ICS-Cert
Год от года происходит все больше киберинцидентов на промышленных предприятиях и критически важных объектах инфраструктуры. Порой такие злоключения выливаются в крупные финансовые потери. Так, в мае 2016 года шифровальщик блокировал работу административных систем в муниципальной службе энерго- и водоснабжения американского города Лансинга; общая сумма ущерба составила около $2 млн. Другие происшествия нарушают сам производственный процесс: вспомним, как атака на сеть «Прикарпатьеоблэнерго», совершенная в рамках APT-кампании BlackEnergy в конце 2015 года, оставила без света десятки тысяч жителей Украины.
Как следствие, многие промышленные компании и производители оборудования для автоматизированных систем управления технологическим процессом (АСУ ТП) обратили внимание на проблему и озаботились предотвращением крупных инцидентов и минимизацией ущерба от них. К сожалению, пока действуют они вразнобой: каждый пытается проводить в жизнь собственную стратегию. В таких условиях эффективную систему кибербезопасности построить трудно. Вдобавок из-за незрелости рынка далеко не всем специалистам под силу самостоятельно разобраться в том, какие меры принимать. Более того, чтобы обеспечить промышленному предприятию истинную кибербезопасность, необходимо учитывать, как меняется обстановка в мире компьютерных угроз, постоянно адаптировать и улучшать систему защиты от них.
Рынок промышленной кибербезопасности на подъеме. На нем все больше игроков. Только в маркетинговом исследовании Gartner за 2016 год таковых упомянуто свыше 40. Фактически их гораздо больше. Причем еще в начале 2015 года и половина из них была никому не известна. Теперь же новым направлением занимаются и именитые вендоры традиционных защитных решений, и производители промышленного оборудования, и стартапы, и даже компании из смежных областей. Чаще всего их подход предполагает фокус на поиске аномалий в технологическом процессе. Но как понять, какие технологии и методы действительно оптимальны для защиты промышленных предприятий?
Adaptive Security Architecture
Мы в «Лаборатории Касперского» считаем наиболее эффективной для организации защиты промышленного предприятия модель Adaptive Security Architecture (ASA), предложенную компанией Gartner в 2014 году. Изначально она разрабатывалась не столько для нужд индустриальной кибербезопасности, сколько для проектирования защиты от целевых атак. Однако ASA практически универсальна. Она предполагает имплементацию четырех типов реакции на киберинцидент: предотвращения, детектирования, реагирования и предсказания.
Уникальность модели в том, что она позволяет оперативно реагировать на опасность и защищать производственный процесс от самых разных эксцессов: и от целевых атак, и от вспышек обычной киберинфекции, и даже от ошибок человека. То, насколько тщательно организация готова реализовывать каждую из четырех стадий, и характеризует степень зрелости ее стратегии ИБ. Однако слепое копирование ASA, созданной под потребности традиционной кибербезопасности, не поможет защитить индустриальный объект. Практическое применение модели на предприятии обязательно должно учитывать все его технологические особенности, а также специфику человеческого фактора.
Обычно ASA начинают объяснять с сегмента Prevent как с наиболее очевидного. Завершают, соответственно, Predict (см. иллюстрацию), однако мы считаем его самым важным этапом построения истинной промышленной кибербезопасности, поэтому от него и будем отталкиваться.
Predict
Сегмент Predict определяет, насколько точно организации удается прогнозировать направления атак, в том числе специфических именно для нее, и действовать с упреждением, чтобы не попасть под удар. В современном понимании корпоративной безопасности стадия Predict — это в первую очередь работа с потоками данных об угрозах (threat intelligence). Как правило, в серьезных компаниях со зрелой функцией ИБ существуют центры мониторинга и реагирования, где используются SIEM-системы. Они подключены ко множеству источников, в том числе могут получать информацию об актуальных киберугрозах от специализированных поставщиков, таких как «Лаборатория Касперского». Однако, чтобы от потоков данных была реальная польза, предприятию необходимы собственный центр реагирования на киберинциденты и сильная команда безопасников, способных исходя из поступающих сведений предсказывать инциденты, реконфигурировать сеть, прорабатывать стратегии развития собственной защитной системы.
В крупных корпорациях такие структуры существуют, и достаточно давно. Тогда как на промышленных предприятиях соответствующими задачами занимается в лучшем случае пара специалистов. Причем чаще всего это именно два человека из разных подразделений: один из IT-департамента, а второй из OT (эксплуатационного отдела). Так что потоки данных о киберугрозах им бесполезны: они просто не сумеют применить их. Впрочем, отсюда не следует, что на промышленных предприятиях нельзя качественно реализовать функцию Predict.
Если именно так обстоят дела на вашем объекте, рекомендуем начать не со специализированного threat intelligence (многие игроки рынка хвастаются, что уже готовы предоставлять ее промышленным предприятиям), а с открытых источников данных. Например, с изучения публичных источников threat intelligence о доступности и уязвимости промышленной инфраструктуры, таких как Shodan, Censys, Vulners. Мы, например, на базе этих всем доступных инструментов провели собственное исследование. Оно показало, что огромное количество компонентов АСУ ТП досягаемо из Интернета и вполне можно достучаться до них и, более того, использовать уязвимости, которых в них, как правило, более чем достаточно. Так что советуем сперва самостоятельно или с помощью специалистов по промышленной кибербезопасности проверить компоненты вашей промышленной системы публично доступными инструментами. Если вы сделаете это сейчас, у вас будет время перенастроить их, прежде чем до них доберутся хакеры.
Не менее важная из числа принимаемых на стадии Predict мер — обмен информацией о киберинцидентах между организациями одной отрасли. Ведь если злоумышленники разработали метод атаки на одно предприятие и добились успеха, с высокой вероятностью они применят его еще раз против сходной цели. Так что опыт жертв целесообразно использовать для усовершенствования защитных методов.
Структуры, отвечающие за обмен информацией такого рода, создаются по всему миру. Впереди других стран США, где практически в каждой области промышленности действуют консультативные советы по безопасности на критически важных объектах — ISAC, или Information Sharing and Analysis Centers. Однако обычно подобные организации государственные. Сотрудничество с ними чревато дополнительной нагрузкой на бизнес. Дело не только в возможных штрафах, но и в назойливых проверках и необходимости предоставлять подробные отчеты о произошедшем.
Проблему можно решить благодаря коммерческим организациям, которые, с одной стороны, в состоянии обеспечивать обмен информацией между предприятиями, находящимися в зоне риска, а с другой — соблюдают коммерческую тайну. Такая структура уже существует: это наш KL ICS CERT. Он открылся достаточно недавно, однако его услугами уже активно пользуются многие промышленные компании по всему миру.
Еще один элемент Predict-стратегии — анализ защищенности промышленных киберсистем сторонними экспертами и специализированные тесты на проникновение. Компаний, оказывающих подобные услуги, предостаточно. Однако выбирать экспертов нужно тщательно. Достаточно сказать, что некоторые компании пытаются проверять промышленные объекты с помощью обычных экспертов по информационной безопасности. Да, эти люди тоже профессионалы. Они изучат ваш сетевой контур, доступные веб-сервисы и, скорее всего, даже найдут в нем несколько дыр. Только эти выводы об уровне защищенности вашего технологического процесса будут отнюдь не точными. Именно поэтому у нас в команды экспертов, занимающихся таким анализом, входят не только безопасники, но и инженеры АСУ ТП с практическим опытом. В таком составе они справляются со своими задачами максимально эффективно. Кроме того, «Лаборатория Касперского» предлагает курсы по обучению сторонних ИБ-специалистов особенностям проведения тестов на проникновение в промышленных средах.
Наконец, чтобы «предвидение» работало, очень важно, чтобы ваши сотрудники ИБ, будь то пара человек или полноценный отдел, были хорошо осведомлены об обстановке в мире цифровых угроз. Ориентироваться в нем помогают учебные курсы, которые позволяют подготовить истинных профессионалов в области промышленной кибербезопасности.
Prevent
В традиционной информационной безопасности Prevent — ключевой сегмент. В индустриальной — самый противоречивый. Если в обычной инфраструктуре появляется угроза, правильнее всего заблокировать ее. Между тем в промышленных системах не только ложное срабатывание, но и блокирование подлинной угрозы может обойтись слишком дорого: возникает риск остановки технологического процесса. С самыми разными последствиями, вплоть до катастрофических, особенно когда речь идет о критически важном объекте инфраструктуры.
Поэтому многие специалисты по автоматизации до сих пор крайне предвзято относятся к традиционным технологиям, предотвращающим атаки, к антивирусным в том числе. И не без оснований: обычные продукты такого типа создавались без учета специфики АСУ ТП.
Наши решения включают в себя специализированную защиту, которая призвана в первую очередь сохранять непрерывность технологического процесса и интегрируется со SCADA-системами и прочими компонентами АСУ ТП. В ней работают не столько классические предотвращающие антивирусные технологии, сколько специальный контроль приложений, контроль устройств (часто инженеры приносят на объект собственные телефоны, ноутбуки и другую технику), сетевая защита. Тем не менее антивирусные технологии нужны и в промышленных системах. Например, Anticryptor, борющийся с вирусами-вымогателями, которые становятся все более актуальной угрозой для промышленной инфраструктуры.
Некоторые технологии систем автоматизации требуют специального подхода. В нашем продукте Kaspersky Industrial CyberSecurity for Nodes помимо вышеперечисленных функций реализованы и абсолютно уникальные, например PLC Integrity Check, которая обеспечивает проверку целостности проекта на промышленном контроллере. Эта функция позволяет предотвращать атаки, которые пытаются заменить проект, закладывая в контроллер вредоносную логику (вспомним о Stuxnet).
Меняется и модель управления системой. В частности, оповещения об инцидентах получает не только команда IT-безопасников через привычный Kaspersky Security Center, но и инженеры, следящие за техпроцессом: наше решение умеет отправлять события безопасности непосредственно в человеко-машинные интерфейсы. Также, в отличие от классических решений для защиты рабочих станций, наш продукт для промышленной безопасности способен месяцами функционировать без перезапуска.
Реализуя стратегию предотвращения опасностей, крайне важно также повышать осведомленность сотрудников предприятия. Согласно исследованию SANS, второе по рискованности направление угроз — неумышленные нарушения безопасности со стороны персонала.
Каких только ошибок не допускают инженеры, имеющие дело с промышленным оборудованием. Бывает, они без задней мысли подключают к системе собственные устройства, разворачивают личные Wi-Fi-сети внутри изолированного периметра и так далее. Поэтому базовые тренинги по повышению уровня осведомленности о киберугрозах просто необходимы для всех сотрудников, отвечающих за эксплуатацию систем автоматизации. По нашему опыту высокоэффективны тренинги в игровой форме, такие как игра Kaspersky Interactive Protection Simulation.
Detect
Сегмент Detect для промышленной кибербезопасности имеет первоочередное значение. Логично, ведь в 99% случаев Detect — это пассивный мониторинг без воздействия на технологический процесс. Большинство игроков рынка промышленной кибербезопасности предлагают именно сетевой мониторинг и поиск аномалий в трафике. Вместе с тем средства защиты промышленных систем принципом анализа, как с точки зрения логики, так и с точки зрения реализации, отличаются от аналогичных решений, призванных отражать APT-атаки.
Прежде всего специализированные решения должны уметь разбирать промышленные протоколы, по которым передаются данные, описывающие технологический процесс (Modbus TCP, S7comm, IEC61850 и многие другие), и находить аномалии и отклонения в этих данных. Кроме того, сетевой мониторинг позволяет обнаружить все новые сетевые подключения, в том числе неавторизованные, и провести инвентаризацию промышленного сегмента сети, что с точки зрения безопасности всегда полезно.
Основная задача подобных решений — выявлять целевые атаки, с которыми не справились технологии из сегмента Prevention. Эти средства помогают бороться и с внутренними нарушениями. Представим себе сотрудника АЗС, отвечающего за эксплуатацию оборудования, в том числе за розлив топлива в бензовоз. Он хочет залить в цистерну чуть больше положенного, что не дает ему сделать автоматика. Тогда хитрец немного понижает температуру хранения горючего. Теперь оно занимает меньший объем, и бензина в резервуар помещается на несколько процентов от нормы больше. Дальше дело за сообщниками, которые будут сливать «неучтенку» и продавать ее налево. В обычной системе безопасности такой трюк остался бы незамеченным, но специализированное средство мониторинга промышленной сети легко обнаружит нарушение техпроцесса.
Наконец, решения сегмента Detect собирают дополнительные логи, которые, случись инцидент, существенно помогут в его расследовании.
Respond
Последняя часть модели ASA — Respond, или реагирование на случившиеся инциденты. Каждый безопасник втайне надеется, что до такого дело не дойдет. Хотя это лишь вопрос времени. Более того, часто именно с фазы Respond специалисты начинают знакомиться с киберзащитой индустриальных систем.
Главное, чтобы происшествие не застало вас врасплох: важно заранее составить план реагирования. К сожалению, типовая последовательность действий тут не подойдет. Свой план придется разрабатывать для каждой индустриальной вертикали, а по-хорошему — для каждого предприятия. А затем тщательно испытать его на местах, возможно, с симуляцией атаки.
Досконально расследовать инцидент своими силами крайне сложно. Можно прибегнуть к услугам профильных компаний, чьи сотрудники готовы в считаные часы выехать на место и провести все нужные оперативные процедуры. Однако на рынке не так много специалистов подобающей квалификации. У нас в «Лаборатории Касперского» такая команда есть, но и ее ресурсы не бесконечны.
На рынке кибербезопасности вообще не хватает высококвалифицированных специалистов. Еще острее кадровый дефицит в индустриальном сегменте, где нужно быть профессионалом не только в ИБ, но и в промышленных системах. Вот почему наряду с другими образовательными продуктами мы предлагаем курс по обучению Digital Forensics в промышленных средах.
Еще один вариант проведения расследования — обратиться за помощью в локальный CERT.
Также повторим совет из описания блока Detect, который упростит расследование киберинцидентов: пользуйтесь надежными системами детектирования и анализа. Как правило, информации из логов SCADA-систем мало для того, чтобы определить, откуда было осуществлено проникновение в сеть, и провести расследование должным образом.
Выводы
Промышленная кибербезопасность — динамично развивающийся рынок, и его игрокам, включая «Лабораторию Касперского», есть куда расти. Как поставщик услуг в сфере промышленной кибербезопасности, мы понимаем, что не все предприятия готовы взяться за внедрение новых защитных технологий сегодня. По многим причинам: где-то подобного не допускает нынешний регламент обновления ПО, кому-то пока не хватает бюджета, а часто сначала нужно обосновать такую необходимость множеству ответственных лиц.
Поэтому еще до того, как принять к реализации описанную в статье модель, стоит начать повышать осведомленность сотрудников об индустриальных киберугрозах. Это обеспечит вашему предприятию дополнительный уровень защиты от атак с применением социальной инженерии, а также упростит ему переход на специализированные решения. Просто потому, что у вас будет больше людей, понимающих, зачем все это нужно.
Но главное — у нас готовы те методы и технологии противодействия современным угрозам, которые позволят вам воплотить концепцию ASA шаг за шагом. А мы будем и дальше развивать это направление информационной безопасности как одно из самых актуальных. В частности, через Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (KL ICS CERT) — глобальный проект «Лаборатории Касперского», предназначение которого — координировать действия производителей систем автоматизации, владельцев и операторов промышленных объектов, а также исследователей в области информационной безопасности.
Советы