Журнал "Information Security/ Информационная безопасность" #5, 2020

имущественно в рамках стека протоко- лов TCP/IP. Помимо стандартных угроз прямого получения злоумышленником доступа к критическому объекту и после- дующего нанесения ущерба, примерами известных реализуемых угроз, в основе которых лежит двунаправленный харак- тер информационного обмена, являются WannaCry, Petya, EternalRocks и др. Отдельный значимый риск для защи- щаемой инфраструктуры – это возмож- ность направления, загрузки чего-либо в критический сегмент, например вре- доносного кода, шпионского ПО и т.п., для целей мониторинга, сбора инфор- мации, нанесения отложенного ущерба. Безусловно, атаки могут носить и одно- направленный характер. Так, используя протоколы без обратной связи UDP или ICMP, злоумышленник может попытаться не захватить контроль над объектом, но вывести его из эксплуатации, например, с помощью DoS-атаки. Однако в дей- ствительности такие атаки распростра- нены существенно меньше. Для решения подобных проблем и под- ключения к SOC источников без повы- шения рисков воздействия на важный объект и защиты со стороны злоумыш- ленника целесообразно применять тех- нические решения на основе устройств однонаправленной передачи данных, например таких, как аппаратный ком- плекс InfoDiode (АК InfoDiode) или аппа- ратно-программный комплект InfoDiode (АПК InfoDiode). Решения АК InfoDiode и АПК InfoDiode Наиболее распространенными сцена- риями применения АПК InfoDiode как шлюза между сегментом значимого объ- екта и сегментом SOC могут быть: l сценарий передачи информации от пассивных источников защищаемого объекта с последующим их чтением кол- лекторами SOC; l сценарий передачи информации от активных источников защищаемого объекта на коллекторы SOC; l сценарий анализа сетевого трафика от компонентов защищаемого объекта (например, на базе продуктов PT ISIM); l отправка оповещений по e-mail. Сценарий передачи информации от пассивных источников защищаемого объекта с последующим их чтением коллекторами SOC В этом сценарии данные передаются по протоколам FTP/CIFS c сервера In-Proxy через аппа- ратный комплекс InfoDiode на сервер Out-Proxy. Файлы, которые необходимо пере- дать из защищае- мого сегмента, помещаются на сервер In-Proxy, проходят через АПК InfoDiode и отправляются в конечную папку Out-Proxy сервера, к которой сможет обращаться внешняя система мониторинга (например, SIEM) или сотрудники SOC. Сценарий передачи информации от активных источников защищаемого объекта на коллекторы SOC В этом случае передача событий из защищаемого сегмента происходит с использованием Syslog и Netflow на внешнюю систему мониторинга SOC. Передача UDP-трафика через АПК Info- Diode позволяет обеспечить односторон- нюю автоматическую передачу инфор- мации во внешнюю систему мониторинга или на файловый сервер (см. рис. 2). Сценарий анализа сетевого трафика от устройств защищаемого сегмента Данный сценарий обеспечивает реа- лизацию защиты закрытого сегмента в случае организации сбора и после- дующего анализа копии технологиче- ского трафика внешней системой мони- торинга (например, IDS) через однона- правленный шлюз. Одним из примеров реализации данного сценария является совместное решение АК InfoDiode и Posi- tive Technologies Industrial Security Incident Manager (PT ISIM) 1 (см. рис. 3). Отправка оповещений по e-mail Данный сценарий позволяет передачу уведомлений через АПК InfoDiode от системы мониторинга, находящейся в закрытом сегменте, с помощью почто- вого трафика: 1. SMTP-клиент передает на SMTP-сер- вер InProxy сообщение электронной почты. 2. InProxy пересылает сообщение на OutProxy. 3. SMTP-клиент OutProxy пересылает сообщение на внешний SMTP-сервер. Каждый из представленных сценариев позволяет построить комплексную систе- му защиты, базирующуюся на исключе- нии воздействия на защищаемый объект со стороны менее доверенного сегмента, в том числе такого, в котором находится SOC и функционирующая в нем система SIEM. В каждом из сценариев однона- правленные шлюзы InfoDiode позволяют обеспечить безопасную интеграцию тех- нологической и корпоративной сетей, а также непрерывный мониторинг функ- ционирования технологической сети из других сегментов, в том числе возмож- ность реагирования со стороны служб SOC на инциденты ИБ. l • 27 SOC www.itsec.ru Рис. 1. Пример сбора событий от источников в защищаемом сегменте сети Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 2. Односторонняя передача информации во внешнюю систему мониторинга Рис. 3. АК InfoDiode устанавливается на границе критического сегмента, подключаясь к порту зеркалирования коммутатора сегмента защищаемого объекта и к PT ISIM, находящемуся во внешнем сегменте