SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
28.02.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.


Зачастую компоненты OT-сетей выполняют критически важные задачи, прерывание или компрометация которых может привести к серьезным последствиям. Документ NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security" («Руководство по обеспечению безопасности автоматизированных систем управления») содержит рекомендации по обеспечению безопасности OT-сетей и компонент АСУП с учетом специфических киберрисков и требований по кибербезопасности и надежности.


Итак, документ NIST SP 800-82 сфокусирован на обзоре технологий современных OT-сетей и компонент АСУП, описании специфичных для них угроз и уязвимостей, предоставлении рекомендаций по обработке связанных киберрисков. Подчеркивается, что современные АСУТП становятся всё более IP-ориентированными, а также возрастает связность OT-сегмента с IT-инфраструктурой компании, что, в свою очередь, увеличивает вероятность эксплуатации уязвимостей и возникновения киберинцидентов. В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. При этом специфика АСУТП такова, что приоритет отдаётся бесперебойности функционирования, доступности и целостности над конфиденциальностью, а для обеспечения защиты информации должны применяться средства, спроектированные с учетом нюансов OT-сетей.


Основными особенностями АСУТП являются:


1. Повышенные требования к своевременности и производительности выполняемых операций: работа OT-компонент в режиме, близком к реальному времени, а также зависимость/влияние на физические характеристики среды функционирования.


2. Повышенные требования к доступности: критическая зависимость технологических процессов от компонент АСУТП и безусловный приоритет непрерывности производства обосновывают применение избыточности OT-компонент, детальное планирование перерывов для обслуживания (например, перезагрузки или обновления ПО), тщательное тестирование новых компонент и вносимых изменений.


3. Смещение фокуса в управлении киберрисками: в АСУТП приоритет отдается непрерывности производства, безопасности технологических процессов и оборудования, соответствию применимым требованиям законодательства (например, экологическим нормам).


4. Физические эффекты: непосредственное воздействие АСУТП на физические процессы.


5. Управление системами: компоненты АСУТП требуют иных навыков и опыта, нежели ИТ-системы, и управлять АСУТП должны специально обученные квалифицированные инженеры.


6. Ресурсные ограничения: компоненты АСУТП отличаются от ИТ-систем своими аппаратными и программными характеристиками, а также могут не обладать функционалом, необходимым для реализации требований информационной безопасности.


7. Взаимодействие: протоколы передачи данных и среда передачи данных могут быть проприетарными и нетиповыми.


8. Управление изменениями: патч-менеджмент, столь важный для кибербезопасности, в АСУТП должен проводиться лишь после тщательного тестирования вендором и на площадке (в тестовом контуре), с заранее составленным планом обновления, с учетом возможного применения устаревших программных компонент в АСУТП.


9. Управление технической поддержкой: производители АСУТП, как правило, оказывают выделенную поддержку закупленного оборудования, что осложняет получение технической поддержки от другой компании.


10. Жизненный цикл компонентов: АСУТП рассчитаны на работу в течение 10-15 лет, что усложняет быструю замену устаревших компонент.


11. Расположение: географическая распределенность и, зачастую, труднодоступность компонент АСУТП и OT-сетей усложняет их администрирование.


Для обеспечения информационной безопасности OT-сетей и компонентов АСУТП в документе NIST SP 800-82 предложено реализовать следующие принципы:


1. Разграничение логического и сетевого доступа к OT-сети и компонентам АСУТП с использованием шлюзов доступа, DMZ-подсетей, межсетевых экранов, VLAN-сетей, различных учетных записей и методов аутентификации для IT-сети и OT-сети.


2. Разграничение физического доступа к компонентам АСУТП.


3. Защита компонентов АСУТП путем установки обновлений безопасности, отключения не использующихся портов и служб, минимизации полномочий пользователей, аудита событий безопасности, использования средств контроля целостности и СЗИ (где возможно) для предотвращения воздействия вредоносного программного кода.


4. Предотвращение несанкционированного изменения данных (как минимум при передаче и хранении).


5. Обработка событий и киберинцидентов путем мониторинга состояния OT-сетей и компонентов АСУТП.


6. Обеспечение отказоустойчивости с помощью избыточности программных и аппаратных компонент, безопасного аварийного завершения работы одного компонента без нарушения работы других компонентов АСУТП, планового переключения из автоматического в полуавтоматический, а затем в ручной режим в случае аварии или вредоносного воздействия.


7. Восстановление после киберинцидентов.


Для построения эффективной системы киберзащиты следует руководствоваться принципом глубокоэшелонированной обороны, включающей в себя такие компоненты, как:


1. Разработка политик, процедур, программ обучения специально для OT-сетей и компонентов АСУТП.


2. Обеспечение кибербезопасности на протяжении всего жизненного цикла OT-сетей и компонентов АСУТП.


3. Применение сетевой топологии с размещением критичных компонент OT-сетей и компонентов АСУТП в самом защищенном сегменте.


4. Сетевое разграничение IT-сетей и OT-сетей с применением межсетевых экранов, DMZ-подсетей, односторонних шлюзов, диодов данных.


5. Обеспечение избыточности критичных компонент и обслуживающих их сетей.


6. Применение принципов отказоустойчивости при проектировании и внедрении OT-сетей и компонентов АСУТП.


7. Использование современных технологий обеспечения безопасности (при возможности).


8. Применение криптографических средств для защиты передающихся и хранящихся данных.


9. Установка обновлений после тщательного планирования и тестирования.


10. Мониторинг и анализ событий аудита информационной безопасности OT-сетей и компонентов АСУТП.


11. Применение надежных и безопасных сетевых протоколов и служб (при возможности).

Подкасты ИБ Практика ИБ ГОСТы и документы ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют