Журнал "Information Security/ Информационная безопасность" #2, 2018

Интересно, что при общем достаточно высоком проценте атак, достигших АСУ ТП, процент атакован- ных компьютеров АСУ через съемные носители и поч- товые клиенты в России относительно мал: 4,4 и 1,4% соответственно. Одно из возможных объяснений состоит в том, что риски этих векторов атак компен- сированы в значительной степени организационными мерами и используемыми на производстве практиками обращения со сменными носителями и корпоратив- ной почтой. Такая интерпре- тация обнадеживает: ведь именно сменные носители и электронная почта исполь- зуются часто в качестве век- торов проникновения для сложных целевых атак и APT. возможность использования дата-диодов. Ландшафт угроз для систем промышленной автоматизации постоянно меняется, новые уязвимости регулярно находят как в прикладном, так и в про- мышленном ПО. В соответствии с тенденциями изменения угроз, выявленных во втором полуго- дии 2017 г., рекомендуется обра- тить особое внимание на сле- дующие меры по обеспечению безопасности: l регулярная установка обновле- ний операционной системы, при- кладного ПО и средств защиты на системы, работающие в техно- логической сети предприятия; l своевременная установка обновлений прошивки устройств управления промышленной автоматизации; l ограничение сетевого трафика по используемым портам и про- токолам на пограничных марш- рутизаторах между сетью орга- низации и сетями других компа- ний (если имеется передача информации из технологической сети одной компании в другую); l рекомендуется уделять боль- шое внимание контролю учетных записей и парольной политике. Пользователи должны иметь только те права, которые тре- буют рабочие необходимости. Число учетных записей пользо- вателей с административными правами должно быть макси- мально ограничено. Должны использоваться сложные пароли (не менее девяти символов, раз- личного регистра, дополненные цифрами и специальными сим- волами), обязательная смена пароля должна быть задана доменной политикой, например, каждые 90 дней. Для обеспечения защиты от случайных заражений новым, неизвестным ранее вредонос- ным ПО и от целенаправленных атак мы рекомендуем регулярно выполнять следующие действия: 1. Провести инвентаризацию запущенных сетевых служб на всех узлах технологической сети; по возможности остановить уязвимые сетевые службы (если это не нанесет ущерба непре- рывности технологического про- цесса) и остальные службы, не требующиеся для непосред- ственного функционирования системы автоматизации; особое внимание обратить на службы предоставления удаленного доступа к объектам файловой системы, такие как SMB/CIFS и/или NFS (актуально в случае атак на системы под управлени- ем ОС Linux). 2. Провести аудит разграниче- ния доступа к компонентам АСУ ТП; постараться добиться макси- мальной гранулярности доступа. 3. Провести аудит сетевой активности внутри промышленной сети предприятия и на ее грани- цах. Устранить не обусловленные производственной необходи- мостью сетевые соединения с внешними и другими смежными информационными сетями. 4. Проверить безопасность организации удаленного доступа к промышленной сети; обратить особое внимание на соответ- ствие организации демилитари- зованных зон требованиям информационной безопасности. По возможности минимизиро- вать или вовсе избежать исполь- зования средств удаленного администрирования (таких как RDP или TeamViewer). Более подробно об этом написано выше. 5. Следить за актуальностью сигнатурных баз, эвристик, решающих алгоритмов средств защиты конечных узлов сети. Убедиться, что все основные компоненты защиты включены и функционируют, а из области защиты не исключены каталоги ПО АСУ ТП, системные каталоги ОС, профили пользователей. Большую эффективность на про- мышленных предприятиях демонстрируют технологии конт- роля запуска приложений, настроенные в режиме "белых списков", и технологии анализа поведения приложений. Конт- роль запуска приложений не позволит запустить шифроваль- щик в случае его проникновения на компьютер. Технологии ана- лиза поведения приложений полезны для обнаружения и предотвращения попыток экс- плуатации уязвимостей (в том числе неизвестных) в легитим- ном ПО. 6. Провести аудит политики и практики использования съем- ных носителей информации и портативных устройств. Не допускать подключения к узлам промышленной сети устройств, предоставляющих нелегитимный доступ к внешним сетям и Интер- нету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными спе- циальными средствами. Для обеспечения защиты от целенаправленных атак, направ- ленных на технологическую сеть предприятия и основные техно- логические активы, мы также рекомендуем внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в индустриальных сетях. В большинстве случаев приме- нение подобных мер не требует внесения изменения в состав и конфигурацию средств АСУ ТП и может быть произведено без остановки их работы. Конечно, полностью изолиро- вать технологическую сеть от смежных сетей практически невозможно, поскольку передача данных между сетями необхо- дима для выполнения множества важных функций – управления и поддержки удаленных объектов, координации работы сложного технологического процесса, части которого распределены между множеством цехов, линий, установок и систем обеспечения. Но мы надеемся, что наши реко- мендации помогут максимально защитить технологические сети и системы промышленной авто- матизации от современных и будущих угроз. l • 45 ИССЛЕДОВАНИЕ www.itsec.ru Рис. 16. Доля атакованных компьютеров АСУ в Европе, первое и второе полугодия 2017 г. Рис. 17. Основные источники угроз, заблокирован- ных на компьютерах АСУ в разных регионах, вто- рое полугодие 2017 г. Ваше мнение и вопросы присылайте по адресу is@groteck.ru