Журнал "Information Security/ Информационная безопасность" #2, 2025

агентское ПО. Поэтому для сбора инфор- мации приходится использовать исклю- чительно пассивный метод – анализ копии сетевого трафика АСУ ТП. 3. Проблемы идентификации. Неко- торые производители используют оди- наковые MAC-адреса для устройств одной модели, а маршрутизаторы при трансляции пакетов из одной сети в другую заменяют эти адреса на свои. Часто в производственных сетях нет DNS-сервера, а значит искать обору- дование приходится по IP-адресам вме- сто удобных имен. Сложность также добавляют изолированные сегменты и подключение через последовательные порты. Организационные барьеры в защите АСУ ТП 1. Разрыв между ИТ- и OT-подразде- лениями. Специалисты по ИБ и ИТ редко разбираются в промышленных протоко- лах, тогда как инженеры АСУ ТП могут не иметь подготовки в кибербезопасно- сти. Это разделение создает в инфра- структуре серые зоны, где оборудование "выпадает" из-под ответственности обеих служб. 2. Динамичность промышленной среды. Введенное без уведомления службы ИБ-оборудование, переме- щаемые контроллеры и несанкциони- рованные подключения ноутбуков инженеров обесценивают результаты даже самой тщательной инвентари- зации. 3. Консервативность промышленных предприятий. Руководство часто избе- гает глубокого аудита, опасаясь выявле- ния дорогостоящих несоответствий. Среди технического персонала укоре- нился принцип "работает – не трогай", а иногда отсутствие учета намеренно используют для раздувания бюджета на закупки и обслуживание. Построение системы управления активами: с чего начать Для эффективного управления ИТ- активами в АСУ ТП, необходим ком- плексный подход: нужны и технологи- ческие решения, и организационные меры. Начинать лучше с небольшого участка, например с одного цеха или технологической линии, чтобы опробо- вать новые методы с минимальными рисками. Следующий шаг – создание междис- циплинарной команды, где специалисты по ИБ и ИТ работают вместе с инжене- рами АСУ ТП. Такой подход поможет преодолеть традиционный разрыв между ИТ- и ОТ-подразделениями, а также избавиться от слепых зон. Собранные данные нужно использовать не как фор- мальный отчет, а как инструмент для автоматического поиска уязвимостей и планирования обновлений ПО и заме- ны оборудования. При инвентаризации полезно сочетать автоматизированные и ручные методы мониторинга, а также использовать спе- циализированные решения, такие как PT Industrial Security Incident Manager (PT ISIM). Как PT ISIM помогает проводить аудит ИТ-активов PT ISIM использует два метода сбора информации об активах: 1. Анализирует копию сетевого тра- фика, не мешая работе оборудования. 2. Собирает необходимый объем информации с помощью программных агентов на конечных сетевых узлах (серверах и рабочих станциях). Это позволяет обнаруживать все подклю- ченные устройства – от промышленных контроллеров до инженерных станций и сетевого оборудования, отслеживать изменения в инфраструктуре и опре- делять все сетевые взаимодействия как между узлами технологической сети, так и с внешними сетями, напри- мер с корпоративной сетью или Интер- нетом. Интеграция с другими продуктами, например с MaxPatrol SIEM или PT Sand- box, превращает PT ISIM в основной элемент системы промышленной кибер- безопасности. Совместная работа этих инструментов: l автоматизирует процесс формирова- ния паспортов устройств с указанием ответственных лиц и местоположения оборудования; l оперативно выявляет уязвимости в промышленном оборудовании и ПО; l обнаруживает сложные целевые атаки, независимо от их источника. PT ISIM поможет соз- дать полную и достовер- ную карту промышленной сети, которая станет осно- вой защиты критически важной инфра- структуры предприятия. Однако важно понимать, что даже самая совершенная система учета бес- полезна, если не поддерживать ее в актуальном состоянии. Чтобы данные не устарели, необходимо назначить ответственного за учет и обновлять сведения об оборудовании хотя бы раз в квартал. Инвентаризация – не формальность, а необходимость Инвентаризация ИТ-активов в про- мышленных сетях – это фундаменталь- ная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые про- двинутые средства защиты – межсете- вые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно. Чтобы справиться с этой задачей нужно знать оборудование, находя- щееся в сети, преодолеть организа- ционные барьеры и следить за акту- альностью данных. Тут помогут спе- циализированные инструменты, такие как PT ISIM для пассивного монито- ринга и автоматического обнаружения всех устройств в сети – от промыш- ленных контроллеров до инженерных станций. Вместе с другими средствами защиты система превращает учет обо- рудования в инструмент управления киберрисками, обеспечивая безопас- ность критически важных объектов и непрерывность технологических про- цессов в них. l • 49 Защита аСУ тП www.itsec.ru Рис.1. Инвентаризация устройств АСУ ТП и сетевых соединений в PT ISIM АДРЕСА И ТЕЛЕФОНЫ POSITIVE TECHNOLOGIES см. стр. 82 NM Реклама