Управление производством

Как организовать управление удаленным доступом в АСУ ТП и не стать жертвой злоумышленников

Жесткие карантинные меры, связанные с распространением COVID-19, спровоцировали переход множества компаний на удаленную работу, в том числе и промышленных организаций. Предприятия могут использовать удаленное подключение к объектам инфраструктуры для настройки оборудования и его диагностики. Но несмотря на удобство, такой подход несет в себе существенные риски информационной безопасности.
28 октября 2020

Важно понимать, что удаленный доступ сегодня – это необходимость, и избежать его чаще всего невозможно: он все равно рано или поздно появится намеренно или случайно, по воле собственников и руководства компании-эксплуатанта оборудования или без нее. И вот тут стоит следовать прописной истине: если что-то невозможно остановить, то это нужно возглавить.

При подтвержденной необходимости удаленного доступа разумно создать единую точку удаленного входа пользователей, а также использовать наложенные средства защиты и мониторинга удаленных подключений, то есть перейти от запретительной политики «в лоб» к управляемому и контролируемому доступу.

Центральной точкой входа в данном случае может быть выделенный VPN-сервер (или сервер удаленных рабочих столов Windows RDG), а действия подключаемых пользователей в сети должны детально журналироваться дополнительными средствами — как для оперативного реагирования, так и последующего анализа, вплоть до использования в качестве доказательной базы при судебных разбирательствах.

Подобная концепция лежит в основе решения для контроля удаленного доступа в сетях АСУ ТП на базе продуктов Positive Technologies (Рисунок 1).

Рисунок 1. Решение для контроля удаленного доступа в АСУ ТП на базе продуктов Positive Technologies

В первую очередь с помощью PT Industrial Security Incident Manager (PT ISIM) непрерывно анализируется копия трафика сессий удаленных пользователей. Продукт поддерживает более 80 сетевых протоколов, включая популярные промышленные (Siemens S7, Emerson DeltaV, Schneider Electric UMAS, ModBus, IEC 60870-5-104, IEC 61850, BacNet и другие). Это позволяет полностью реконструировать активность пользователя в сети АСУ ТП, выявлять команды управления оборудованием (ПЛК/RTU/РЗА), фиксировать подозрительные действия удаленных пользователей, а также факты компрометации сети АСУ ТП и закрепления злоумышленника в ней. PT ISIM также хранит полную копию трафика сессий пользователей, что крайне важно для организации эффективного расследования инцидентов ИБ.

Кроме того, трафик сессий удаленных пользователей проверяется с помощью многоуровневой системы защиты от вредоносного программного обеспечения PT MultiScanner. Продукт анализирует все файлы, попадающие в инфраструктуру, с использованием нескольких антивирусов одновременно, а также с помощью собственных репутационных списков Positive Technologies. Система хранит файловые объекты, извлеченные из трафика, и проводит их регулярную перепроверку: это позволяет обнаружить ранее неизвестную угрозу, предотвратить ее распространение, а также существенно облегчает расследование инцидентов ИБ.

PT ISIM и PT MultiScanner передают данные об активности пользователей в сети, о фактах манипуляций с оборудованием АСУ ТП и сигналы о проникновении ВПО в периметр сети — в систему выявления инцидентов безопасности MaxPatrol SIEM.

MaxPatrol SIEM сопоставляет данные, полученные из разных источников: о пользователях АСУ ТП из Active Directory, информацию о подключениях к VPN/RDG-серверу, данные об активности пользователей от PT ISIM, информацию от PT MultiScanner о пользователях, в чьих сессиях обнаружено ВПО, информацию о манипуляциях с ПО на узлах сети (АРМ и серверах SCADA), данные о текущем состоянии работы оборудования АСУ ТП, если это возможно и необходимо.

Располагая подобным комплексным решением, ответственный за безопасность специалист предприятия получает в свои руки весь необходимый спектр контролей, которые позволят ему:

  • мгновенно узнавать о случаях, когда обнаружено нелегитимное подключение удаленного пользователя к сети АСУ ТП через VPN/ RDG-сервер;
  • подключение в нерабочие часы или в несогласованное время, подключение с подозрительных адресов, подключение через подбор пароля и так далее;
  • оперативно выявлять операции, совершенные конкретным пользователем с оборудованием АСУ ТП в ходе подключения к сети (пуск/ останов ПЛК, чтение и загрузку проектов в ПЛК, перенастройку конфигураций ПЛК/RTU), и выявлять нелегитимную активность;
  • получать оперативные вердикты о вредоносности файловых объектов, загружаемых пользователем на ресурсы в сети АСУ ТП, а также видеть признаки активности вредоносного ПО, действующего со стороны компьютера удаленного пользователя;
  • получать оповещения об установке и запуске удаленным пользователем нелегитимного программного обеспечения на узлах сети АСУ ТП;
  • проводить полный ретроспективный анализ действий удаленного пользователя, используя записанную копию трафика сессии, копию файловых объектов, извлеченных из трафика сессии, а также информацию о критических событиях, автоматизировано собранных с сервера удаленного доступа, узлов сети АСУ ТП и другого оборудования.

Наличие этих возможностей в самом общем случае является необходимым условием для контроля соблюдения регламентов и политик информационной безопасности при предоставлении удаленного доступа к технологическим сетям в современных реалиях.