Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
Перейти:  
 


 

Основы АСУ ТП и КИП - в статьях Ua.Automation.com

Эшелонированная оборона от киберугроз

Эшелонированная оборона от киберугроз

Эрик Байрс для InTech

Любой метод обеспечения информационной безопасности сам по себе недостаточен
 
  • Постоянно возникают новые угрозы информационной безопасности
  • Надежда на единое решение по информационной безопасности оборачивается большой уязвимостью
  • Эшелонированная оборона повышает защищенность
Последние два года тревожные звонки в отрасли промышленной автоматизации звучат практически непрерывно. Впервые она стала целью изощренных кибератак, проводимых с помощью таких инструментов как Stuxnet, Night Dragon и Duqu.
 
Самой опасной угрозой после эпохи Stuxnet стало зловредное ПО известное как Shamoon. Как и в случаях со Stuxnet, Duqu и Flame, оно было нацелено на организации на Ближнем Востоке, такие как Saudi Aramco (Саудовская Аравия), RasGas (Катар), а также другие нефтегазовые концерны региона. Однако это было что-то новое – поскольку новое зловредное ПО не нарушало ход технологических процессов, подобно Stuxnet, и не похищало информацию, подобно Flame или Duqu.
 
Вместо этого, оно удалило и переписало заново информацию на десятках тысяч жестких дисков (было затронуто от 30 000 до 55 000 рабочих станций, да-да, эти числа верны!) по всей компании Saudi Aramco (и, можно только предполагать, сколько еще в других компаниях). Судя по всему, атака была осуществлена неким обозленным сотрудником, действовавшим изнутри корпоративного файрвола.
 
Shamoon и другие учат нас одному и тому же – надежда на одно единственное  решение для защиты (такое как файрвол) означает, что вся система оказывается зависима от одной единственной уязвимой точки. Рано или поздно, вне зависимости от того, насколько хорошо это единственное защитное решение, либо предприимчивые недоброжелатели, либо очередное орудие Законов Мерфи прорвут защиту. И вся система окажется открытой для атак. Намного более эффективной стратегией защиты является т.н. «эшелонированная оборона» (англ.: defense in depth)
 
Возвращаемся к основам
 
Эшелонированная оборона не является чем-то уникальным для ИТ- или SCADA-систем. В сущности, она даже не уникальна для информационной безопасности. Это военная стратегия, известная со времен Древнего Рима. Поищите в сети Интернет и вы найдете следующее определение (Википедия):
 
Эшелонированная оборона это военная стратегия; ее целью является не столько предотвращение продвижения неприятеля, сколько его замедление. При этом защищающаяся сторона, медленно уступая территорию, выигрывает время, а также, наносит дополнительный ущерб атакующей стороне. Вместо того, чтобы стараться нанести атакующей стороне поражение с помощью единого и сильного защитного рубежа, эшелонированная оборона ослабляет наступательный порыв по мере его распространения на все большей территории.
 
Эшелонированная оборона на примере банковской отрасли
 
Если вам нужно обеспечить безопасность системы управления, вышеупомянутое определение, к сожалению, не сильно поможет. Давайте посмотрим на то, как обеспечивается безопасность в банках, и выясним, можно ли из их опыта взять для себя что-то полезное.
 
Никогда не задавали себе вопрос: почему типичный банк намного более безопасен, чем жилой дом или магазин? Это не из-за стальных дверей или вооруженной охраны. Сами по себе они конечно помогают, однако их ценность во многом нивелируется тем фактом, что грабители банков также намного лучше вооружены и настроены более решительно, по сравнению, скажем, с типичными грабителями. 
 
Банк использует многочисленные меры безопасности для того, чтобы достичь ее максимального уровня. Например, в типичном банке есть стальные двери, пуленепробиваемые окна, охрана, сейфы размером с комнату, охранные сигнализации, камеры видеонаблюдения, кассиры, прошедшие соответствующее обучение. И наиболее важным является даже не то, что в банке много мер безопасности, а то, что каждая из них создана для борьбы с определенным видом угроз.
 
Например, банковские двери – эффективные, но простые устройства безопасности. Они или открыты, или закрыты. Они или предоставляют или предотвращают доступ клиентов, по принципу: все или ничего – вне зависимости от того, как посетитель выглядит или ведет себя.
 
На один уровень выше находится охрана. Охранники осуществляют контроль для «очистки» потока посетителей. Они гарантируют, что в банк войдут посетители с объективной необходимостью находится в нем, и которые будут вести себя в рамках общепринятых норм. Каждый посетитель оценивается по ряду критериев: носит или не носит он маску, подозрительно ли его поведение и т.д.
 
На следующем уровне – кассиры, пароли и т.д., которые не позволяют уже допущенным в банк клиентам получить доступ к чужим счетам. Кассиров не заботит, должен или не должен быть данный клиент в банке. Они определяют, имеет ли он право доступа к конкретному счету.
 
Уровни: много и разные
 
Банковская аналогия указывает на три важных аспекта «эшелонированной обороны»:
 
  • Многочисленные уровни защиты. Нельзя полагаться только на единственный инструмент защиты, как бы хорош он ни был.
  • Дифференцированные уровни защиты. Убедитесь в том, что каждый уровень защиты отличается от других. Это гарантирует, что даже если злоумышленник пройдет первый уровень, его способ не станет «волшебным ключом» к остальным уровням защиты.
  • Адаптированность к конкретным контексту и угрозам. Каждый из уровней защиты должен быть разработан так, чтобы соответствовать определенному контексту и угрозе.
Последний момент, возможно, наименее очевиден, но, наиболее важен. Возвращаясь к примеру с банком: обратите внимание – там не просто расставляют дополнительную охрану на каждом уровне. В банковской отрасли понимают: угрозы могут быть очень разными – от отчаявшегося наркомана, размахивающего пистолетом, до изощренного мошенника. Поэтому в банках каждый уровень защиты адаптирован к конкретным угрозам.
 
Адаптация к угрозе
 
Каким образом все это касается проблемы безопасности на производстве? Как и банк, ИТ- и SCADA-системы могут быть подвержены различным угрозам безопасности: от разозленных сотрудников до зловредного ПО, DoS-атак и хищения информации. Необходимо учитывать все эти угрозы и защищаться от всех.
 
К примеру, пограничный файрвол можно сравнить с охранником. Сетевые сообщения, использующие определенные протоколы, либо пропускаются, либо не пропускаются в сеть управления. Идеальный вариант для защиты от таких атак, как обычные «черви» или неспециализированные DoS-атаки.
 
Более совершенные файрволы, предназначенные для работы со SCADA-системами, анализируют трафик, даже если он не принадлежит к основным сетевым протоколам.  Это позволяет осуществлять защиту на основе поведения и контекста систем, использующих эти протоколы в системе управления. Например, если операторская рабочая станция неожиданно начинает попытки запрограммировать ПЛК, скорее всего, это действует червь вроде Stuxnet или обозленный сотрудник. Такие атаки должны немедленно предотвращаться и подниматься тревога, для предотвращения серьезного риска системе.
 
Наконец, серверы и контроллеры, с надлежащими настройками безопасности, могут действовать аналогично хорошо вышколенному кассиру. После успешного подсоединения пользователя к серверу или контроллеру, приложение безопасности гарантирует, что пользователь получает доступ только к тем приложениям и данным, для которых он авторизован. Попытки получить доступ к другим сервисам и данным должны блокироваться и регистрироваться.
 
Как в примере со стальными дверями, охранниками и кассирами, файрвол периметра, обеспечивающий защиту границы, файрвол ИТ- и SCADA-систем, обеспечивающий внутреннюю безопасность, а также сервер, обеспечивающий безопасность на уровне приложений, формируют эффективную команду. Например, файрвол может блокировать миллионы зловредных сообщений, направленных в систему управления в рамках DoS-атаки. В то же время, глубокая инспекция пакетов (англ.: Deep Packet Inspection или DPI) и проверка авторизации пользователей не позволят червю или пользователю внутри файрвола вносить изменения, которые могут подвергнуть риску имущество или жизни.
 
Обеспечиваем надежную безопасность на производстве
 
Зависимость от единственного решения обеспечения информационной безопасности, такого как файрвол периметра, означает, что ваша защита может быть прорвана одним ударом. Необходимо разрабатывать и внедрять системы эшелонированной защиты, в которых сеть, устройства управления, различные системы защищены – защищены все. Именно это позволит обеспечить информационную безопасность должного уровня на производстве.
 
Об авторе:
 
Эрик Байрс (Eric Byres) ([email protected]), технический директор и вице-президент по производству Tofino Security (часть группы Hirschmann, бренд Belden), является признанным отраслевым экспертом в области информационной безопасности промышленных систем. Он возглавляет рабочую группу по технологиям безопасности в ISA99, а также, рабочую группу по анализу информационных угроз в ISA99. Вклад Эрика в развитие отрасли промышленной автоматизации, выдающиеся достижения в науке и технике, получили признание Международного Общества Автоматизации  (International Society of Automation, ISA), присвоившего ему звание «Почетного члена ISA».