Журнал "Information Security/ Информационная безопасность" #5, 2018

Первый шаг на пути к защите технологических объектов предприятия 1. Защитить все узлы промышленной сети от вре- доносных атак при помощи средств антивирусной защи- ты. 2. Настроить правила сетевых экранов на границе технологической сети. 3. Настроить защиту от спамовых и фишинговых рассылок на границе и внут- ри корпоративной сети. 4. Настроить антивирус- ную защиту на периметре сети организации и конт- роль обращения к вредонос- ным и потенциально опас- ным интернет-ресурсам. 5. Провести аудит использования почты внутри технологической сети. 6. Провести аудит использования папок обще- го доступа внутри техноло- гической сети. 7. Провести аудит использования сторонних средств удаленного админи- стрирования внутри техно- логической сети, таких как VNC, RDP, TeamViewer RMS/Remote Utilities. Уда- лить все средства удаленно- го администрирования, не обусловленные производ- ственной необходимостью. 8. Отключить средства удаленного администриро- вания, поставляемые вместе с ПО АСУ ТП, если в их использовании нет про- изводственной необходимо- сти. 9. Провести аудит использования в технологи- ческой сети прочего ПО, которое существенно уве- личивает поверхность атаки систем АСУ. 10. Выключить Windows Script Host, если его запуск не требуется для работы ПО АСУ ТП и не обусловлен другой производственной необходимостью. 11. При возможности ограничить использование привилегий SeDebugPrivilege для локальных администра- торов систем промышлен- ной сети предприятия при помощи групповых политик домена Windows. Устранить не обусловленные производственной необходи- мостью сетевые соединения с внешними и смежными информационными сетями; l аудит безопасности органи- зации удаленного доступа к промышленной сети; обра- тить особое внимание на соот- ветствие организации деми- литаризованных зон требова- ниям информационной без- опасности; l аудит политики и практики использования съемных носи- телей информации и портатив- ных устройств. Не допускать подключения к узлам промыш- ленной сети устройств, предо- ставляющих нелегитимный доступ к внешним сетям и Интернету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными специальными средствами; l аудит учетных записей и парольной политики. Пользо- вательские и сервисные учет- ные записи должны иметь толь- ко те права, которые требуют рабочие необходимости. Число учетных записей пользователей с административными правами должно быть максимально ограничено. Должны использо- ваться сложные пароли (не менее девяти символов, раз- личного регистра, дополненные цифрами и специальными сим- волами; пароли не должны состоять из словарных слов), обязательная смена пароля должна быть задана доменной политикой, например, каждые 90 дней. По возможности сле- дует отказаться от использова- ния небезопасных алгоритмов аутентификации, таких как NTLM, в пользу более безопас- ных NTLMv2 и Kerberos. 4. Наладить процесс свое- временного устранения уязви- мостей безопасности систем технологической сети: l получить доступ к источникам информации об уязвимостях, обнаруженных в продуктах АСУ ТП, сетевых устройствах и общих компонентах, наладить процесс обработки и анализа такой информации; l внедрить процесс регулярной проверки на уязвимости систем, развернутых в технологической сети и на ее периметре. Поду- мать о внедрении специализи- рованных средств обнаружения уязвимостей систем технологи- ческой сети; l регулярно устанавливать обновления операционной системы, прикладного ПО и средств защиты на системы, работающие в технологической сети предприятия; l своевременно устанавливать обновления прошивок устройств автоматизированного управле- ния и средств противоаварий- ной защиты. 5. Использовать следующие специализированные техноло- гии автоматических средств защиты. Как правило, это тре- бует тонкой настройки, тща- тельного тестирования и раз- витых процессов мониторинга и реагирования на инциденты ИБ: l настроить контроль запуска программ в режиме белых спис- ков (обычно входит в состав решений по антивирусной защи- те узлов технологической сети). Там, где это невозможно, настроить контроль запуска программ в режиме мониторин- га и уведомления ответствен- ного за ИБ; l внедрить специализирован- ные средства (могут входить в состав решений по антиви- русной защите узлов техноло- гической сети) обеспечения целостности компьютеров – кри- тических областей и конфигу- рации ОС и прикладного ПО, в особенности ПО АСУ ТП. Там, где это невозможно, настроить контроль целостности в режиме мониторинга и уведомления ответственного за ИБ; l настроить контроль под- ключения внешних устройств (USB-носителей, мобильных телефонов и пр.); l включить компоненты Host- based Intrusion Prevention System (HIPS) из состава средств анти- вирусной защиты; l внедрить средства автомати- ческой инвентаризации и конт- роля подключения устройств к технологической сети. Требует привлечения квалифицирован- ных специалистов для монито- ринга и реакции на обнаружен- ные инциденты; l внедрить специализирован- ные средства мониторинга сете- вого трафика и обнаружения сетевых аномалий и компью- терных атак в индустриальных сетях. В большинстве случаев применение подобных мер не требует внесения изменений в состав и конфигурацию средств АСУ ТП и может быть произве- дено без остановки их работы. Однако для эффективного использования таких средств, скорее всего, потребуется выде- ленный высококвалифициро- ванный персонал, интеграция с прочими средствами обнару- жения аномалий и развитые процессы обеспечения ИБ тех- нологической и корпоративной сети. 6. Внедрить специализиро- ванные средства регистрации и автоматизации процедуры обработки инцидентов ИБ в тех- нологической сети предприя- тия. 7. Наладить процесс получе- ния и обработки информации об актуальных угрозах: l специализированных анали- тических отчетов о новых выявленных атаках и вредо- носных кампаниях, нацелен- ных на промышленные пред- приятия; l отчетов об исследованиях тактик, методов и средств (TTP), используемых известными груп- пировками злоумышленников в атаках на промышленные организации; l аналитических отчетов об исследовании ландшафта угроз, представляющих опас- ность для промышленных пред- приятий; l индикаторов компрометации узлов технологической сети; Это может помочь своевре- менно и правильно среагиро- вать на новую атаку и пред- отвратить инцидент. Меры, которые потребуют существенных изменений в конфигурации и топологии технологической сети и сопряжены с прочими существенными модификациями информационных систем предприятия 1. Понимая, что полностью изолировать технологическую сеть от смежных сетей чаще всего невозможно, для органи- зации более безопасного уда- ленного доступа к системам автоматизации и передачи дан- ных между технологической и другими сетями, имеющими различные уровни доверия, мы рекомендуем: l системы, имеющие посто- янную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентрато- ры, терминальные серверы и пр.) изолировать в отдельный сегмент внутри технологической сети – демилитаризованную зону (DMZ); 18 • СПЕЦРАЗДЕЛ