SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.


Зачастую компоненты OT-сетей выполняют критически важные задачи, прерывание или компрометация которых может привести к серьезным последствиям. Документ NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security" («Руководство по обеспечению безопасности автоматизированных систем управления») содержит рекомендации по обеспечению безопасности OT-сетей и компонент АСУП с учетом специфических киберрисков и требований по кибербезопасности и надежности.


Итак, документ NIST SP 800-82 сфокусирован на обзоре технологий современных OT-сетей и компонент АСУП, описании специфичных для них угроз и уязвимостей, предоставлении рекомендаций по обработке связанных киберрисков. Подчеркивается, что современные АСУТП становятся всё более IP-ориентированными, а также возрастает связность OT-сегмента с IT-инфраструктурой компании, что, в свою очередь, увеличивает вероятность эксплуатации уязвимостей и возникновения киберинцидентов. В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. При этом специфика АСУТП такова, что приоритет отдаётся бесперебойности функционирования, доступности и целостности над конфиденциальностью, а для обеспечения защиты информации должны применяться средства, спроектированные с учетом нюансов OT-сетей.


Основными особенностями АСУТП являются:


1. Повышенные требования к своевременности и производительности выполняемых операций: работа OT-компонент в режиме, близком к реальному времени, а также зависимость/влияние на физические характеристики среды функционирования.


2. Повышенные требования к доступности: критическая зависимость технологических процессов от компонент АСУТП и безусловный приоритет непрерывности производства обосновывают применение избыточности OT-компонент, детальное планирование перерывов для обслуживания (например, перезагрузки или обновления ПО), тщательное тестирование новых компонент и вносимых изменений.


3. Смещение фокуса в управлении киберрисками: в АСУТП приоритет отдается непрерывности производства, безопасности технологических процессов и оборудования, соответствию применимым требованиям законодательства (например, экологическим нормам).


4. Физические эффекты: непосредственное воздействие АСУТП на физические процессы.


5. Управление системами: компоненты АСУТП требуют иных навыков и опыта, нежели ИТ-системы, и управлять АСУТП должны специально обученные квалифицированные инженеры.


6. Ресурсные ограничения: компоненты АСУТП отличаются от ИТ-систем своими аппаратными и программными характеристиками, а также могут не обладать функционалом, необходимым для реализации требований информационной безопасности.


7. Взаимодействие: протоколы передачи данных и среда передачи данных могут быть проприетарными и нетиповыми.


8. Управление изменениями: патч-менеджмент, столь важный для кибербезопасности, в АСУТП должен проводиться лишь после тщательного тестирования вендором и на площадке (в тестовом контуре), с заранее составленным планом обновления, с учетом возможного применения устаревших программных компонент в АСУТП.


9. Управление технической поддержкой: производители АСУТП, как правило, оказывают выделенную поддержку закупленного оборудования, что осложняет получение технической поддержки от другой компании.


10. Жизненный цикл компонентов: АСУТП рассчитаны на работу в течение 10-15 лет, что усложняет быструю замену устаревших компонент.


11. Расположение: географическая распределенность и, зачастую, труднодоступность компонент АСУТП и OT-сетей усложняет их администрирование.


Для обеспечения информационной безопасности OT-сетей и компонентов АСУТП в документе NIST SP 800-82 предложено реализовать следующие принципы:


1. Разграничение логического и сетевого доступа к OT-сети и компонентам АСУТП с использованием шлюзов доступа, DMZ-подсетей, межсетевых экранов, VLAN-сетей, различных учетных записей и методов аутентификации для IT-сети и OT-сети.


2. Разграничение физического доступа к компонентам АСУТП.


3. Защита компонентов АСУТП путем установки обновлений безопасности, отключения не использующихся портов и служб, минимизации полномочий пользователей, аудита событий безопасности, использования средств контроля целостности и СЗИ (где возможно) для предотвращения воздействия вредоносного программного кода.


4. Предотвращение несанкционированного изменения данных (как минимум при передаче и хранении).


5. Обработка событий и киберинцидентов путем мониторинга состояния OT-сетей и компонентов АСУТП.


6. Обеспечение отказоустойчивости с помощью избыточности программных и аппаратных компонент, безопасного аварийного завершения работы одного компонента без нарушения работы других компонентов АСУТП, планового переключения из автоматического в полуавтоматический, а затем в ручной режим в случае аварии или вредоносного воздействия.


7. Восстановление после киберинцидентов.


Для построения эффективной системы киберзащиты следует руководствоваться принципом глубокоэшелонированной обороны, включающей в себя такие компоненты, как:


1. Разработка политик, процедур, программ обучения специально для OT-сетей и компонентов АСУТП.


2. Обеспечение кибербезопасности на протяжении всего жизненного цикла OT-сетей и компонентов АСУТП.


3. Применение сетевой топологии с размещением критичных компонент OT-сетей и компонентов АСУТП в самом защищенном сегменте.


4. Сетевое разграничение IT-сетей и OT-сетей с применением межсетевых экранов, DMZ-подсетей, односторонних шлюзов, диодов данных.


5. Обеспечение избыточности критичных компонент и обслуживающих их сетей.


6. Применение принципов отказоустойчивости при проектировании и внедрении OT-сетей и компонентов АСУТП.


7. Использование современных технологий обеспечения безопасности (при возможности).


8. Применение криптографических средств для защиты передающихся и хранящихся данных.


9. Установка обновлений после тщательного планирования и тестирования.


10. Мониторинг и анализ событий аудита информационной безопасности OT-сетей и компонентов АСУТП.


11. Применение надежных и безопасных сетевых протоколов и служб (при возможности).

Подкасты ИБ Практика ИБ NIST Стандарты, ГОСТы и документы ИБ

Похожие статьи

Как работает харденинг и как он встраивается в процессы ИБ
Как работает харденинг и как он встраивается в процессы ИБ
Киберзащита – как обезопасить себя от угроз цифрового мира
Киберзащита – как обезопасить себя от угроз цифрового мира
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Интернет вещей и безопасность
Интернет вещей и безопасность

Похожие статьи

Как работает харденинг и как он встраивается в процессы ИБ
Как работает харденинг и как он встраивается в процессы ИБ
Киберзащита – как обезопасить себя от угроз цифрового мира
Киберзащита – как обезопасить себя от угроз цифрового мира
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Интернет вещей и безопасность
Интернет вещей и безопасность