Защищенный доступ к технологическим сегментам: однонаправленные шлюзы, терминальные фермы и запись сессий
Изображение: recraft
Начиная рассматривать организацию защищенного доступа к технологическим сетям, в первую очередь нужно определиться с тем, что отличает индустриальный вариант от офисного. Тогда станет понятно, что ограничивает выбор технологий и насколько нужны дополнительные средства защиты для промышленной среды.
Технически в обоих случаях элементы похожие: ПК, сетевые устройства и каналы передачи данных. Разница видна, если детально рассмотреть все составляющие. Для удобства данные можно свести в таблицу.
| Офисная сеть | Технологическая сеть | |
| Оборудование | Стандартные устройства с процессорами x86, x64 или ARM | Стандартные устройства с процессорами x86, x64 или ARM Специализированные промышленные ПК IioT Датчики, контроллеры, технологическое оборудование, механизмы, и т.д. |
| Операционные системы | MS Windows, Linux, MacOS | Современные ОС Windows, Linux etc Устаревшие ОС, например, Windows NT, Windows 98 ОС встраиваемых систем ОС реального времени (QNX) |
| Используемые протоколы | Ethernet | Industrial Ethernet CAN Profinet Modbus OPC, и т.д. |
| Взаимодействие между компонентами | ПК ß à ПК ПК ßà сервер Сервер ß à сервер Сервер ß à СХД ПК/ сервер ß à сетевые принтеры, сканеры | ПК оператора ß à АСУТП Датчики à АСУТП АСУТП ß à контроллеры, Промышленные ПК Контроллеры/ промышленные ПК ß à управляемые элементы оборудования, полевое оборудование |
| Доступ в Интернет | Регулярная практика для пользователей | Чаще всего отсутствует по требованиям ИБ |
| Условия работы | Комфортные для персонала | Очень низкие или высокие температуры (холодильное оборудование, выплавка металлов) Запыленность Влажность Другие вредные факторы |
| Обновления | Регулярно | Ограничены: большинство промышленных систем нельзя обновлять в любое время, для этого есть «технологические окна». Иногда обновление невозможно из-за аппаратных ограничений контроллеров, «умных датчиков» и технологического оборудования |
| Возможности для установки дополнительных средств ИБ | Обширные | Ограничены: решения не должны вносить изменения в технологические данные и протоколы, проводить к дополнительным задержкам |
| Вероятные последствия ИБ-инцидента | Утрата пользовательских данных, простои, кража финансовых активов или интеллектуальной собственности | Нарушение технологических процессов, аварии, уничтожение оборудования, техногенные и экологические катастрофы, гибель сотрудников, пациентов или окружающего населения |
В итоге можно сделать два вывода:
- открывать удаленный доступ к промышленным сетям очень опасно;
- этот доступ необходим для работы сотрудников.
Теперь надо решить, как выйти из патовой ситуации, тем более что оба вывода правильные и могут «уживаться» в одной организации. Действительно, если не предпринимать никаких дополнительных ИБ-мер, удаленный доступ в индустриальные сети может потенциально привести к катастрофе и даже жертвам. Однако, если все правильно спроектировать и настроить, можно сильно снизить риски и минимизировать последствия ИБ-инцидентов.
Что нам потребуется, чтобы обеспечить безопасный удаленный доступ?
Во-первых, необходимо разделить сетевую инфраструктуру на несколько уровней:
- датчики, механизмы и промышленное оборудование;
- контроллеры, группы безопасности, ПЛК и управляющие элементы;
- системы управления (тут обычно располагаются операторы);
- ОС, файловые серверы, СУБД, серверы удаленного доступа;
- демилитаризованная зона;
- обычная корпоративная сеть: офисы подрядчиков, поставщиков оборудования, которым при необходимости можно дать удаленный доступ.
Каждый из этих уровней можно дополнительно сегментировать по функционалу или другим признакам.
Для контроля и мониторинга состояния инфраструктуры рекомендуется развернуть одно из таких решений как PT ISIM или Kaspersky ICS. Это позволит узнавать не только об атаках на оборудование, но и о потенциально опасных действиях персонала.
Передачу информации между уровнями стоит выстроить через системы однонаправленной передачи данных, например, Infodiode.
Организовать DMZ лучше всего с помощью ViPNet Coordinator, InfoWatch ARMA или других индустриальных межсетевых экранов.
Для удаленного доступа из корпоративной сети или офисов подрядчиков создается комбинация терминального или VDI-решения с PAM-системой. К примеру, связка Термидеск VDI и СКДПУ НТ позволит обеспечить единую точку входа с контролем и возможностью видеорегистрации действий привилегированных пользователей, поддержкой многофакторной аутентификации и доступом только к определенным приложениям. Конечно, нельзя забывать о базовых ИБ-рекомендациях: многофакторной аутентификации, СКЗИ, контроле за правами и своевременной блокировке доступа тем, кто уволился.
Внедрение такой инфраструктуры лучше поручить специализированным ИБ-компаниям, имеющим опыт работы с промышленными системами. Так что построить защищенный удаленный доступ к технологическим сетям можно, хотя это требует определенных усилий, знаний и подготовки. Для тех, кто желает подробнее ознакомиться с рекомендациями по обеспечению безопасности промышленных систем, рекомендую обратиться к публикации NIST, которая раньше называлась Guide to Industrial Control Systems (ICS) Security, а с третьего обновления NIST SP 800-82r3 получила название Guide to Operational Technology (OT) Security.
Статью подготовил Сергей Халяпин, директор по развитию новых рынков и технологических партнеров Termidesk (входит в «Группу Астра»).
