SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
28.02.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   

Руслан Рахметов, Security Vision

Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.

Зачастую компоненты OT-сетей выполняют критически важные задачи, прерывание или компрометация которых может привести к серьезным последствиям. Документ NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security" («Руководство по обеспечению безопасности автоматизированных систем управления») содержит рекомендации по обеспечению безопасности OT-сетей и компонент АСУП с учетом специфических киберрисков и требований по кибербезопасности и надежности.

Итак, документ NIST SP 800-82 сфокусирован на обзоре технологий современных OT-сетей и компонент АСУП, описании специфичных для них угроз и уязвимостей, предоставлении рекомендаций по обработке связанных киберрисков. Подчеркивается, что современные АСУТП становятся всё более IP-ориентированными, а также возрастает связность OT-сегмента с IT-инфраструктурой компании, что, в свою очередь, увеличивает вероятность эксплуатации уязвимостей и возникновения киберинцидентов. В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. При этом специфика АСУТП такова, что приоритет отдаётся бесперебойности функционирования, доступности и целостности над конфиденциальностью, а для обеспечения защиты информации должны применяться средства, спроектированные с учетом нюансов OT-сетей.

Основными особенностями АСУТП являются:

1. Повышенные требования к своевременности и производительности выполняемых операций: работа OT-компонент в режиме, близком к реальному времени, а также зависимость/влияние на физические характеристики среды функционирования.

2. Повышенные требования к доступности: критическая зависимость технологических процессов от компонент АСУТП и безусловный приоритет непрерывности производства обосновывают применение избыточности OT-компонент, детальное планирование перерывов для обслуживания (например, перезагрузки или обновления ПО), тщательное тестирование новых компонент и вносимых изменений.

3. Смещение фокуса в управлении киберрисками: в АСУТП приоритет отдается непрерывности производства, безопасности технологических процессов и оборудования, соответствию применимым требованиям законодательства (например, экологическим нормам).

4. Физические эффекты: непосредственное воздействие АСУТП на физические процессы.

5. Управление системами: компоненты АСУТП требуют иных навыков и опыта, нежели ИТ-системы, и управлять АСУТП должны специально обученные квалифицированные инженеры.

6. Ресурсные ограничения: компоненты АСУТП отличаются от ИТ-систем своими аппаратными и программными характеристиками, а также могут не обладать функционалом, необходимым для реализации требований информационной безопасности.

7. Взаимодействие: протоколы передачи данных и среда передачи данных могут быть проприетарными и нетиповыми.

8. Управление изменениями: патч-менеджмент, столь важный для кибербезопасности, в АСУТП должен проводиться лишь после тщательного тестирования вендором и на площадке (в тестовом контуре), с заранее составленным планом обновления, с учетом возможного применения устаревших программных компонент в АСУТП.

9. Управление технической поддержкой: производители АСУТП, как правило, оказывают выделенную поддержку закупленного оборудования, что осложняет получение технической поддержки от другой компании.

10. Жизненный цикл компонентов: АСУТП рассчитаны на работу в течение 10-15 лет, что усложняет быструю замену устаревших компонент.

11. Расположение: географическая распределенность и, зачастую, труднодоступность компонент АСУТП и OT-сетей усложняет их администрирование.

Для обеспечения информационной безопасности OT-сетей и компонентов АСУТП в документе NIST SP 800-82 предложено реализовать следующие принципы:

1. Разграничение логического и сетевого доступа к OT-сети и компонентам АСУТП с использованием шлюзов доступа, DMZ-подсетей, межсетевых экранов, VLAN-сетей, различных учетных записей и методов аутентификации для IT-сети и OT-сети.

2. Разграничение физического доступа к компонентам АСУТП.

3. Защита компонентов АСУТП путем установки обновлений безопасности, отключения не использующихся портов и служб, минимизации полномочий пользователей, аудита событий безопасности, использования средств контроля целостности и СЗИ (где возможно) для предотвращения воздействия вредоносного программного кода.

4. Предотвращение несанкционированного изменения данных (как минимум при передаче и хранении).

5. Обработка событий и киберинцидентов путем мониторинга состояния OT-сетей и компонентов АСУТП.

6. Обеспечение отказоустойчивости с помощью избыточности программных и аппаратных компонент, безопасного аварийного завершения работы одного компонента без нарушения работы других компонентов АСУТП, планового переключения из автоматического в полуавтоматический, а затем в ручной режим в случае аварии или вредоносного воздействия.

7. Восстановление после киберинцидентов.

Для построения эффективной системы киберзащиты следует руководствоваться принципом глубокоэшелонированной обороны, включающей в себя такие компоненты, как:

1. Разработка политик, процедур, программ обучения специально для OT-сетей и компонентов АСУТП.

2. Обеспечение кибербезопасности на протяжении всего жизненного цикла OT-сетей и компонентов АСУТП.

3. Применение сетевой топологии с размещением критичных компонент OT-сетей и компонентов АСУТП в самом защищенном сегменте.

4. Сетевое разграничение IT-сетей и OT-сетей с применением межсетевых экранов, DMZ-подсетей, односторонних шлюзов, диодов данных.

5. Обеспечение избыточности критичных компонент и обслуживающих их сетей.

6. Применение принципов отказоустойчивости при проектировании и внедрении OT-сетей и компонентов АСУТП.

7. Использование современных технологий обеспечения безопасности (при возможности).

8. Применение криптографических средств для защиты передающихся и хранящихся данных.

9. Установка обновлений после тщательного планирования и тестирования.

10. Мониторинг и анализ событий аудита информационной безопасности OT-сетей и компонентов АСУТП.

11. Применение надежных и безопасных сетевых протоколов и служб (при возможности).

Подкасты ИБ Практика ИБ ГОСТы и документы ИБ NIST Стандарты ИБ

Рекомендуем

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Финансовый сектор
Финансовый сектор
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Рекомендуем

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Финансовый сектор
Финансовый сектор
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Похожие статьи

Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Динамический анализ исходного кода
Динамический анализ исходного кода
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»

Похожие статьи

Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Динамический анализ исходного кода
Динамический анализ исходного кода
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»