Обзор системы защиты АСУ ТП от кибератак InfoWatch ARMA

Дата: 23.04.2021. Автор: РАССЭ (ГК «АйТеко»). Категории: Главное по информационной безопасности, Статьи по информационной безопасности
InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

В статье рассмотрены угрозы информационной безопасности АСУ ТП (автоматизированных систем управления технологическим процессом) и способы защиты с помощью InfoWatch ARMA ― отечественной системы для обеспечения кибербезопасности на промышленных предприятиях.

Автор: Савинов Кирилл, главный системный архитектор отдела ИБ компании «РАССЭ» (ГК «АйТеко»).

Актуальное состояние кибербезопасности АСУ ТП

В 2020 году заметно выросло количество атак на промышленные предприятия: на 60% больше, чем в 2019 г., следует из аналитического отчета Positive Technologies за 2020 г.

Резкий всплеск наблюдается и в количестве уязвимостей, найденных в оборудовании АСУ ТП. Всего в 2020 году обнаружено почти на 25% больше уязвимостей АСУ ТП, чем в 2019 г., по данным отчета компании Claroty («О рисках уязвимостей систем промышленного контроля: 2-е полугодие 2020 года»). Обнаруженные уязвимости АСУ ТП, в основном, затрагивают сектора промышленного производства, энергетики и водоснабжения. По сравнению с первым полугодием 2019 г., в первом полугодии 2020 г. количество уязвимостей в секторе водоснабжения выросло на 122%, в энергетическом секторе — на 58,9%, в сфере промышленности — на 87,3%.

Также нельзя забывать и о таких последствиях пандемии, как удалённая работа и поддержка удалённых рабочих мест, которые создают дополнительные каналы доступа к сетям предприятий, что увеличивает шансы возникновения инцидентов информационной безопасности.

Векторы атаки

Как отмечают многие отраслевые исследователи, повысить возможность злоумышленнику провести кибератаку дает наличие подключения промышленной сети к корпоративной.

Результаты исследования компании Positive Technologies показали, что проникнуть в технологическую сеть из корпоративной удается в 55% случаев. Злоумышленники используют такие недостатки безопасности, как например незащищенные каналы администрирования и недостаточно эффективная сегментация. В некоторых случаях технологические системы вообще не сегментированы и представляют собой «плоские» сети.

Какие классы решений для защиты выбрать и почему?

Система защиты АСУ ТП от кибератак

Компания InfoWatch в 2020 году представила систему защиты информации в АСУ ТП – InfoWatch ARMА, которая позволяет защитить АСУ ТП как на уровне сетевого трафика, так и конечных узлов, а также предоставляет возможность централизованного управления всей системой защиты. InfoWatch ARMA Industrial Firewall (входит в состав системы InfoWatch ARMA) проходит сертификацию по требованиям ФСТЭК России к промышленным межсетевым экранам и системам обнаружения вторжений на соответствие ИТ.СОВ.С4.П3 и ИТ.МЭ.Д4.П3 по четвёртому уровню доверия, благодаря чему InfoWatch ARMA может использоваться для защиты объектов КИИ в соответствии с требованиями законодательства. В целом, как заявляют разработчики, система позволяет выполнить до 90% технических мер Приказа №239 ФСТЭК России.

На данный момент InfoWatch ARMA состоит из трёх продуктов:

  • InfoWatch ARMA Industrial Firewall – промышленный межсетевой экран нового поколения (NGFW). Проходит сертификацию по требованиям ФСТЭК России и включен в Единый реестр российского ПО Минкомсвязи РФ.
  • InfoWatch ARMA Industrial Endpoint – средство защиты промышленных АРМ и серверов АСУ ТП;
  • InfoWatch ARMA Management Console – средство централизованного управления системой защиты InfoWatch ARMA.

Предусмотрена интеграция системы InfoWatch ARMA в существующую инфраструктуру предприятия, в том числе с SIEM-системой (через syslog), антивирусным средством защиты или DLP (по ICAP) для повышения прозрачности промышленной сети и большей наблюдаемости событий информационной безопасности.

Почему в InfoWatch ARMA именно такой набор средств защиты?

Система InfoWatch ARMA проектировалась с учетом подхода эшелонированной (многоступенчатой) защиты с целью предотвращения или сдерживания атаки. InfoWatch ARMA позволяет выстроить эшелоны защиты на уровнях и сети, и оконечных устройств. Благодаря тому, что продукты системы InfoWatch ARMA интегрированы между собой, сотрудник ИБ АСУ ТП видит картину ИБ целиком, опираясь на данные от всех средств защиты информации. Это позволяет своевременно локализовать атаку и предотвратить ее распространение.

В конце 2021 года также планируется добавление модулей Sandbox (анализ файлов в антивирусной песочнице) и Honeypot – сенсор для имитации оборудования с целью выявить вредоносную активность злоумышленника.

Рассмотрим функциональность InfoWatch ARMA детально.

Возможности продукта InfoWatch ARMA Industrial Firewall

1. Маршрутизация и межсетевое экранирование

InfoWatch ARMA Industrial Firewall поддерживает стандартные функции межсетевого экрана (фильтрация трафика на L3, проксирование) и маршрутизатора (NAT, статическая и динамическая маршрутизация). Отдельно можно отметить функции для создания VPN-туннелей. Они позволят создать защищённую распределённую сеть АСУ ТП.

Функции межсетевого экрана можно использовать для сегментации корпоративных и промышленных сетей, а также реализации задачи микросегментации внутри технологической сети – например, отделения смежных АСУ ТП разной категории значимости и контроля передаваемой между ними информации.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение на границе с корпоративным сегментом

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для обеспечения безопасной связи со смежными АСУ ТП

2. DPI (глубокая инспекция пакетов) промышленного трафика c функцией фильтрации до уровня команд, адресов и значений

InfoWatch ARMA Industrial Firewall разбирает передаваемый трафик, определяя по заголовкам и содержимому IP-пакета тип протокола. Более того, для значительной части промышленных протоколов возможно определение конкретной команды, посылаемой на оборудование, а также внутренних адресов протокола и передаваемых значений.

Установка InfoWatch ARMA Industrial Firewall возможна на уровне SCADA-систем или между SCADA и ПЛК. Такая топология нужна предприятиям не всех отраслей, но в отдельных случаях даёт возможность обнаруживать и блокировать опасные для технологического процесса команды.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для мониторинга внутри АСУ ТП

DPI возможен для следующих протоколов:

  • Modbus TCP;
  • Modbus TCP x90 func. code (UMAS);
  • S7 Communication;
  • OPC DA | OPC UA;
  • IEC 60870-5-104;
  • IEC 61850-8-1 MMS;
  • IEC 61850-8-1 GOOSE.

Данный список постоянно дополняется новыми протоколами и полями протоколов.

3. Обнаружение и предотвращение вторжений

Система обнаружения вторжений (СОВ) InfoWatch ARMA Industrial Firewall позволяет находить вредоносную активность, направленную на промышленные объекты, благодаря специально разработанным базам правил и механизмам с учетом промышленной специфики. СОВ может работать как в режиме обнаружения вторжений (IDS), так и в режиме предотвращения вторжений (IPS).

СОВ поставляется с базой решающих правил, включающих реагирование на эксплуатацию уязвимостей корпоративной инфраструктуры и АСУ ТП.

Для пользователей существует возможность добавления собственных решающих правил, а также приобретение подписки на обновление правил от вендора систем защиты информации.

По каждому срабатыванию правила СОВ предоставляется информация о предполагаемом злоумышленнике, объекте атаки, вредоносном воздействии, статусе (пакет заблокирован или пропущен – в зависимости от настроек).

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс просмотра срабатываний правил СОВ

Список протоколов, разбираемых СОВ, шире, чем для DPI, и включает в себя:

  • Modbus TCP;
  • Modbus TCP x90 func. code (UMAS);
  • S7 Communication | S7 Communication plus;
  • OPC DA | OPC UA;
  • IEC 60870-5-104;
  • IEC 61850-8-1 MMS;
  • IEC 61850-8-1 GOOSE;
  • ENIP / CIP;
  • PROFINET;
  • DNP3.

4. Портал авторизации

InfoWatch ARMA Industrial Firewall обладает функциональностью аутентификации и разграничения прав внешних пользователей при подключении в защищаемую сеть. Аутентификация производится с использованием портала авторизации в соответствии с учетными записями (локальными или LDAP).

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс портала автоматизации

Таким образом, можно контролировать подключение удаленных пользователей к площадке или организовать доступ технической поддержки производителя АСУ ТП.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для обеспечения безопасной связи с технической поддержкой

Возможности InfoWatch ARMA Industrial Endpoint

1. Создание замкнутой программной среды с встроенными функциями обучения

Одна из задач, решаемых InfoWatch ARMA Industrial Endpoint, – создание замкнутой защищенной среды, когда на конечном устройстве запускается только доверенное программное обеспечение из белого списка. В таком случае нет необходимости проверять каждый файл и нагружать оборудование, как это делает антивирусное средство защиты. Вредоносное программное обеспечение не сможет повлиять на систему даже при загрузке на рабочую станцию.

InfoWatch ARMA Industrial Endpoint обладает встроенными функциями обучения, благодаря которым система изучает запущенные программы и формирует «белый список» программного обеспечения.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления белыми списками ПО

2. Контроль съёмных носителей

InfoWatch ARMA Industrial Endpoint позволяет защитить конечные устройства, ограничив права на использование съемных носителей (USB, диски, портативные устройства и т.д.) для уменьшения возможностей заражения рабочей станции или утечки информации с неё.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления съемными носителями

3. Контроль целостности файлов

Дополнительная возможность – контроль целостности файлов и директорий. Это позволяет отслеживать любые изменения в файлах и директориях, избегая риска внесения вредоносных изменений в файлы или подмены файлов.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления контролем целостности

Возможности InfoWatch ARMA Management Console

1. Централизованное управление

InfoWatch ARMA Management Console является единым центром управления системой защиты InfoWatch ARMA. Система агрегирует информацию с подключенных средств защиты и позволяет оперативно оценить текущую защищенность объектов.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Обзорная панель InfoWatch ARMA Management Console

Возможно централизованно осуществлять настройку конфигураций средств защиты, входящих в состав системы InfoWatch ARMA, обновлять базы решающих правил СОВ и гибко применять единую конфигурацию к нескольким межсетевым экранам. Всё это сокращает время на администрирование системы ИБ.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Управление системами защиты InfoWatch ARMA

2. Расследование инцидентов и настройка правил автоматического реагирования на них

Одна из важных задач, которую позволяет решить InfoWatch ARMA Management Console – повышение качества и скорости реагирования на событие ИБ.

События безопасности, поступающие от подключенных средств защиты информации системы InfoWatch ARMA, анализируются и при обнаружении вредоносных действий формируются в инцидент ИБ.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс работы с инцидентами

Для оперативного реагирования на инциденты ИБ возможна настройка правил реагирования. Это позволит снизить нагрузку на штат сотрудников ИБ в условиях кадрового дефицита.

К примеру, можно настроить условия формирования инцидента ИБ с автоматической отправкой рекомендаций по решению инцидента сотрудникам ИБ и операторам на производстве. Таким образом, максимально повышается скорость реагирования по устранению несанкционированного доступа к конфиденциальной информации и несанкционированных действий в АСУ ТП.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс настройки правил корреляции, создание инцидента

Кроме того, возможна настройка автоматического формирования правила блокировки на межсетевом экране, которое распространится по всем указанным InfoWatch ARMA Industrial Firewall.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс карточки инцидентов

InfoWatch ARMA Management Console обладает полным инструментарием для управления жизненным циклом инцидента ИБ при его расследовании. Кроме того, информацию об инциденте ИБ можно отправить во внешние системы SIEM или SOC.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс просмотра и управления инцидентами

3. Визуализация сети

InfoWatch ARMA Management Console предоставляет функциональность построения карты сети, учета активов и средств защиты. Это позволит лучше видеть взаимосвязь событий безопасности как единого целого, найти уязвимые места сети.

Карта сети позволяет наглядно определить, на каких устройствах был выявлен инцидент. В случае, если инцидентов несколько, можно получить доступ к их перечню тут же на экране карты сети.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс карты сети

Сценарии внедрения

InfoWatch ARMA Industrial Firewall предусматривает установку в сеть в одном из четырех вариантов (режимов работы). Режим работы определяется настройками сетевых интерфейсов и количеством устройств:

  1. режим маршрутизации;
  2. режим прозрачного моста;
  3. режим sniffing mode (обнаружение вторжений путем анализа копии сетевого трафика, снятого со SPAN порта);
  4. режим отказоустойчивого кластера.
  1. Маршрутизация

В режиме маршрутизации InfoWatch ARMA Industrial Firewall – межсетевой экран с функциями обнаружения и предотвращения вторжений, обеспечивающий защиту информации на уровне L3.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим маршрутизации

2. Прозрачный мост

В режиме прозрачного моста InfoWatch ARMA Industrial Firewall функционирует как система обнаружения и предотвращения вторжений в прозрачном режиме с возможностью блокировки вредоносных пакетов. Интерфейсы при этом соединены в сетевой мост.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим прозрачного моста

3. Sniffing mode

В режиме sniffing mode (мониторинга) InfoWatch ARMA Industrial Firewall анализирует копию сетевого трафика со SPAN портов сетевых устройств и выявляет атаки в сети.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим sniffing mode (мониторинга)

4. Отказоустойчивый кластер

В режиме отказоустойчивого кластера несколько InfoWatch ARMA Industrial Firewall объединяются в единый кластер в режиме active-passive. При выходе из строя одного из InfoWatch ARMA Industrial Firewall сетевую доступность обеспечивает оставшееся устройство.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим отказоустойчивого кластера

InfoWatch ARMA Industrial Endpoint – модуль защиты конечных устройств устанавливается на промышленный сервер или рабочую станцию, настраивается синхронизация с InfoWatch ARMA Management Console, за счет чего возможно централизованное конфигурирование всех подключенных InfoWatch ARMA Industrial Endpoint и сбора с них события безопасности.

InfoWatch ARMA Management Console – компонент управления, выполненный в виде виртуальной машины или самостоятельного устройства. Он может быть установлен в любую зону промышленной сети или DMZ, при единственном условии ― наличие сетевой связности с управляемыми модулями.

Лицензирование и варианты поставки

InfoWatch ARMA – комплексная система защиты информации в АСУ ТП. При этом лицензии на составляющие его продукты могут приобретаться независимо друг от друга.

  • InfoWatch ARMA Management Console лицензируется по количеству подключаемых к консоли управления объектов InfoWatch ARMA, лицензия бессрочная;
  • InfoWatch ARMA Industrial Endpoint лицензируется поштучно, лицензия на год;
  • InfoWatch ARMA Industrial Firewall лицензируется по объему пропускаемого трафика. При этом отдельно лицензируются компоненты DPI и СОВ.

Варианты поставки также могут комбинироваться. Типовым вариантом является установка аппаратных межсетевых экранов с подключением их к консоли управления, которая может функционировать на сервере виртуализации.

  1. InfoWatch ARMA Management Console поставляется в виде ПАК либо готового образа для среды виртуализации.

Системные требования:

  • Процессор 2,0 ГГц, 2 ядра;
  • ОЗУ 16 Гб;
  • Жёсткий диск от 120 Гб.
  • InfoWatch ARMA Industrial Endpoint выполнен в виде msi-файла для установки на целевую систему. Системные требования: ОС Windows 10.
  • InfoWatch ARMA Industrial Firewall может быть поставлен в виде ПАК или в виде образа для установки на физическую или виртуальную машину. Виды ПАК и их характеристики перечислены ниже. Для использования установочного образа нужны следующие минимальные требования:
  • процессор 2,0 ГГц, 2 ядра;
  • ОЗУ 8 ГБ;
  • жёсткий диск 120 ГБ, SSD;
  • 2 Ethernet 10/100/1000 Мбит/сек.

Машина обеспечит защиту 150 Мбит/с трафика. Если же потребуется увеличить пропускную способность, то можно масштабировать ресурсы.

Поставляемые ПАК InfoWatch ARMA Industrial Firewall:

 ARMAIF-RUGRACK
blank
ARMAIF19RACK

blank
ARMAIF-DIN
blank
ARMAIF-BOX
blank
Исполнение1 Unit исполнение для монтажа в стойку. Промышленное исполнение, без движущихся частей1 Unit исполнение для монтажа в стойку. Серверное исполнениеДля монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частейДля монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частей
Пассивное охлаждениеДаНетДаДа
Общая пропускная способность всего устройства с включенным модулем МЭДо 4 Гб/сДо 6 Гб/сДо 1 Гб/с До 2 Гб/с
Общая пропускная способность всего устройства с включенными модулями МЭ DPI и СОВДо 500 Мб/сДо 500 Мб/сДо 80 Мб/сДо 180 Мб/с
Межсетевой экран, количество одновременных соединений (сессий)До 2 000 000До 8 500 000До 250 000До 1 000 000

Выводы

Защита информации промышленной сети является необходимостью. Практика показывает, что даже при наличии «воздушного зазора» между корпоративной и промышленной сетью киберпреступники могут достигать своих целей. Поэтому необходимо защищать АСУ ТП, контролировать информационные потоки с помощью средств защиты информации.

InfoWatch ARMA – комплексное решение для обеспечения защиты АСУ ТП с единым центром управления. Благодаря интегрированности всех продуктов между собой и гибкой политике лицензирования возможно защитить даже небольшое производство, установив сначала средство защиты на хостах или промышленный межсетевой экран нового поколения в режиме СОВ. Внедрение InfoWatch ARMA не потребует значительных ресурсов. Для больших промышленных производств  InfoWatch ARMA предлагает возможность глубокой сегментации сети, защищённое объединение географически разнесённых АСУ ТП. Автоматизация создания инцидентов ИБ и реагирования на них позволит повысить эффективность существующего штата ИБ.   

Специалисты компании «РАССЭ» (ГК «АйТеко») внедряют системы защиты промышленных сетей. Мы работаем как с интеллектуальными системами, использующими искусственный интеллект для контроля аномалий, так и с простыми межсетевыми экранами. InfoWatch ARMA хотя и не содержит в себе нейронных сетей, но является актуальным решением, предназначенными для обеспечения безопасности АСУ ТП. Это надёжная система, хорошо зарекомендовавшая себя у заказчиков «РАССЭ».

Подводя итоги, можно рекомендовать к использованию InfoWatch ARMA в качестве решения для защиты АСУ ТП.

РАССЭ (ГК «АйТеко»)

Об авторе РАССЭ (ГК «АйТеко»)

Компания РАССЭ специализируется на оказании профессиональных услуг и создании эффективных решений для клиентов малого, среднего и крупного бизнеса, холдинговых структур и госсектора. Входит в состав ГК «АйТеко».
Читать все записи автора РАССЭ (ГК «АйТеко»)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *