Журнал "Information Security/ Информационная безопасность" #6, 2020

лись примеры неконтролируемого рас- пространения вирусов и скомпромети- рованного ПО из внешних сетевых сег- ментов, обладающих меньшим уровнем доверия. Такое распространение обычно происходит веерно и исключительно быстро. Производители оборудования, ПО, АСУ ТП для предприятий энергетики и сами стараются предлагать самые различные инструменты для устранения этой проблемы (NGFW, специализиро- ванные маршрутизаторы промышлен- ного трафика, средства защиты инфор- мации и т.п.). В последнее время одним из приме- няемых на практике решений стало использование устройств класса "диод" (однонаправленный шлюз). На западных рынках применение таких устройств в промышленности и энергетике уже давно является стандартом и "настой- чивой рекомендацией" регуляторов 2, 3, 4 . Особое внимание производителей, предприятий энергетики и представите- лей регуляторов к такому классу реше- ний связано с тем, что на данный момент число доступных практических сценари- ев использования "диодов" значительно выросло. Важной особенностью всех этих сценариев является тот факт, что во всех случаях применения "диодов" обеспечивается гарантированная защита сетевого сегмента от какого-либо внеш- него воздействия на физическом уровне. Несколько возможных сценариев их при- менения для предприятий энергетики в целях решения задач мониторинга представлены ниже. Однонаправленные шлюзы могут при- меняться для репликации различных источников данных из технологической сети предприятия в некую стороннюю сеть, в том числе в сеть производителя оборудования. Репликация исторических данных, доставка файлов могут быть использованы в сценариях предостав- ления отчетности, обмена сырыми дан- ными и файлами, обеспечивающими сопровождение процессов отладки и мониторинга. Внешние пользователи и приложения, например служба техни- ческой поддержки производителя обо- рудования, могут обращаться к ним без какой-либо угрозы для технологической сети и оборудования критической инфра- структуры предприятия. Еще одним сценарием применения "диодов" является передача Syslog-тра- фика и трафика, циркулирующего в тех- нологическом сегменте предприятия, на специализированные серверы/системы безопасности сторонней организации или в пределах одного предприятия. Такая передача выполняется для фик- сации событий в SIEM-системах, спе- циализированных системах обнаружения вторжений и изменения сетевой топо- логии, функционирующих в рамках кор- поративных SOC, NOC-центров. В тех случаях, когда предприятие имеет фили- альную структуру, решение с примене- нием однонаправленных шлюзов может использоваться для сбора/передачи дан- ных в головные SIEM-системы и центры компетенций. Другим вариантом эффективного взаимодействия в условиях гарантиро- ванной защиты от внешнего воздействия может быть организация стриминга дан- ных через "диод" с автоматизированных рабочих мест в защищенном сегменте и демонстрации этих данных получателю через стандартные средства воспроиз- ведения видеопотока. Такой сценарий позволяет обеспечить эффект присут- ствия внешнего специалиста или экс- перта и своевременно оказать каче- ственную поддержку сотрудникам пред- приятия в режиме реального времени. Рассмотрим такой кейс более подробно на примере следующей схемы передачи видеотрафика и снимков рабочего стола (онлайн) (см. рис.). Стриминг и воспроизведение видео от источника/источников в закрытом сегмен- те к приемнику в открытом сегменте осу- ществляется по протоколу UDP в режиме unicast (см. схему организации стриминга на рис.). Передача UDP-потока с одной рабочей станции на другую в изолиро- ванный сегмент сети осуществляется через "диод" и исключает возможность какого-либо воздействия на защищаемый сегмент. В качестве ПО для просмотра полученного сигнала на рабочих станциях также могут применяться общедоступные и бесплатные решения/плееры. Следует обратить внимание на то, что описанный выше сценарий может быть реализован как с использованием аппа- ратно-программного решения ("диодов", включающих и программную, и аппа- ратную компоненты), так и аппаратного решения. Подводя итог Еще несколько лет назад межсетевые экраны были фактически единственной доступной технологией, способной защи- тить наиболее критические объекты сети и отделить их от сетей сторонних обслу- живающих организаций и сети Интернет, обеспечивая при этом мониторинг и сбор информации из закрытого сегмента. Однако современные компьютерные атаки демонстрируют способность пла- номерно и эффективно обходить все программные средства обеспечения без- опасности, в том числе межсетевые экраны. Поэтому современное предприя- тие в области энергетики, равно как и в других областях, безусловно, должно рассматривать весь перечень доступных средств защиты своих процессов и орга- низации их безопасного мониторинга. Это связано не только с ростом числа атак на промышленные объекты, но и с ростом количества точек сопряжения локальных сетей с внешними, не конт- ролируемыми сетевыми сегментами. Возможно, в данном случае не стоит дожидаться формирования более четких требований и рекомендаций по приме- нению "диодов" со стороны регуляторов, которые, в свою очередь, могут отста- вать от западных практик на 2–3 года. l • 29 АСУ ТП и IoT www.itsec.ru Схема передачи видеотрафика и снимков рабочего стола Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2 NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems, https://us-cert.cisa.gov/ncas/alerts/aa20-205a 3 NIST SP800-82. Guide to Industrial Control Systems (ICS) Security https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf 4 Cybersecurity for Industrial Control Systems - Документ Национального агентства по безопасности информационных систем Франции, https://www.ssi.gouv.fr/uploads/2014/01/industrial_security_WG_Classification_Method.pdf

RkJQdWJsaXNoZXIy Mzk4NzYw