Журнал "Information Security/ Информационная безопасность" #5, 2018

Почти во всех странах, где в течение полугодия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атако- ванных машин в инфра- структуре технологических сетей оказался выше, чем показатель по всем атако- ванным компьютерам в стране. Такая ситуация вызывает особую тревогу, учитывая, что, по данным Всемирного банка и Органи- зации экономического сотрудничества и развития, восемь стран из этого спис- ка – Индонезия, Китай, Индия, Иран, Саудовская Аравия, Мексика, Филиппи- ны и Малайзия – в 2017 г. по объему промышленного про- изводства вошли в топ-30. l отключить использование сервиса mailto. 6. Провести аудит использова- ния папок общего доступа внут- ри технологической сети: l отключить все сетевые папки общего доступа, не обуслов- ленные производственной необходимостью; l отключить сервисы удален- ного доступа к файловой систе- ме SMB/CIFS и NFS там, где в них нет производственной необходимости. 7. Провести аудит использо- вания сторонних средств уда- ленного администрирования внутри технологической сети, таких как VNC, RDP, TeamVie- wer RMS/Remote Utilities. Уда- лить все средства удаленного администрирования, не обусловленные производствен- ной необходимостью. 8. Отключить средства уда- ленного администрирования, поставляемые вместе с ПО АСУ ТП (обратитесь к документации на соответствующее ПО за детальными инструкциями), если в их использовании нет производственной необходимо- сти. 9. Провести аудит использо- вания в технологической сети прочего ПО, которое существен- но увеличивает поверхность атаки систем АСУ. В случае если использование этого ПО не обусловлено технологиче- ской необходимостью, деин- сталлировать его. Особое вни- мание уделить следующим типам ПО: l интернет-браузеры; l клиенты социальных сетей; l почтовые клиенты; l ПО MS Office; l ПО Adobe; l Java Runtime; l медиапроигрыватели; l скриптовые интерпретаторы типа Perl, Python, PHP; l нелицензионное "поломан- ное" ПО – оно часто содержит закладки и инфицировано. 10. Выключить Windows Script Host, если его запуск не требу- ется для работы ПО АСУ ТП и не обусловлен другой про- изводственной необходи- мостью. 11. При возможности ограни- чить использование привилегий SeDebugPrivilege для локальных администраторов систем про- мышленной сети предприятия при помощи групповых политик домена Windows (может требо- ваться для работы некоторого ПО, например MS SQL Server, – обратитесь к документации про- изводителей соответствующих систем). Меры, рассчитанные на организации с высоким уровнем зрелости в области ИБ Применение этих мер для недостаточно зрелых организа- ций может потребовать суще- ственных временных либо ресурсных затрат, налаживания новых процессов киберзащиты, изменений штатного расписа- ния, а также осложняться про- чими обстоятельствами. 1. Наладить процесс обучения персонала предприятия кибер- гигиене: l организовать курсы повыше- ния квалификации для сотруд- ников по теме кибербезопасно- сти, чтобы повысить осведом- ленность персонала о совре- менных угрозах: целях, техни- ческих методах и схемах реа- лизации атак на промышленные организации, опасностях, кото- рые представляют атаки для бизнес- и технологических про- цессов, методов защиты от атак и предотвращения инцидентов; l организовать периодические тренинги по теме киберугроз и способов защиты с учетом изменения ландшафта угроз и тренинги для новых сотрудни- ков. Рассмотреть возможность использования тренинговых платформ (онлайн или развер- нутых внутри предприятия), вебинаров, записей предыду- щих тренингов для повышения доступности тренингов для сотрудников предприятия; l внедрить практику коротких инструктажей персонала по теме защиты от киберугроз; l обеспечить сотрудников пред- приятия соответствующими информационными материала- ми: плакатами, буклетами и про- чим, напоминающими о необхо- димости защиты от киберугроз; l организовать регулярные уче- ния по кибербезопасности и проверку знаний сотрудников в этой области. 2. Организовать службу информационной безопасности и киберзащиты промышленных информационных систем: l назначить ответственного за киберзащиту информационных систем технологической сети; l сделать защиту технологиче- ской сети частью общего про- цесса обеспечения ИБ пред- приятия; l наладить эффективную рабо- ту различных горизонтальных и вертикальных подразделений и служб организации – инжене- ров, операторов, ИТ, ИБ – для защиты от кибератак; l наладить эффективные ком- муникации по вопросам кибер- защиты с производителями средств автоматизации и про- изводителями средств защиты; l организовать процесс реаги- рования на инциденты ИБ в тех- нологической сети. 3. Ввести практику регуляр- ных аудитов состояния ИБ информационных систем тех- нологической сети: l инвентаризация запущенных сетевых служб на всех узлах технологической сети; по воз- можности остановить (лучше отключить/удалить) уязвимые сетевые службы (если это не нанесет ущерба непрерывности технологического процесса) и остальные службы, не тре- бующиеся для непосредствен- ного функционирования систе- мы автоматизации. Особое вни- мание обратить на службы SMB/CIFS, NBNS, LLMNR; l аудит разграничения доступа к компонентам АСУ ТП, поста- раться добиться максимальной гранулярности доступа; l аудит сетевой активности внутри промышленной сети предприятия и на ее границах. • 17 ЗАЩИТА АСУ ТП www.itsec.ru Рис. 9. Основные платформы, используемые вре- доносным ПО, второе полугодие 2017 г. и первое полугодие 2018 г., процент атакованных компью- теров АСУ Рис. 10. Типы приложений, атакуемых эксплойтами, процент атакованных компьютеров АСУ