В данном материале мы предлагаем нашему читателю познакомиться с преимуществами, которые предоставляются предприятию при внедрении принципов нулевого доверия, наименьших привилегий и других основных методов оптимизации цифровой безопасности, которые позволяют снизить риски потери важных оперативных данных и их передачи злоумышленникам. Еще совсем недавно кибербезопасность была узкой отраслью информационных технологий. Только опытные специалисты с учеными степенями в области компьютерных наук готовились к худшему, проводили необходимые блокировки, чтобы не допустить злоумышленника в ИТ-сеть. Поскольку ИТ-сеть рассматривалась как единственный путь в сеть операционных технологий (OT), это считалось достаточным для большинства компаний. Угрозы оставались за пределами сетей ОТ.
Вредоносное ПО тогда уже разрабатывалось, случались заражения с USB-носителей или при подключении к Интернету, иногда злоумышленники получали доступ, взламывая беспроводные сети. Но серьезные инциденты происходили редко, и для большинства риск казался приемлемым.
В последние годы ОТ-сети расширились. Одни предприятия используют линейную сетевую топологию (так называемые «канзасские» сети). Другие внедряют технологии «Интернета вещей» или промышленного «Интернета вещей» (IoT/IIoT), устройства и системы которых взаимодействуют через облачные соединения. Эти новые схемы построения OT вызвали значительные изменения, появились обходы сетевых уровней или Purdue-моделей. У компаний возникла необходимость адаптироваться к новым условиям и поддерживать сети, не замедляя развитие цифровизации. Они задались вопросом: как достичь желаемых бизнес-результатов, сохраняя при этом бдительность на фронте кибербезопасности?
Уменьшить риск можно с помощью четырех ключевых технологий и концепций безопасности для компаний и пользователей:
- нулевое доверие;
- принцип наименьших привилегий;
- пассивный и активный мониторинг сети;
- применение технологий SIEM.
Нулевое доверие
Нулевое доверие — одна из наиболее важных концепций безопасности, появившихся за последнее десятилетие. Большинство считает это новым золотым стандартом безопасности сетевой работы, и он был принят многими промышленными компаниями и военными институтами по всему миру. Идея нулевого доверия предполагает, что злоумышленник уже мог незаметно проникнуть в сеть. По этой причине в компании не должны доверять никаким данным, поступающим на устройства, серверы и программное обеспечение. Но если вы не доверяете информации, как вы можете при этом взаимодействовать? В сети с нулевым доверием все системы должны пройти идентификацию каждый раз при запросе доступа к тому или иному ресурсу. Это достигается с помощью нескольких механизмов, таких как зашифрованный трафик с использованием общепринятых стандартов, аутентификация по имени пользователя и паролю, а иногда и с дополнительными учетными данными — клиентскими сертификатами или секретными ключами. Система должна распознать, кто кем является. Простое появление в локальной сети не должно убеждать в безопасности: доступом мог завладеть злоумышленник.
Тактику нулевого доверия трудно внедрить при выполнении так называемой браунфилдской разработки промышленных сетей. Многие программируемые логические контроллеры (ПЛК) и удаленные терминалы (RTU) имеют много уязвимостей в безопасности. Любой инженер по автоматическому управлению сможет назвать признаки ПЛК, небезопасные по своей конструкции. Если к ПЛК или RTU можно подключиться из системы диспетчерского управления и сбора данных (SCADA) по собственному нестандартному протоколу, используя только IP-адрес, скорее всего, они небезопасны. К таким ненадежным устройствам можно отнести большинство ПЛК и RTU.
Философия нулевого доверия требует замены существующих ПЛК или их изоляции от устройств, имеющих больше возможностей для защиты. Даже на простые промышленные компьютеры можно установить современное программное обеспечение с блокировкой управления сетью, обменом данными по защищенным протоколам, таким как MQTT Sparkplug и OPC-UA. Выполнять разработку сети с нуля значительно проще. Некоторые современные ПЛК уже сконструированы с акцентом на безопасность, снабжены защитой и по умолчанию поддерживают стратегию нулевого доверия. Некоторые SCADA-системы также работают по защищенным протоколам MQTT Sparkplug и OPC-UA, используют аутентификацию личности и другие функции для обеспечения безопасности.
Современные устройства, протоколы и программное обеспечение с настройкой параметров безопасности упрощают использование лучших практик архитектуры нулевого доверия.
Принцип наименьших привилегий
Этот принцип прост по своему замыслу. Идея заключается в том, что любой объект сети может получить доступ только к тем ресурсам, которые необходимы для непосредственного выполнения его задач.
Во многих организациях есть группы инженеров, которые имеют доступ администратора ко всем системам. Если компания следует этому принципу, тогда младший инженер будет иметь доступ только к определенным системам и ограниченному набору функциональных возможностей.
Соблюдение данного принципа достаточно трудозатратно, но многократно снижает риск всей системы.
Пассивный и активный мониторинг сети
Многие ИT-специалисты имеют инструменты мониторинга ИT-сети. Хорошей идеей может стать их применение в ОТ-сетях. Система обнаружения вторжений (IDS) обеспечивает пассивный мониторинг. Это означает, что производится только наблюдение за сетевым трафиком, каких-либо данных в сеть не поступает.
Такие системы часто поддерживаются искусственным интеллектом и машинным обучением для выявления закономерностей и попыток обнаружения аномалий. Иногда IDS использует элементы активного мониторинга сети, при котором в сеть посылается некий пакет данных и обрабатывается ответ от контролируемых устройств и приложений.
Системы активного мониторинга иногда указывают на ПЛК или другие устройства, в которых были произведены изменения, а также отображают содержание подобных изменений. Если вместе с этим на предприятии внедрена система нулевого доверия и она работает хорошо, вряд ли взломщику удастся что-либо сделать в сети. Системы мониторинга помогают выявлять потенциальных злоумышленников и удалять их из сети, чтобы не дать им попытаться найти уязвимости в системе.
Применение технологий SIEM
В ИT-отделах большинства организаций используют технологии SIEM, но в отношении ОТ-сетей эти инструменты часто упускают из виду, хотя они могут принести большую пользу. Как система анализа отчетов они могут помочь определить сложности и отследить возникающие проблемы. Эти системы ориентированы на безопасность, но могут быть полезны для общего устранения неполадок и диагностики действующих систем.
Если компания применяет SIEM в ИT-сетях, а на других участках — нет, то стоит изучить вопрос о добавлении к этой технологии систем диспетчеризации и управления SCADA и других узлов ОТ-сети.
Автор: Кевин Маккласки (Kevin Mcclusky)
Источник: https://controleng.ru/