Журнал "Information Security/ Информационная безопасность" #2, 2025

Современные экспертные средства защиты должны учитывать уникаль- ность корпоративных инфраструктур и уметь адаптироваться под них. Все- объемлющих механизмов защиты, которые подходят для всех, не суще- ствует. Особое место занимают тех- нологические инфраструктуры, обла- дающие своей спецификой. В их состав входит разнообразное техно- логическое ПО, которое нужно конт- ролировать и защищать. В чем особенности технологических инфраструктур? Чтобы понять, как выстроить процесс мониторинга технологических инфра- структур, сначала нужно разобраться: в чем заключается их специфика, что их отличает от обычного корпоративного сегмента? Среди самых важных отличительных черт можно выделить следующие. Большой жизненный цикл установок и систем АСУ ТП проектируется так, чтобы отработать максимальное время на отказ с наименьшим числом воздействий со стороны человека. Мотивация такого проектирования очевидна: предприятие заинтересовано в том, чтобы промыш- ленное оборудование выполняло биз- нес-цели максимально долго и стабильно с неизменным результатом. Поэтому системы настраивают по принципу "настроили – работает – не трогай". Это приводит к тому, что зачастую в техно- логических сегментах используется уста- ревшее программное обеспечение на старом и малопроизводительном обо- рудовании. Закрытые проприетарные протоколы и ПО Одна из центральных сущностей, которую нужно защищать в технологи- ческой инфраструктуре, – серверы SCADA. Это, как правило, обычные операционные системы с установлен- ным проприетарным ПО для управления технологическими процессами. Это ПО – входная точка в конфигурацию с воз- можностью изменения процессов, – лакомый кусок для злоумышленника. А значит, необходимо тщательно конт- ролировать происходящее на таких устройствах и отслеживать изменения, которые происходят в конфигурации технологического ПО. Серьезные последствия из-за малейшего воздействия Обычные корпоративные инфраструк- туры с классическим ПО и пользовате- лями не восприимчивы к незначитель- ному влиянию на производительность, которое оказывают стандартные сред- ства защиты, а в технологическом сег- менте даже малейшее воздействие может привести к серьезным послед- ствиям для производственных процес- сов. Поэтому любое СЗИ нужно тща- тельно тестировать на совместимость при его внедрении в технологический контур, исключая потенциальное влия- ние на бизнес-процессы. Что требуется от вендоров? Процесс мониторинга и обеспечения защиты конечных точек в технологиче- ском сегменте по сравнению с обычной инфраструктурой требует значительно большего внимания в части: l влияния СЗИ на ОС и ПО; l дополнительного контроля конфигу- раций проприетарного ПО; l сбора событий кибербезопасности от проприетарного ПО; l совместимости СЗИ со старыми вер- сиями ОС и ПО. При проектировании средств защиты и мониторинга вендоры должны учиты- вать эти особенности, чтобы иметь воз- можность беспрепятственно интегриро- вать свои решения в технологические инфраструктуры. И возникает резонный вопрос: а суще- ствуют ли какие-то специфические раз- личия в области обнаружения угроз и реагирования, характерные для АСУ ТП? Если коротко, отличия есть, но они небольшие. Для злоумышленника тех- нологический сегмент – это обычная инфраструктура, просто здесь чаще встречаются старые ОС, ПО и больше блокирующих политик. Кроме того, стоит учитывать, что одна из основных целей атакующего в контексте технологических инфраструктур – контроллеры АСУ ТП. Злоумышленник может получить доступ к контроллерам через инженерное про- приетарное ПО, которое почти всегда присутствует на серверах и АРМ. В придачу к классическому монито- рингу угроз идут два дополнения: 1. Необходимо более пристально конт- ролировать происходящее на устрой- ствах АСУ ТП, серверах и АРМ. В таких закрытых системах редко встречается новая нестандартная активность, напри- мер запуск программ, манипуляции с реестром или файловой системой, поэтому можно определить активность, которая является характерной. Такая особенность позволяет профилировать активность устройства и обнаруживать нестандартные и нехарактерные паттер- ны. Это, в свою очередь, помогает выявить присутствие злоумышленника в технологической инфраструктуре. Более того, на подобных устройствах возможно использовать Application Control, который позволяет фиксировать запускаемые программы и оповещать, если запущено неразрешенное ПО. 2. Необходимо мониторить конфигура- ции и изменения в программном обес- печении АСУ ТП. У такого ПО есть множе- ство различных настроек, неправильное использование которых может открывать злоумышленникам новые пути для разви- тия атак. Нужно регулярно и своевременно выявлять небезопасные конфигурации, выдавая рекомендации по их исправлению. Необходимо отслеживать попытки воз- действия на такие конфигурации, чтобы обнаружить сценарии, в которых зло- умышленник пытается открыть для себя новый вектор развития атаки. 52 • СПЕЦПРОЕКТ Подход к мониторингу конечных точек в технологической инфраструктуре овременная инфраструктура конечных точек – живой, постоянно меняющийся организм, состоящий из множества разнородных элементов. Подходы к обеспечению защиты этих элементов могут значительно отличаться. С Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE Фото: BI.ZONE