1. Принципы обеспечения безопасности в условиях сближения IT и OT
2. Содержание
Аннотация 3
Раздел 1:
Причины конвергенции IT и OT ....................................................................................... 4
Раздел 2: Рекомендуемые методы обеспечения безопасности для OT ....... 6
1. Идентификация ресурсов, классификация и расстановка приоритетов...6
2. Сегментация сети ............................................................................................................... 8
3. Анализ трафика на наличие угроз и уязвимостей ............................................. 9
4. Управление идентификацией и доступом ............................................................ 11
5. Защита проводного и беспроводного доступа ................................................. 12
Заключение: проактивное ограничение рисков в сетях OT ............................ 14
3. Аннотация
Сети операционных технологий (OT)*, которые управляют оборудованием в критически важных инфраструктурах, например инженерные коммуникации и производственные сборочные линии, традиционно отделены от информационных (IT) сетей, через которые осуществляется управление данными во всех организациях. В последние годы такие инновационные технологии в области ИТ, как искусственный интеллект (ИИ) и аналитика больших данных, обещают также повысить эффективность сетей OT. В результате интеграция сетей OT и ИT ускоряется. Это увеличивает количество векторов цифровых атак, при этом сети OT подвергаются атакам, исходящим из сетей IT. Нарушения безопасности в OT теперь стали обычным делом. Чтобы предотвратить атаки и минимизировать риски для OT, используйте следующие пять рекомендаций: 1) увеличьте видимость сетей, 2) сегментируйте сети, 3) проведите анализ трафика на наличие угроз, 4) обеспечьте управление идентификацией и доступом и 5) защитите как проводной, так и беспроводной доступ. Эти рекомендации предлагаются в качестве основы для повышения уровня безопасности OT.
*OT — это синоним промышленной системы управления (ICS) . Термин OT противопоставляется IT и был введен из-за различия в протоколах, поставщиках и вариантах использования между этими технологиями. К OT принадлежат системы диспетчерского управления и сбора данных (SCADA) . Системы SCADA используют графические пользовательские интерфейсы для высокоуровневого управления процессами в OT/ICS.
4. 01. Причины конвергенции IT и OT
Новейшие разработки в области IT, от машинного обучения (ML) до дополненной реальности (AR) и интернета вещей (IoT), приводят к перестройке процессов и повышению эффективности во многих секторах бизнеса. Обычно этот процесс называют цифровой трансформацией (DX).
В сетях OT, управляющих такими критически важными инфраструктурами, как трубопроводы, электрические сети, транспортные системы и производственные объекты, изменения происходят не так быстро. OT-среды имеют жизненно важное значение для общественной безопасности и благополучия глобальной экономики. Они разрабатывались за десятилетия до IT-сетей различными производителями и используют собственные протоколы. Первое время стимулов для объединения OT- и IT-сетей было немного, особенно из-за повышенного риска кибератак в результате такого объединения.
Тем не менее, три четверти OT-организаций в недавнем опросе показали, что они установили, по крайней мере, базовые связи между IT и OT, чтобы повысить производительность и снизить затраты1. Новые цифровые технологии в OT-средах приводят к таким масштабным изменениям, что мы вполне можем говорить о Четвертой промышленной революции.2 Датчики оптимизируют производственные линии.3 Очки дополненной реальности снижают количество ошибок складских работников.4 Преимущества очень значительны: организации, показатели которых в области цифровой трансформации достигают верхнего квартиля, получили почти в два раза больше прибыли, чем организации с показателями в нижнем квартиле.5
Прибыль лидеров в области цифровой трансформации в 2 раза выше, чем у аутсайдеров.
Сложность интеграции IT и OT заключается в том, что с увеличением количества векторов цифровых атак возрастает риск кибератак. Почти 90% организаций с OT-средами столкнулись с нарушениями безопасности в своих OT-сетях.
5. Почти 90% OT-сред столкнулись с нарушениями безопасности.
6. 02. Рекомендации по обеспечению информационной безопасности OT
Так как минимизировать риски и в то же время получить максимальную прибыль? Далее мы рассмотрим пять областей, которые руководители OT должны взять под контроль, чтобы обеспечить защиту от вредоносных кибератак.
1. Идентификация ресурсов, классификация и расстановка приоритетов
В первую очередь для повышения уровня безопасности следует позаботиться о видимости: невозможно защитить то, что нельзя увидеть. Плохая видимость является существенным недостатком системы безопасности во многих организациях, при этом 82% признают, что не могут идентифицировать все устройства, подключенные к их сетям.7
Отделам безопасности необходим актуальный список устройств и приложений, работающих в сети. Одна из проблем заключается в том, что многие OT-сети нельзя подвергать активному сканированию методами, которые используются для IT-сетей. Активное сканирование может сказаться на производительности сети или вывести из строя такие элементы OT, как программируемые логические контроллеры.8
Отделам безопасности для оценки угроз следует рассмотреть возможность обращения к поставщику или технологическому партнеру. В процессе оценки иногда используют такую систему, как межсетевой экран следующего поколения (NGFW ), который может распознавать протоколы приложений OT и пассивно отслеживать сетевой трафик, в том числе зашифрованный. Система использует информацию, которую она собирает, для профилирования и классификации устройств в сети на основе их характеристик и поведения. Результатом является отчет, который:
• содержит список подключенных устройств;
• выявляет приложения с высоким уровнем риска;
• обнаруживает и идентифицирует самые опасные уязвимости приложений;
• оценивает риски для каждого ресурса;
• идентифицирует признаки вредоносных программ, ботнетов и устройств, которые могут быть скомпрометированы;
• классифицирует приложения и анализирует использование ими сетевых ресурсов.
Эта информация служит отличной базой для расстановки приоритетов, минимизации рисков и оптимизации планов по обеспечению безопасности.
7. 72% не способны идентифицировать все устройства в своих сетях. Оценка дополнительных угроз может изменить топологию вашей сети.
8. 2. Сегментация сети
Сегментация сети является одной из самых эффективных архитектурных концепций для защиты OT-сред.9
Идея заключается в том, чтобы разделить сеть на несколько функциональных сегментов, или зон (которые могут включать подзоны, или микросегменты) и предоставить доступ к каждой зоне только устройствам, приложениям и пользователям, прошедшим проверку подлинности. Межсетевой экран определяет и применяет зоны, а также настраивает проводники, которые представляют собой каналы, обеспечивающие важным данным и приложениям возможность перехода из одной зоны в другую.
• Ограничивает атакующим возможность перемещений по внутренней сети.
• Жесткий контроль доступа ограничивает доступ к каждой зоне.
Архитектурная модель зон и проводников значительно снижает риск вторжений. Она ограничивает атакующим возможность использовать внутренний трафик. Пользователи или устройства, прошедшие проверку подлинности для определенных действий в определенной зоне, могут работать надлежащим образом только в пределах этой зоны.
Сегментация является базовой рекомендацией для обеспечения безопасности OT согласно стандарту безопасности ISA/IEC-62443 (ранее ISA-99. 10 Этот стандарт был разработан Международной ассоциацией автоматизации (International Society for Automation, ISA); впоследствии в целях обеспечения соответствия стандартам Международной электротехнической комиссии (International Electro-Technical Commission, IEC) ему был присвоен номер 62443.
Стандарт безопасности ISA/IEC-62443 содержит рекомендации по сегментации сетей OT. Каждой зоне присваивается уровень безопасности от 0 до 4, где 0 означает самый низкий уровень, а 4 самый высокий. Для ограничения доступа к каждой зоне и проводнику применяются жесткие меры управления доступом, основанные на проверке подлинности пользователей или устройств.
Отделам безопасности рекомендуется использовать межсетевой экран, оснащенный специализированным процессором безопасности, который предназначен для ускорения определенных этапов обработки процессов и функций сканирования содержимого по сравнению с обычными ЦП, используемыми в большинстве межсетевых экранов. Специализированные процессоры позволяют использовать службы высокоскоростного шифрования и проверки содержимого без снижения производительности сети. Это важно для того, чтобы зоны и проводники не становились узкими местами.
9. 3. Анализ трафика на наличие угроз и уязвимостей
После того как межсетевой экран нового поколения разделит сеть на сегменты и проводники, важно проанализировать сетевой трафик на наличие известных и неизвестных угроз.
Отделам безопасности рекомендуется интегрировать в сеть межсетевой экран следующего поколения, который умеет проверять зашифрованный трафик приложений. Кроме того, межсетевой экран следующего поколения должен получать обновления по наиболее распространенным протоколам OT и уязвимостям приложений OT, поэтому необходимо также интегрировать службу прямой трансляции. Эта служба позволяет межсетевому экрану следующего поколения проверять трафик приложений OT и обнаруживать эксплойты. Обновления межсетевого экрана с помощью глобальных интеллектуальных оповещений в режиме реального времени позволяют выявлять даже новые и сложные угрозы. При интеграции с совместимым решением по обеспечению безопасности конечных точек межсетевой экран может отслеживать конечные точки на предмет выявления индикаторов компрометации (IOC), полученных из различных источников по всему миру.
Кроме того, межсетевой экран может обучаться на данных сетевого трафика и устанавливать базовый уровень или понимание того, что является нормальным или аномальным в системах IT и OT. Он может помещать в карантин, блокировать или отправлять оповещения при обнаружении аномальной активности или IOC. Интегрированные в межсетевой экран возможности ИИ, которые поставляются в составе саморазвивающейся системы выявления и анализа угроз, создают сигнатуры для обнаружения угроз нулевого дня еще до того, как они будут написаны.
Чтобы упростить поиск угроз и формирование отчетов о соответствии требованиям, отделам безопасности рекомендуется использовать систему управления информационной безопасностью и событиями безопасности (SIEM), которая может сопоставлять данные из специализированных решений и журналов устройств в сетях IT и OT. Оптимальным подходом является интеграция SIEM для отображения топологии сети в реальном времени, а также отслеживания и записи событий безопасности. Такой подход обеспечивает сопоставление информации из разных решений для предоставления контекста, минимизации времени отклика и упрощения отчетности.
• Рейтинг безопасности представляет собой количественное выражение эффективности вашей системы безопасности.
• Глобальная трансляция обновлений, связанных с уязвимостями приложений
Рейтинг уровня безопасности, предоставляемый источником данных об угрозах, необходим для количественной оценки эффективности системы безопасности и сравнительного анализа уровня безопасности организации с уровнем безопасности конкурентов. Это полезно при составлении отчетов о соответствии требованиям и ответов на вопросы высшего руководства об эффективности системы безопасности.
10. 45%пренебрегают мониторингом учетных записей с высоким уровнем доступа.
11. 4. Управление идентификацией и доступом
Похищенные учетные данные используются во многих кибератаках на OT, включая три из четырех ранее профилированных. Ключевым элементом этих атак является фишинг, с помощью которого злоумышленники похищают учетные данные. Для доставки практически двух третей вредоносного ПО, которое было установлено в угрожающих средах, использовалась электронная почта.11 Первым уровнем защиты в управлении эксплойтами идентификации и управления доступом (IAM) должен быть защищенный почтовый шлюз с защитой на основе сигнатур и репутации.
45% OT-организаций не используют управление доступом на основе ролей.
Еще одна распространенная уязвимость, связанная с контролем доступа, основана на том факте, что 45% опрошенных респондентов OT не используют функции управления привилегированными пользователями для администраторов, с помощью которых организации могут контролировать высокоуровневые учетные записи в своих IT-средах.12 Это повышает риск ущерба в результате похищения учетных данных администратора, что является основной целью многих атакующих.
Еще 45% организаций OT не используют управление доступом на основе ролей для сотрудников, что увеличивает риск внутренних угроз,13 хотя большинство организаций заявляют, что у них есть планы по внедрению этих технологий.14 Отделам безопасности следует выбирать решение IAM, которое:
• обеспечивает управление доступом на основе ролей для каждого пользователя и разрешает доступ только к определенным ресурсам и микросегментам сети благодаря интеграции с межсетевым экраном;
• проверяет подлинность с использованием многофакторной аутентификации, объединяя то, что пользователь знает (например, имя пользователя и пароль), то, что пользователь имеет, например телефон, сертификат ноутбука или физический ключ безопасности, и то, что является неотъемлемой частью пользователя, например отпечаток пальца или другие биометрические данные;
• предоставляет возможность единого входа в систему (SSO), который обеспечивает экономию времени за счет применения к пользователю корпоративных политик безопасности без дополнительных экранов входа;
• проверяет подлинность подключенных к сети устройств, отслеживая их характеристики и поведение, и обращает внимание на необходимость обновления программного обеспечения для исправления уязвимостей;
• разрешает доступ только устройствам, прошедшим проверку подлинности, и блокирует все остальные порты.
12. 5. Обеспечение безопасности проводного и беспроводного доступа
Одними из самых привлекательных целей для кибератак в OT-средах являются сетевые коммутаторы и точки беспроводного доступа (AP). И те, и другие должны иметь защищенную конструкцию с администрированием через централизованный интерфейс, а не использовать внешние решения обеспечения безопасности, управляемые через несколько интерфейсов.
Централизованное управление безопасностью не только снижает риски, но также повышает видимость и минимизирует время, затрачиваемое сотрудниками отделов безопасности и эксплуатации на задачи, связанные с администрированием.
Вероятность потенциальных атак через проводные и беспроводные точки доступа во многих компаниях становится все выше. В одном из опросов все компании использовали несколько беспроводных или IoT-технологий, которые могли иметь подключения к OT-сетям15. В среднем было подключено 4,7 IoT-технологий, причем чаще всего это были устройства с функцией GPS и датчики безопасности.16
Повышение риска можно свести к минимуму путем выбора межсетевого экрана, который встраивается в комплексную платформу безопасности. Платформа позволяет администраторам централизованно распространять детализированные политики безопасности на интегрированные коммутаторы и беспроводные точки доступа и управлять настраиваемыми виртуальными локальными сетями для различных групп сотрудников и оборудования. Кроме всего прочего, такой межсетевой экран обеспечивает централизованную подготовку и управление распространенными устаревшими коммутаторами и беспроводными точками доступа сторонних поставщиков.
Централизованное управление системой безопасности для точек доступа снижает риск.
Еще одна особенность, которую следует иметь в виду при выборе межсетевых экранов, коммутаторов и беспроводных точек доступа, – это усиленный форм-фактор, допускающий установку в экстремальных условиях полевых участков, которые часто встречаются в таких OT-системах, как электрические сети, нефтепроводы и любые распределенные системы. Устройства должны быть рассчитаны на работу в самых жарких и холодных местах на земле. Они должны поддерживать распространение централизованных политик безопасности на географически удаленные участки сети, на которых объекты могут подвергаться атакам вследствие того, что атакующие ожидают на этих участках меньшего уровня безопасности. Отказ оборудования на границе сети не просто раздражает; это может означать дорогостоящее критическое время простоя и сжатые сроки на устранение отказа оборудования.
13. Комплексная платформа безопасности может прийти на замену настраиваемым виртуальным локальным сетям по всему миру.
14. Заключение: проактивное ограничение рисков в сетях OT
Чтобы оставаться конкурентоспособными, организации подключают OT-среды к своим IT-сетям. В большинстве случаев конвергенция IT и OT в организации является плановым и стратегическим мероприятием. Возможно, что существуют также интеграции, которые осуществлялись не по плану, и даже такие, о которых никого не ставили в известность. Так, проект SHINE (SHodan INtelligence Extraction), который реализует многолетнее глобальное сканирование Интернета, обнаружил 2 миллиона подключенных OT-устройств (включая инфраструктуру для обслуживания таких устройств управления OT, как контроллеры систем отопления, вентиляции и кондиционирования и последовательные преобразователи).17
Хотя интеграция IT и OT становится стратегической инициативой, она также увеличивает вероятность нарушений безопасности OT. Опыт показывает, что нарушение информационной безопасности — это вопрос не столько вероятности, сколько времени. Хотя нарушениям невозможно противостоять 100% времени, их можно удерживать в определенных границах с помощью сегментации сети, быстрее обнаруживать благодаря анализу трафика и минимизировать их периодичность с помощью идентификации, управления доступом к ресурсам, а также управления проводным и беспроводным сетевым доступом. Выполнение этих рекомендаций может значительно снизить стоимость и потенциальное время простоя, если злоумышленнику все же удастся проникнуть в OT-сеть.
15. Источники
16. www.fortinet.com/ru
© Fortinet, Inc., 2019. Все права защищены. Fortinet®, FortiGate , FortiCare®, FortiGuard® и другие знаки являются зарегистрированными товарными знаками компании Fortinet Inc.; иные названия Fortinet, упомянутые в данном документе, также могут быть зарегистрированными и/или охраняемыми нормами общего права товарными знаками компании Fortinet. Все иные названия продуктов и компаний являются товарными знаками соответствующих владельцев. Показатели производительности и иные показатели, приведенные в данном документе, были получены в ходе внутренних лабораторных испытаний при идеальных условиях; фактические показатели производительности и другие результаты могут отличаться. На показатели производительности могут оказать влияние сетевые переменные, различия сетевых сред и иные обстоятельства. Данный документ не следует рассматривать как твердое обязательство компании Fortinet; компания Fortinet отказывается от обязательств по всем гарантиям, как явным, так и подразумеваемым, за исключением обязательств по соглашениям с покупателями, заключенным в письменной форме за подписью главного юрисконсульта Fortinet, и в явной форме гарантирующим получение в ходе использования указанного продукта результатов, соответствующих зафиксированным в соглашении показателям производительности — в данном случае компания Fortinet берет на себя исключительно обязательства по обеспечению указанных в письменном соглашении результатов. Для полной ясности любая гарантия относится к применению продукта в идеальных условиях, аналогичных условиям проведения внутренних лабораторных испытаний Fortinet. Компания Fortinet полностью отказывается от каких-либо договоренностей, представлений и гарантий, связанных с данным документом, как явных, так и подразумеваемых. Компания Fortinet сохраняет за собой право изменять, перемещать или иными способами исправлять данную публикацию без уведомления; актуальной является последняя версия публикации.