6 шагов к информационной безопасности АСУ ТП

Автор Сообщение
#1 / 08.03.2019 09:27
admin

LHFvfL4OjSE.jpg

Ли Ницель (Lee Neitzel) для InTech

  • Основная цель обеспечения безопасности систем автоматизации – поддержание их в рабочем состоянии, в первую очередь, предотвращением проникновения чужеродного программного обеспечения – вирусов и другого вредоносного ПО.
  • Эта цель может быть достигнута путем соблюдения 6 рекомендаций, разработанных на основе стандартов ISA/IEC/WIB, и описанных в данной статье.

Если вы похожи на большинство профессионалов промышленной автоматизации, это значит, вы осознаете, что уровень безопасности ваших систем автоматизации не так высок, как должен быть, а значит, вам хотелось бы улучшить данную ситуацию. Однако весь этот неумолкающий хор специалистов, рассуждающих о безопасности и стандартах, не может не смущать – а значит, вы ищете ясный и прямой путь, свободный от рекламных или откровенно запугивающих сообщений.

Основная цель информационной безопасности (ИБ) АСУ ТП – поддерживать необходимый уровень безопасности на предприятии, а также поддерживать непрерывность производства. По контрасту, перед ИТ-подразделениями стоит другая основная задача в области ИБ – сохранность данных, таких как номера кредитных карточек, от краж. Основная угроза для ИБ в обеих областях – проникновение зловредного ПО в систему.

Основные пути проникновения зловредного ПО в систему: 1) использование механизмов передачи данных, таких как файлообменники, а также FTP; 2) использование уязвимостей в сетевом ПО, позволяющих зловредному коду проникать в систему; 3) автоматическое копирование файлов с USB-накопителей, CD, DVD, мобильных телефонов и т.д. в систему.

Защититься от этой угрозы можно в 6 шагов. Они сформулированы на основе стандартов NIST, ISA, а также стандартов промышленной ИБ, которые сейчас находятся в процессе интеграции в единый международный стандарт IEC 62443. Они описывают не только механизмы безопасности, предназначенные для систем управления, но и требования к поставщикам таких систем. Уже существуют системы сертификации для поставщиков систем ИБ для АСУ ТП.

Перед началом реализации этих рекомендаций вам следует убедиться в том, что у вас есть политики безопасности для АСУ ТП. Если у вас их еще нет – обратитесь к ИТ-департаменту. У них такие политики обязательно есть, и вы можете использовать их опыт. Ваши политики безопасности должны быть согласованы с каждым из 6 шагов, описанных ниже, и быть направлены на то, чтобы сохранять от зловредного ПО ваши системі управления технологическими процессами.

Шесть шагов к информационной безопасности

Шаги, описанные ниже, основаны на твердой уверенности в том, что информационная безопасность не может быть достигнута путем простого приобретения системы управления с нужными функциями безопасности. Безопасность – это даже не столько технология, сколько процесс. Перечисленные выше шаги направлены на противодействие не только угрозе зловредного ПО, но и другим потенциальным атакам на системы управления.

Данные шаги можно и нужно делать последовательно, в эволюционной манере, и достигать последовательного улучшения ИБ на протяжении времени. Процесс эволюции ИБ определен в модели зрелости, содержащейся в стандарте IEC. Она буквально создана для того, чтобы подтолкнуть вас сделать первый шаг на пути к ИБ, вместо того, чтобы предаваться раздумьям о том, что безопасность – это слишком сложно и расплывчато, а ее достижение маловероятно.

В целом, принятие этих новых стандартов безопасности будет проходить примерно так же, как принятие концепции ремней безопасности в автомобилях, через которое мы все прошли: от первоначального отрицания до осознания преимуществ.

Шаг 1: Безопасность периметра сети

Шаг 1 предполагает установление безопасности периметра сети, для контроля тех точек, где чужеродное ПО может проникнуть в систему автоматизации производства. Как видно из иллюстрации, в типичной системе управления корпоративные сети находятся в модели Пердью на уровнях 3 и выше, в то время как сети систем управления и полевые шины – на уровнях 2 и ниже.

A2zlEbLE1pY.jpg
Файрволы используются для внутренней сегментации системы управления и ее изоляции от уровня 3 и других внешних сетей. Необходимо убедится в том, что весь входящий/исходящий трафик системы управления зашифрован, и проходит как минимум через один файрвол. Кроме того, ни при каких обстоятельствах рабочим станциям уровня 2 нельзя давать прямой доступ в Интернет, или присваивать IP-адрес, который позволит подсоединиться к ней из Интернета.

В рамках системы управления, файрволы необходимо использовать для того, что чтобы защищать контроллеры, сети беспроводных устройств и сети безопасности от рабочих станций уровня 2. Кроме того, должны использоваться маршрутизаторы с блокируемыми портами для предотвращения доступа неавторизованных устройств к системе управления. Эти файрволы и маршрутизаторы, в комбинации с файрволами уровней 2 и 3, создают многослойный периметр сети, с наименьшим уровнем доверия присвоенным уровню 3 и наибольшим – уровню 1.

Менее критичные к безопасности и доступности компоненты, такие как хранилища исторических данных, должны устанавливаться на верхних уровнях иерархии, с меньшей защитой, однако, соответственно и с более легким доступом – так, что персонал сможет свободно получать доступ к необходимым данным и вносить изменения при необходимости.

Как только файрволы и коммутаторы будут установлены, начинается их поддержка, которая должна длиться на протяжении всего жизненного цикла, чтобы предотвратить деградацию эффективности. Правила файрволов должны постоянно обновляться, для отражения изменений в ИТ и системах управления, а также для защиты от возможных новых угроз. Неиспользуемые порты должны постоянно проверяться на предмет того, что они по-прежнему заблокированы.

Шаг 2: Защита рабочих станций

Шаг 2 предусматривает защиту рабочих станций системы управления, с тем, чтобы затруднить их заражение зловредным ПО. Для этого есть пять основных действий.

1) Нужно применить специальный шаблон от Center for Internet Security (CIS) для задания политик на рабочей станции.

2) Рабочим станциям должны быть назначены операторские или инженерные функции, а, значит, все приложения, услуги и порты, которые не нужны для их поддержки, должны быть удалены или деактивированы. Это делается для того, чтобы их уязвимости (известные и нет), нельзя было использовать.

3) Должно быть установлено антивирусное ПО для обнаружения и удаления зловредного ПО, еще до того, как оно может заразить рабочую станцию. Вирусные базы данных всегда нужно поддерживать в самом актуальном состоянии.

4) Система должна быть сконфигурирована таким образом, чтобы доступ к важным файлам был только у авторизованных пользователей. К сожалению, зачастую, по умолчанию все пользователи пользуются правами администратора на рабочей станции. Пользователи должны быть тщательно проанализированы, и каждому должен быть предоставлен доступ только к тем файлам/директориям, которые ему нужны для работы.

5) USB-порты, DVD-приводы должны быть заблокированы, за исключением тех моментов, когда они используются в производственных целях. Пользователям надо постоянно напоминать, что переносные средства хранения информации – один из наиболее распространенных способов заражения систем. Якобы «потерянная» на парковке флэшка – один из многих сценариев подбрасывания зараженного носителя сотруднику компании, в надежде, что тот подберет ее, и захочет проверить содержимое на рабочем компьютере.

Наконец, эти меры можно дополнить еще одной: регулярная перезагрузка рабочей станции для защиты от вирусов, резидентно обитающих в операционной памяти. Некоторые из довольно изощренных и эффективных кибератак были осуществлены с помощью именно такого ПО – которое объективно сложно обнаружить. Рабочие станции, становящиеся целью таких атак, обычно работают в режиме 24/7. Перезагрузка этих рабочих станций, когда позволяет обстановка, позволит устранить этот тип зловредного ПО.

Шаг 3: Управление учетными записями

Шаг 3 предполагает управление учетными записями. Пользователи должны получать только те права, которые им нужны; их пароли должны быть достаточно длинными и включать 3 из 4 следующих элементов: символы в верхнем регистре, нижнем, числа, специальные символы. Ограниченный набор прав уменьшит возможности чужеродного ПО, которое инфицировало пользовательскую программу, по использованию прав этого пользователя для совершения зловредных действий – очень обычная техника для такого рода атак.

Использование сложных паролей значительно усложняет процесс их угадывания для хакеров. Кроме того, должны быть настроены политики регулярного устаревания паролей, а старые пароли, во всяком случае, три последних, не должны допускаться системой для использования в качестве очередного. Защита паролей не только защищает системы от заражения зловредным ПО, но и не дает хакерам входить в систему под чужим именем.

Если зловредное ПО действует в какой-либо программе пользователя, и у него получается получить доступ к паролю администратора, это ПО сможет расширить права данной программы, или запустить другую программу от имени администратора. Эти техники широко используются зловредным ПО для расширения своих прав.

Шаг 4: Обновления безопасности

Шаг 4 обеспечивает актуальность всех обновлений безопасности и для ОС и для системы управления. Эти обновления устраняют уязвимости, которые могут быть использованы зловредным ПО. В Интернете можно найти бесплатные инструменты, которые помогут хакерам проверить рабочую станцию на предмет уязвимостей, обнаружить их и заразить рабочую станцию, получив доступ к оболочке cmd.exe. Как вариант, инструмент может просто позволить загрузить исполняемый код на рабочую станцию и запустить его. Конечно, обновления не должны прерывать работу основного ПО рабочей станции. Сертифицированные поставщики обязательно проверяют работу всех обновлений безопасности на своих системах.

Шаг 5: Резервное копирование и восстановление

Шаг 5 предполагает разработку и реализацию плана резервного копирования и восстановления. Эффективный план позволит восстановить данные и ПО инфицированной системы до неинфицированного состояния. От сертифицированных производителей требуется иметь стратегию копирования и восстановления, которая дает четкие рекомендации, когда и как восстанавливать систему до стабильного состояния, даже если нет признаков заражения. Это весьма важно, так как зловредное ПО часто «прячется» от обнаружения и может находиться в «спящем» состоянии до нужного момента.

Шаг 6: Мониторинг безопасности и оценка рисков

Шаг 6 включает мониторинг системы на предмет подозрительных активностей и оценку рисков. Приложения для мониторинга безопасности проверяют логи рабочих станций, файрволов, коммутататоров и других устройств на предмет наличия чужеродного ПО. Некоторые приложения проверяют сетевой трафик, использование процессора, памяти, на предмет наличия каких-либо аномалий. При отсутствии приложений автоматизированного мониторинга, логи событий и сетевого трафика необходимо проверять вручную, на предмет, к примеру, неожиданного роста сетевого трафика, особенно в нетипичное время. Оценка рисков должна осуществляться во время разработки, еще до передачи системы заказчику, а также при осуществлении поддержки системы. Это позволит убедиться, что внесенные изменения не привели к ослаблению защиты системы. Действия, которые можно предпринять после оценки рисков: введение новых правил файрвола, блокировка новых портов коммутатора, более эффективные политики паролей, деинсталляция ненужного ПО, более эффективные процедуры управления подсоединением внешних устройств, таких как USB-накопители.

Слияние стандартов облегчает соответствие

В прошлом целый ряд различных групп работал в независимом порядке над созданием стандартов безопасности. Теперь же эти группы работают вместе над созданием одного общего стандарта, который сильно облегчит внедрение и соответствие.

ISA запустила проект ISA99, Industrial Automation and Control System Security (Безопасность систем промышленной автоматизации и управления), 10 лет тому назад, с тем чтобы создать полноценный набор стандартов безопасности для автоматизации производства. Результат работы был подан для стандартизации в IEC как IEC 62443.

Параллельно, International Instrument Users’ Association, называемая также WIB, разработала стандарт безопасности для лучших практик производителей систем управления. Он дополняет набор ISA-99 и также был принят для стандартизации в серии ISA-99/IEC 62443.

Также параллельно было разработано два стандарта сертификации безопасности для уровней конечных устройств: ISA SecureDevice и Wurldtech’s Achilles Communication Certification. Эти стандарты также интегрируются в серию ISA-99 IEC 62443.

В целом, отрасль идет в направлении стандарта IEC 62433. Он обеспечит весьма обширный набор требований в области промышленной ИТ-безопасности, включая стандарты для организаций, систем управления, компонентов, процессов внедрения и поддержки. Существующие программы сертификации продолжат свое существование, однако, будут ориентироваться на стандарты IEC 62443, а не на свои собственные спецификации.

Завершение

Промышленная ИТ-безопасность – это не только программное и аппаратное обеспечение. Персонал интегратора и эксплуатационный персонал должны способствовать распространению понимания принципов безопасности всеми сотрудниками, а также поддерживать безопасность системы управления на требуемом уровне.

Появляющиеся стандарты, сливающиеся с IEC 62443, диктуют требования к производителям систем и компонентов управления, а также к системным интеграторам. В контексте IEC 62443 программы безопасности проходят эволюционный процесс, позволяющий им достигать зрелости.

Наконец, целый ряд производителей прошли сертификационный процесс, отражающий их верность принципу управления безопасностью систем. Использование услуг и продукт сертифицированных производителей и интеграторов позволяет уменьшать расходы и риски, а также быстрее обеспечивать соответствие требованиям стандартов – и на этапе внедрения, и на разных этапах жизненного цикла систем автоматизации.

Источник: http://ua.automation.com/content/6-shagov-k-informacionnoj-bezopasnosti-asu-tp

Сообщения: 463