Тенденции защиты информации и рекомендации по выбору средств защиты информации – 3 основных тренда информационной безопасности АСУ ТП в 2021 году.
Тренд #1 – Эшелонированная защита
Эшелонированная (многоступенчатая) защита предполагает, что злоумышленник должен потратить много ресурсов для преодоления нескольких этапов защиты. Пандемия значительно ускорила объединение информационных сетей, программно-аппаратных комплексов для мониторинга и управления процессами и устройствами (OT), и IIoT. И если раньше OT традиционно изолировалась от IT, то сейчас они становятся все более взаимосвязанными, промышленные системы – заметными и уязвимыми, что приводит к росту числа кибератак.
Большинство IT-систем почти не требуют аутентификации и шифрования внутреннего доступа, поэтому киберпреступники могут получить неограниченный доступ к любому устройству сети, включая SCADA и другие важные компоненты АСУ ТП.
Ниже приведем несколько рекомендаций, которые могут помочь защитить АСУ ТП от злоумышленников:
1. Сегментация IT и OT сетей.
Можно взять под контроль участки промышленной сети на границе с корпоративным сегментом, при подключении технической поддержки, на участке сети с обособленными и смежными АСУ ТП, между SCADA и ПЛК. Для этого хорошо подойдут специализированные промышленные межсетевые экраны, которые могут своевременно обнаружить и заблокировать атаки на промышленные сети (встроенная система обнаружения вторжений), а также защитить от несанкционированного доступа и обеспечить безопасное удаленное подключение (VPN).
2. Защита рабочих станций и серверов АСУ ТП.
Операционная система Windows является самой распространенной в рабочих станциях АСУ ТП. В то же время, уязвимости этих систем свободно используются современными ботнетами для фишинговых атак. В таких условиях очень важно контролировать все действия оператора или диспетчера. Для этого нужны средства защиты класса Endpoint, которые могут построить комплексную многоступенчатую защиту.
Тренд #2 – Безопасная программная среда
Не только промышленные сети, но и сами рабочие станции АСУ ТП уже умеют подключения к IT-сетям, доступ к цеху и контроллерам. Зачастую именно они становятся отправной точкой кибератак: если злоумышленники столкнулись с массивной защитой – следующее уязвимое место они будут искать в оборудовании и операционной системе АСУ ТП.
Согласно данным британской компании Bulletproof, киберпреступникам достаточно 32 миллисекунды для атаки на общедоступное приложение. Такие приложения, как правило, бесплатные и устанавливаются без согласования со службой информационной безопасности.
Отсутствие контроля подключения съемных носителей информации и действий сотрудников может привести к разрушительным последствиям.
Установка обычной антивирусной защиты не подойдет, поскольку классический антивирус увеличивает нагрузку на промышленную сеть и может выдавать ложные срабатывания. Чтобы антивирус смог определить легитимность неизвестной программы, ему требуется ее открыть, изучить и только после этого принять решение о блокировке. Системы ограничения программной среды, в свою очередь, работают иначе: они не позволяют запускать файлы, не входящие в специальный лист допуска (white list), в том числе и вредоносное ПО, таким образом блокируя любые подозрительные программы. Кроме того, некоторые системы защиты информации могут обнаружить любые подозрительные изменения в программной среде рабочей станции или сервера АСУ ТП, что в итоге и создает безопасную программную среду, которая позволяет вовремя локализовать вредоносные действия.
Тренд #3 – Централизованное управление защитой и расследование инцидентов информационной безопасности
В 2020 году киберпреступники обратили особое внимание на сетевые ресурсы компаний, которые доступны из Интернета. Причиной этому стала пандемия и последующий поспешный вывод компаниями сервисов, которые раньше были доступны только из локальной сети.
В итоге обезопасили себя те компании, которые повысили прозрачность своих сетей, вели учет ее активов, а также тщательно наблюдали за хостами. Для того, чтобы своевременно и слаженно реагировать на угрозы, все эти процессы необходимо автоматизировать и дать специалистам по информационной безопасности возможность работать в едином интерфейсе.
Это позволит быстро выявить источник атаки, локализовать его и уменьшить площадь распространения, а командам кибербезопасности – быстро взаимодействовать между собой, особенно если компании имеют разветвленную филиальную структуру без единого центра управления системой безопасности информации.
Ниже приведем несколько рекомендаций, которые помогут вовремя отражать атаки и обезопасить АСУ ТП:
1. Необходимо помнить, что безопасность промышленной сети напрямую зависит от инвентаризации всех зарегистрированных и новых систем защиты информации и приложений.
Для своевременной локализации угроз очень важно получить данные со всех систем защиты информации в едином интерфейсе, расследовать события централизованно и автоматизировать управление активами АСУ ТП.
2. Создать четкий регламент и правила взаимодействия специалистов по информационной безопасности, которые будут выдаваться в случае происшествий.
Время – критический ресурс, когда речь идет о реагировании на киберугрозы, особенно в эпоху постоянно меняющихся внешних обстоятельств и процессов на предприятиях. Поэтому очень важно создать на предприятии все условия для непрерывного мониторинга угроз и оперативного реагирования.
