Журнал "Information Security/ Информационная безопасность" #2, 2025

Илья Карпов, BI.ZONE Основной проблемой является отсут- ствие полной и актуальной инвентари- зации активов – без этого невозможно быстро оценить риски и принять реше- ние при инциденте. Следующая про- блема – это сложности, связанные с патч-менеджментом. У ПО и ОС должны быть устранены все выявленные уязви- мости. Стоит также уделить внимание небезопасным конфигурациям, которые очень часто присутствуют в промыш- ленных сегментах сети. Существующие СЗИ для АСУ ТП не закрывают упомя- нутые пробелы, поэтому ИБ-специали- стам приходится решать такие задачи в ручном режиме. Применение EDR- агента на конечных точках позволяет решить эти проблемы, сделав АСУ ТП гораздо устойчивее к инцидентам ИБ. Так, по данным SANS 2024 State of ICS/OT Cybersecurity, самым популяр- ным источником событий для SOC являются решения на базе EDR. Евгений Гончаров, Kaspersky ICS CERT В специализированных решениях для защиты АСУ ТП куда больше проактивных технологий в соотношении к реактивным, чем в решениях для ИТ. Они изначально создавались именно проактивными. И не последнюю роль в формировании такой ситуации сыграли мы, когда 7–12 лет назад занимались евангелизацией темы безопасности АСУ ТП. Это сейчас глав- ный бич всех промышленных предприятий – атаки вымогателей (и хактивистов, но преимущественно с тем же инструмента- рием, что и у вымогателей). А 10 лет назад в то, что системы АСУ ТП станут привлекательны для злоумышленников, на предприятиях почти никто не верил. Единственной реалистичной угрозой мно- гие в промышленности считали атаки APT. Ну и, естественно, имеющие своей целью, как в случае Stuxnet (да простят меня коллеги за употребление этого теперь уже почти ругательного слова – ведь в данном контексте оно единственно правильное), нанесение физического ущерба – разрушение производственных активов, а то и, чего доброго, создание угрозы окружающей среде и здоровью и жизни людей. И единственным рабо- тающим аргументом в пользу интеграции специализированных защитных решений была демонстрация их способности обна- руживать попытки нанесения такого ущер- ба. А поскольку сценариев реальных атак подобного рода было взять неоткуда – "в дикой природе" они практически не встречались (да и сейчас, к счастью, с запасом хватит пальцев двух рук, если считать их по-честному), то их придумы- вали мы (и прочие разработчики таких специальных средств) сами. Исследуя продукты АСУ ТП и системы управления на их основе, мы стремились обнаружить ситуации, не предусмотрен- ные при проектировании систем АСУ и противоаварийной автоматики, которые могли бы возникнуть в случае целена- правленных деструктивных действий, и реализовать механизмы их обнаружения нашими продуктами. На сегодняшний день мы ушли далеко вперед реальных злоумышленников в области придумывания сценариев атак с киберфизическим последствием – как минимум по их абсолютному количеству и степени изощренности. И это, наверное, хорошо, а не плохо. В конце концов, какие-то из этих сценариев если и не будут использованы злоумышленниками, могут случиться по "естественной" причине – в результате стечения обстоятельств и ошибки сотрудников предприятия. Похо- жая ситуация сейчас складывается и в отношении кибербезопасности автомоби- лей – злоумышленники их пока еще не атакуют, а мы уже стараемся их защитить – и в некоторых других областях. Есть и другая форма проактивности при реализации защитных мер, которая приживается в промышленных секторах пока сильно хуже, чем в других (напри- мер, в финансовом). Нужно проактивно защищаться не только от принципиально новых векторов атак и способов их реа- лизации, еще не опробованных зло- умышленниками, но и от новых лично для вас – от тех, которые уже использо- вались в атаках на другие организации, но пока еще не были применены в отно- шении к вашей. Для этого многие вендо- ры кибербезопасности предоставляют решения для киберразведки – информи- рования клиентов об интересных техни- ческих деталях исследованных ими атак и важных аспектах обнаруженных уязви- мостей. Так делаем и мы. Более того, у нас есть специальная версия решения, сфокусированная на проблемах ИБ про- мышленных предприятий – ICS Threat Intelligence Reporting. Основываясь на данных, получаемых таким образом, организация может не только принимать очевидные оперативные меры (например, при выходе нового отчета добавить соот- ветствующие индикаторы компромета- ции в свои защитные решения или про- сканировать свои системы, используя новые YARA-правила), но и реализовы- вать тактические меры (например, настроить многофакторную аутентифи- кацию для консолей управления защит- ными решениями и вынести такие кон- соли из домена, включить новый инте- ресный сценарий социальной инженерии в программу повышения осведомленно- сти сотрудников), запланировать стра- тегические улучшения (например, пере- смотреть подход к управлению уязвимо- стями, вложиться в собственную команду SOC, пересмотреть свои отношения с поставщиками в сторону ужесточения требований ИБ к ним и т.д.). Если с использованием данных кибер- разведки в оперативных целях все про- мышленные организации справляются, то применять их к решению тактических задач и для достижения стратегических целей кибербезопасности не научился почти никто, если судить по тому, что мы слышим от представителей организаций. Вероятно, в первую очередь мешает пока еще невысокий уровень зрелости кибербезопасности – нехватка квали- фицированных кадров, нерешенные до конца вопросы с разделением ответ- ственности и предоставлением полно- мочий – все то, о чем написано выше. И, наконец, третья, наиболее сложно достигаемая форма проактивности – это когда сами системы автоматизации резистентны к киберугрозам (мы назы- ваем это "кибеиммунитетом"). Это ока- зывается возможным только тогда, когда требования кибербезопасности имеют высокий приоритет с самых ранних эта- пов проектирования систем, равно как и использованных в них продуктах и лежащих в их основе технологий. Речь идет о подходах конструктивной инфор- мационной безопасности, о которых также написано выше. Шаги в этом направлении уже делаются, но тут мы все еще только в самом начале пути. l 64 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru