Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
 


 

Решения, технологии, стандарты - статьи Ua.Automation.com

Защита SCADA от угроз. Подход Palo Alto Networks


 

По материалам группы компаний Бакотек
 
Автоматизированные системы, которые используются для централизованного мониторинга и управления производственными процессами (например, системы распределения воды, нефти и природного газа; электроэнергетика – передача и распределение энергии; различные виды транспортных систем – железнодорожный, общественный и т.д.), имеют несколько имен: Industrial Control Systems (ICS), Supervisory Control and Data Acquisition (SCADA) и Distributed Control Systems (DCS). Учитывая сложности управляемого технологического процесса и повышенные требования к надежности, эти системы с самого начала были изолированными, но с целью повышения производительности и экономии средств они начали использовать протоколы интернета. Конечно же этот «прогресс» не могли не заметить злоумышленники (см. Рис.1).
 
Рис.1. Вектор атак на автоматизированные системы, 2014 г. (SANS ICS Survey 2014)
 
С точки зрения категории «внешние угрозы», Stuxnet был первой публично раскрытой кибератакой, ориентированной специально на SCADA-систему. В атаке использовались уязвимости ПО для достижения поставленной цели – сбоя в программе обогащения урана в Иране. Далее началась эволюция злоумышленников. Атаки стали более продуманными и целенаправленными, а сам вредоносный код (malware) уже пишется «под заказ» учитывая уязвимости конкретной жертвы. С целью доставки вредоноса используется различные методы прорыва периметра: фишинг, социальная инженерия, физический доступ к сети (например, зараженные накопители) и т.д.
 
Внутренние атаки или атаки изнутри SCADA-систем – тоже проблема, потому что «обиженный» сотрудник часто становится серьезной угрозой для надежности автоматизированной системы.
 
Обсуждение темы кибератак поднимает некоторые очень важные вопросы, которые позволяют оценить степень надежности принятых мер, с точки зрения их способности защищать свои ICS-системы от широкого диапазона угроз:
  • Есть ли у вас видимость всех потоков данных для проверки корректного использования SCADA-систем и, что более важно, возможность быстро обнаруживать неправильную эксплуатацию?
  • Можете ли вы обеспечить полный контроль доступа в соответствии с политиками безопасности и эффективно сегментировать сеть с целью ограничения внешних и внутренних атак? Насколько простым и легким процессом будет все это в ходе разворачивания и поддержки системы?
  • SCADA-система защищена от эксплойтов (используют уязвимости ПО) и вредоносного кода?
  • Если вы столкнетесь с целенаправленной атакой, которая использует неизвестный вредоносный код (еще нет сигнатуры), отработает ли ваша система защиты?
  • Ваша система защиты носит комплексный характер и включает в себя сетевой модуль (на периметре сети) и модуль по защите конечных точек?
  • Ваша система защиты сертифицирована и отвечает необходимым требованиям?
  • Если используются технологии виртуализации и мобильные устройства в сети организации – вы можете сказать, что они полностью контролируются и защищены?
 
Состояние безопасности SCADA-систем
 
Большинство критических инфраструктур имеют определенный уровень безопасности, который является достаточно эффективным на сегодняшний день. Однако все еще существует большое количество промышленных организаций (особенно в сферах, что в наименьшей степени регулируются стандартами), которые имеют устаревшие технологии защиты и не справляются с решением современных проблем кибербезопасности.
 
На рис.2. изображена типичная картина построения безопасности SCADA-систем. Критическим моментом является использование устаревшего stateful inspection подхода, который базируется на контроле портов и IP-адресов.
 
 
Рис.2. Типичная система безопасности
 
Этот подход не позволяет контролировать приложения, которые используют динамические порты, также отсутствует видимость трафика на L7-уровне, полный контроль доступа пользователей и нет эффективной защиты от современных угроз, особенно неизвестных (zero-day). Для заполнения пробелов в безопасности, организации начинают разворачивать набор дополнительных устройств – антивирус, IPS, URL-фильтрация, защита конечных точек. Но поскольку составляющие компоненты зачастую от различных вендоров – это ведет к отсутствию корреляции в их работе, возможности централизованного управления (отсюда сложность в обслуживании таких систем), сбора логов, сюда добавляется еще и дублирование настроек политик. UTM-устройства от единого производителя – не панацея, потому что они характеризуются последовательной обработкой трафика, что ведет к большим задержкам в получении данных.
 
Новый подход к защите должен сочетать в себе модули сетевой безопасности и безопасности конечных точек, которые используют песочницу для выявления атак нулевого дня. Кроме того, необходимо обеспечение полной видимости трафика на L7-уровне, гранулированный контроль приложений, пользователей и протоколов, чтобы организовать сегментацию сети в зависимости от потребностей бизнес-процессов. Современная система защиты должна предотвращать известные и неизвестные угрозы, быть простой в разворачивании и управлении, демонстрировать высокую производительность и отказоустойчивость в работе.
Поэтому Palo Alto Networks предлагает свою платформу кибербезопасности, как решение проблемы надежной защиты SCADA-систем.
 
Платформа кибербезопасности нового поколения от PaloAltoNetworks
 
Решение от Palo Alto Networks предлагает следующие возможности:
  • интеграция сетевой защиты и защиты конечных точек с ядром глобального обмена данными для анализа угроз в режиме реального времени и снижения опасности современных атак (см. Рис.3).
Рис.3. Интеграция сетевой защиты и защиты конечных точек
с ядром глобального обмена данными 
 
  • классификация трафика на основе пользователей и приложений
  • работа со SCADA-протоколами (modbus, mqtt, siemens-factorylink, osisoft-pi, profinet, dnp3, iccp, cygnet-scada и т.д.)
  • полная видимость трафика организации
  • гранулированный контроль пользователей и приложений в режиме реального времени (см. Рис. 4.)
 

Рис.4. Гранулированный контроль – необходимый подход для сокращения количества атак
 
  • выявление и блокирование известных и неизвестных угроз в режиме реального времени, см. Рис.5 (также обеспечивается защита SCADA-протоколов от эксплойтов, вредоносного программного обеспечения и zero-day)
 
Рис.5. Блокирование известных и неизвестных угроз
 
  • поддержка гранулированной сегментации сети
  • обеспечение защищенного доступа к критическим ресурсам
  • наличие централизованного управления и отчетности
  • ролевой доступ к функционалу централизованного управления системой защиты
  • обеспечение безопасности для мобильных устройств и виртуальных сред
  • уменьшение нагрузки/сложности в разворачивании и поддержании работоспособности платформы кибребезопасности
  • высокая производительность
  • обеспечение отказоустойчивости.