия же будут относиться к поздней стадии атак – стадии выполнения вредоносного воздействия (прим. – impact по MITRE), поскольку эта стадия будет зависеть от оборудования, архитектуры системы, найденных или купленных злоумышленником уязвимостях и других факторов.
Важно отметить, что именно из-за схожести атак в разных отраслях на первых этапах проведения возможна защита типовыми средствами защиты информации. Естественно, СЗИ будет отличаться для различных по своей структуре систем, например банковских и АСУ ТП. А вот защита что в металлургической, что в химической отрасли может быть основана на одних и тех же продуктах. Мы в InfoWatch ARMA сторонники комплексного подхода, который заключается в применении одного комплекса защиты информации для различных отраслей. При этом настройка и место применения комплекса уже будет различаться от системы к системе, что и позволит учесть уникальные особенности системы и возможные нюансы в проведении атаки.
Какие наиболее частые ошибки при защите КИИ совершаются техническими специалистами компаний?
Типовые ошибки, как правило, происходят на этапе присвоения объекту категорий значимости. Компаний, которые завершили внедрение по результатам категорирования на сегодняшний день недостаточно, чтобы говорить о типовых ошибках на последующих этапах. Более того, после завершения категорирования чаще всего заказчикам помогают интеграторы информационной безопасности, имеющие значительный опыт внедрения решений по защите информации, что уменьшает количество совершаемых заказчиками ошибок.
Если говорить про компании, которые самостоятельно закупают и внедряют средства защиты, то мы можем рассказать об ошибках, наблюдавшихся на этапах проектирования и внедрения средств защиты информации. Некоторые из них были связаны с тем, что заказчики упускали из виду требования безопасности или особенности эксплуатации систем защиты информации. Одной из таких особенностей для промышленных систем можно считать необходимость дополнительного тестирования СЗИ перед внедрением и обновлением. Соответственно, необходимо предусмотреть стенд для тестирования и отдельное время для его проведения. Другие ошибки связаны с планированием работ по сопровождению системы. Например, заказчики забывали рассчитать загрузку персонала при сопровождении системы и оказывались в ситуации, что эксплуатировать систему после внедрения будет некому. Ну и наконец, уже классическая ошибка в информационной безопасности – после внедрения не довести дело до конца и оставить систему защиты без настройки. Установленная, но ненастроенная система, конечно, не приносит ровным счетом никакой пользы.
Кто должен создавать систему эшелонированной защиты: компания или внешний подрядчик?
Создание системы защиты информации чаще всего передается внешнему подрядчику потому, что часто в самой компании-заказчике недостаточно экспертизы для проведения подобных работ с учетом всех требований обеспечения безопасности информации. Но процесс создания такой системы невозможно представить без участия заказчика. И вот почему. Каждая отрасль, мы даже не говорим сейчас о каждой компании в отрасли, сильно отличаются друг от друга инфраструктурой, организационными внутренними процессами, бизнес-целями и задачами, которые непосредственно влияют на то, какой должна быть система информационной безопасности в компании. Важно понимать, что эффективная система защиты состоит как из технических мер, так и организационных. Поэтому в данном вопросе важна синергия взаимодействия заказчика и внешнего подрядчика.
Каких эшелонов сегодня достаточно, чтобы обеспечить защиту информации в АСУ ТП с учетом того, что растет число удаленных подключений к промышленной сети и заметно выросла активность киберпреступников?
Значительное число рубежей защиты определено в приказе ФСТЭК России от 25 декабря 2017 г. № 239, и они будут весьма эффективны при корректном внедрении и при этом сбалансированными. Мы при общении с заказчиком подразумеваем в первую очередь средства для построения эшелонированной защиты, которые необходимы практически всем. Такие как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты и создания замкнутой защищенной среды (ограничение программных средств, съемных носителей, информационных потоков) и средства для автоматизации по работе с событиями и инцидентами.
Важно, что для защиты АСУ ТП выбирать нужно специализированные промышленные решения – например, не обычные, а промышленные межсетевые экраны, чтобы уменьшать количество ложных срабатываний, поддерживать специализированные промышленные протоколы и аппаратные платформы.
При этом выбор средств и механизмов защиты должен определяться в соответствии с актуальными угрозами безопасности информации.
На рынке ИБ есть много предложений от вендоров. Как выбрать действительно подходящее решение и не пожалеть о выборе через несколько месяцев?
На самом деле выбор средств защиты не так велик, как хотелось бы. Уже хотя бы по той причине, что не все решения удовлетворяют базовым потребностям заказчиков и современным реалиям. Для того чтобы не пожалеть о вложенных средствах, как минимум необходимо учитывать тенденции на импортозамещение в КИИ. Заказчику следует изучить рынок средств защиты, сравнить их на предмет соответствия требованиям технических подразделений заказчика. Ну и конечно, нужно протестировать средства защиты у себя. Сейчас практически все вендоры предлагают возможность тестирования своих средств.
Замечу, что задачи ИБ часто могут быть решены с помощью различных средств и систем. Например, для промышленных систем автоматизации часто стоит задача выбора СЗИ для установки на АРМ и серверы. Мы в InfoWatch ARMA сторонники подхода создания замкнутой защищенной среды, которая позволяет эффективно противодействовать современным угрозам в условиях дефицита специалистов информационной безопасности. Поэтому в данной задаче предложили бы средства для ограничения программной среды и средства контроля подключаемых носителей информации.
Перевести нашу инфраструктуру на полностью отечественное ПО и оборудование сегодня невозможно. Состояние нашей промышленности не позволит выполнить указ президента. Однако Наталья Касперская просит не отодвигать на три года обязательные сроки перехода на отечественное оборудование и софт. Просим прокомментировать эту ситуацию.
Кибербезопасность промышленных предприятий – вопрос национальной безопасности. Можно привести множество примеров в подтверждение того, как легко потерять цифровой и государственный суверенитет, если будет реализована кибератака на промышленное предприятие с объектами КИИ или зарубежный вендор решит воспользоваться рычагом давления и просто дистанционно отключит промышленное оборудование. Это особенно хорошо видно сегодня, когда мы испытываем на себе влияние внешнеполитических санкций. Остановка производственных процессов может привести к блэкауту, как в Венесуэлле, например, когда выработка электроэнергии прекратилась в 18 из 23 штатов. Другой пример – дистанционный контроль со стороны зарубежного вендора: 8–14 августа 2008 года, (протокол заседания ГосДумы РФ № 23 от 27.01.2017) во время грузино-осетинского конфликта был час Ч, когда все немецкие, американские, японские автоматические линии с числовым программным управлением, завезенные в РФ и установленные в оборонно-промышленном комплексе, были демонстративно остановлены производителями.
В связи с этим мы считаем, что задача перехода на отечественное ПО в КИИ очень важна и актуальна. Уже была проделана долгая и сложная работа, направленная на исключение фактора технологической зависимости российского бизнеса. Сроки же должны быть выбраны как с учетом озвученных проблем, так и реализуемости перехода. Но что однозначно, выполнение текущей программы цифровизации всех отраслей экономики уже должно учитывать требования по переходу на отечественные программные решения.
Риск обнаружить угрозу слишком поздно, чтобы ее можно было предотвратить, возрос во время пандемии. На что нужно обратить внимание при выборе СЗИ специалистам, чтобы реагировать быстро?
Когда мы создавали нашу систему, приоритетом стало именно ускорение реакции на инциденты ИБ. Очевидно, что важно не только реагирование на сам факт возникновения события, но и наличие защиты для предотвращения последствий. Поэтому немаловажным является уже упомянутая концепция замкнутой защищенной среды. Из чего она складывается? Во-первых, необходимо обеспечить кибербезопасность промышленных сетей и максимально повысить их наблюдаемость: обнаруживать вредоносы и их блокировать, анализировать промышленные протоколы с возможностью на глубоком уровне разбирать их до команд, контролировать несанкционированные действия пользователей. Во-вторых, защищать рабочие станции и серверы АСУ ТП: контролировать целостность файлов, блокировать программное обеспечение по белому списку и контролировать съемные носители. Если же инцидент реализован, то нужно максимально быстро локализовать его. Для этого необходимо использовать средства автоматизации реакции на инциденты, а также интегрировать продукты безопасности.
Сегодня эффективная система защиты информации заключается в скорости реакции и предполагает наличие единого центра сбора событий и их автоматическая корреляция в инциденты, которые специалисты ИБ могут расследовать в режиме «единого окна» независимо от территориального распределения команд. Увеличить скорость реакции на инцидент позволяет, например, настройка автоматической реакции, в том числе блокировки угрозы и ее источника на всех СЗИ, подключенных к системе защите.
Конечно, на промышленном предприятии уже установлены средства защиты и особенно сейчас, когда промышленность вынуждена смещать фокус в контроль операционных затрат, не до того, чтобы еще больше расширять инфраструктуру. Поэтому важно, чтобы средства защиты были интегрированы между собой и обменивались данными и событиями. Ну и конечно, интегрированность продуктов предполагает, что можно выгодно и довольно быстро масштабировать функционал в зависимости от изменений в инфраструктуре под задачи информационной безопасности.
Подводя итог, скажу, что такой комплексный подход позволяет построить грамотную систему безопасности в соответствии с техническими требованиями ФСТЭК России Приказ № 239.
Слабый уровень защиты веб-приложений на объектах КИИ способствовал росту атак злоумышленников в 2020 году. Насколько выросли риски утечек?
Развитие новых угроз для объектов критической информационной инфраструктуры во многом связано с новой реальностью, вызванной пандемией. Периметр многих организаций, который и так серьезно размылся в последние годы, в 2020 году, когда сотни миллионов сотрудников по всему миру надолго перешли на удаленную работу, стал еще более трудно контролируемым, поскольку многие компании вынуждены были принести безопасность в жертву производительности удаленных сотрудников. Отсюда рост числа атак, нацеленных на таких сотрудников, с перспективой проникнуть в информационные системы организаций.
Опубликовано 30.12.2020