Журнал "Information Security/ Информационная безопасность" #5, 2018

Полная версия исследо- вания доступна по ссылке: https://ics-cert.kaspersky.ru/ reports/2018/09/06/threat- landscape-for-industrial-auto- mation-systems-h1-2018/ l системы в демилитаризован- ной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуни- кации); l весь необходимый обмен информацией между промыш- ленной сетью и внешним миром (включая корпоративную офис- ную сеть предприятия) осу- ществлять только через DMZ; l при необходимости в DMZ можно развернуть терминаль- ные серверы, позволяющие использовать методы обратного подключения (из технологиче- ской сети в DMZ); l для доступа к технологиче- ской сети извне использовать тонкие клиенты (применяя мето- ды обратного подключения); l не разрешать доступ из деми- литаризованной зоны в техно- логическую сеть; l ограничить сетевой трафик по используемым портам и про- токолам на пограничных марш- рутизаторах между сетью орга- низации и сетями других компа- ний (если имеется передача информации из технологической сети одной компании в другую); l если бизнес-процессы пред- приятия допускают возмож- ность однонаправленных ком- муникаций, рекомендуем рас- смотреть возможность исполь- зования дата-диодов. 2. Перед развертыванием и вводом в строй новых систем и компонентов АСУ ТП реко- мендуем проводить их тестиро- вание на предмет соответствия требованиям безопасности, включая поиск известных и новых уязвимостей, – как часть процесса аттестации новых ком- понентов АСУ ТП. Это позволит существенно сократить затраты на обеспечение ИБ систем после их внедрения. 3. При прочих равных реко- мендуем отдавать предпочтение продуктам, производители кото- рых ставили безопасность во главу угла при разработке архи- тектуры своих продуктов, напри- мер используя подход правиль- ного разделения доменов без- опасности и реализуя принципы MILS (Multiple Independent Layers of Security). 4. Для защиты от атак типа "человек посредине" рекоменду- ем рассмотреть настройку крип- тостойкого шифрования трафика внутри и на границе технологи- ческой сети, как минимум там, где это позволяют используемое оборудование, особенности биз- нес- и технологического процесса предприятия. 5. В ряде случаев можно настроить шифрование трафи- ка между компонентами техно- логической сети, даже если эта функциональность не поддер- живается соответствующим оборудованием, при помощи дополнительных средств. Реко- мендуем проконсультироваться с производителем ваших систем автоматизации. 6. Для доступа персонала к системам технологической сети желательно настроить использование двухфакторной аутентификации. 7. Для упрощения поддержки процедур и процессов аутенти- фикации и шифрования реко- мендуем развернуть инфра- структуру PKI. 8. Для снижения рисков атак через цепочку поставщиков и подрядчиков (Supply Chain) рекомендуем рассмотреть воз- можность внедрения политики, механизмов и процедур конт- роля подключения устройств (например, ноутбуков подряд- чиков и инженеров) к техноло- гической сети. l • 19 ЗАЩИТА АСУ ТП www.itsec.ru АНАЛИТИКА МОНИТОРИНГ И РЕАГИРОВАНИЕ БЕЗОПАСНОСТЬ ДАННЫХ ВИРТУАЛИЗАЦИЯ УПРАВЛЕНИЕ ДОСТУПОМ THE FUTURE КРИПТОГРАФИЯ БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ СИСТЕМ АВТОМАТИЗАЦИИ И УПРАВЛЕНИЯ ТЕМАТИЧЕСКИЕ КОНФЕРЕНЦИИ ДЕЛОВАЯ ПРОГРАММА ДЕМО-ЗОНЫ МАСТЕР КЛАССЫ ЭКСПОЗИЦИЯ 21– 23 Ноября 2018 Москва, КВЦ "Сокольники" Ваше мнение и вопросы присылайте по адресу is@groteck.ru