Промышленный сектор вышел на первое место по количеству кибератак, обогнав банки и госструктуры. На него приходится 17% всех инцидентов, причем 37% атак совершают профессиональные хакерские группировки. О том, почему автоматизация производства оборачивается уязвимостью и как выстраивать защиту в условиях, когда остановка процессов невозможна, рассказали эксперты компании Securitm.
Куда целятся хакеры
Специфика промышленных предприятий создает парадоксальную ситуацию: чем лучше автоматизировано производство, тем сложнее его защитить. В отличие от офисной инфраструктуры, где можно оперативно отключить скомпрометированные сегменты, на заводе такой номер не пройдет. «Мы не можем просто взять и перезагрузить какие-то ресурсы либо остановить процесс мгновенно, – объясняет Тимофей Викулин, руководитель отдела внедрений «Секьюритм».
Статистика, приведенная экспертами, подтверждает, что злоумышленники прекрасно осведомлены об этой уязвимости. 38% атак приводят к нарушению работы предприятия. Причем хакеры чаще бьют не по критическим, а по вспомогательным процессам, от которых зависит закупка сырья, логистика или взаимодействие с банками. Остановка таких сервисов парализует производство не хуже прямой атаки на ПЛК.
Самое слабое звено
Хотя промышленные системы автоматизации кажутся неприступными, у них есть объективно слабое место — человеческий фактор. В закрытые контуры управления, не имеющие выхода в Интернет, невозможно проникнуть напрямую. Но можно зайти через сотрудников.
«К ПЛК через социальную инженерию вы не попадете, – иронизирует Тимофей. – А вот отправить сотруднику интересное письмо или ссылку – вполне рабочий вариант. Люди ошибаются чаще, чем роботы».
И действительно, семь из десяти атак используют социальную инженерию. При этом целью чаще становятся офисные сегменты предприятий. Попав туда, хакеры постепенно продвигаются к технологическим контурам, повышая привилегии и используя легитимные инструменты для маскировки.
Три задачи, которые нельзя откладывать
Эксперты выделяют три направления, требующие первоочередного внимания служб информационной безопасности промышленных предприятий.
Контроль изменений. Без понимания того, из чего состоит инфраструктура, невозможно выстроить ни управление рисками, ни разграничение доступа, ни реагирование на инциденты. Когда часть данных в Excel, часть в голове у ИT-специалистов, часть в разрозненных системах мониторинга, расследование инцидента превращается в бесконечное хождение по кругу.
Контроль третьих лиц. Подрядчики и контрагенты с доступом к инфраструктуре предприятия – это вообще отдельная головная боль. Естественно, невозможно купить средство защиты информации для каждой сторонней организации и провести аудит ее систем. Но можно и нужно контролировать, кто, когда и зачем получает доступ.
Оценка соответствия. Бумажная безопасность многим кажется архаизмом, однако нормативные требования – не бюрократическая прихоть. «Она написана кровью, – напоминает Тимофей. – Если выполнять нормативку хотя бы на 80%, она выстраивает четкие границы и обеспечивает минимальную кибергигиену».
Решение
Как отметили эксперты, главная проблема служб информационной безопасности заключается не в отсутствии инструментов мониторинга, а в разрозненности информации. Собрать все воедино вручную, особенно в условиях расследования инцидента, достаточно трудно.
В рамках вебинара был продемонстрирован продукт компании. С его помощью специалист видит компьютер без антивируса, его владельца, который не проходил обучение, доступы контрагентов к смежным системам и потенциальные пути распространения атаки. Отказ контроллера автоматически подсвечивается на дашборде производственного процесса, а время простоя фиксируется до секунд. Причем видно не только сам факт сбоя, но и его влияние на смежные системы.
Установка дополнительных агентов на технологические системы часто невозможна или опасна. Поэтому сбор данных организуют безагентским способом из существующих источников: антивирусов, систем класса EDR, DLP, учетных систем, сканеров уязвимостей.
«Наша задача – не усложнять работу, – подчеркивает спикер. – У вас 100% уже есть антивирусы, скорее всего, есть EDR, системы учета пользователей. Мы забираем данные оттуда, а не лезем в инфраструктуру с новыми агентами».
Кроме того, присутствует блок управления доступом сторонних организаций. Сотрудник запрашивает доступ для контрагента через витрину сервиса, ответственный проходит опрос-подтверждение, система фиксирует сроки действия и напоминает о необходимости продления или отзыва прав.
При таком подходе можно контролировать, кто из контрагентов имеет доступ, до какого числа, какие именно ресурсы открыты и видеть это в контексте инцидентов.
Скажем откровенно, приказы регуляторов часто воспринимаются как досадная помеха. Однако при правильном подходе требования становятся каркасом системы защиты. На вебинаре показали, как можно привязать метрики из реальной инфраструктуры к требованиям по безопасности промышленных систем.
Если требование не выполняется, это сразу видно по красному статусу. Само невыполненное требование можно превратить в проект защитной меры: протянуть вторую линию электропитания, развернуть генератор, закупить ИБП, а затем контролировать выполнение через те же метрики.
Система позволяет автоматически пересчитывать применимость требований при установке новых активов. Появился в инфраструктуре SCADA-сервер – система сама «подсветит», какие требования из нормативной базы стали актуальны.
Заключение
Ключевой вывод экспертов: защита промышленных предприятий требует не столько новых инструментов, сколько системного подхода к сбору и анализу уже имеющейся информации. Данные из разрозненных источников нужно связать в единую картину, наложить на требования регуляторов и использовать для оперативного принятия решений.
Как иронично заметил один из участников вебинара, главная задача службы ИБ – чтобы инфраструктурой интересовались только хакеры на хонипотах, а коллеги спокойно пили чай. Для этого придется научиться видеть предприятие целиком – от ПЛК в цеху до учетной записи контрагента.
Артем Пермяков, Connect
