Журнал "Information Security/ Информационная безопасность" #6, 2021

Сети современных пред- приятий требуют более эффективной сегментации, а ущерб от отсутствия эффективных мер защиты может быть гигантским. Концепция нулевого доверия может и должна рассматриваться как основ- ная. АМТ InfoDiode – базовое аппаратное решение, серти- фицированное ФСТЭК УД (4), гарантирующее защиту на аппаратном уров- не и эффективно решающее задачу передачи UDP, Syslog, SPAN-трафика за пределы КИИ. АМТ InfoDiode PRO – решение, сертифицирован- ное ФСТЭК УД (4), для передачи значимых файло- вых потоков, дистрибутивов, реплик ВМ и баз данных, электронной почты, бэкапов и т.п. из доверенного сег- мента вовне. АМТ InfoDiode SMART – новое решение для переда- чи за пределы периметра КИИ промышленных и спе- цифических протоколов, в том числе видео, для интег- рации SCADA-систем, орга- низации удаленных ситуа- ционных центров за грани- цей периметра, в условиях гарантированной изоляции КИИ. организации, применяющей такое СЗИ. Признание того факта, что сети современных предприятий требуют более эффективной сегментации, а ущерб от отсут- ствия эффективных мер защи- ты может быть гигантским, про- исходит и на государственном уровне. Например, в США тре- бования к такой сегментации формируются и реализуются прямо сейчас. К концу 2021 г. для каждого подключения HTN (High Threat Networks) к секрет- ным системам национальной безопасности правительства США должен быть реализован механизм, основанный на аппа- ратном обеспечении, прошед- шем оценку соответствия со стороны АНБ (это могут быть "диоды данных"). К концу 2022 г. необходимо внедрить такие механизмы для подключения HTN к классифицированным государственным информа- ционным системам для всех корпоративных потоков данных. К концу 2023 г. "аппаратная фильтрация" планируется для реализации сопряжений HTN и корпоративных сетей. Что же может предпринять российская организация в качестве первоочередных мер? В целом ответы есть и в нор- мативной документации, и в части технических решений. Так, положения приказа № 239 ФСТЭК России говорят о необходимости проведения ком- плексного анализа для опреде- ления наиболее важных точек применения тех или иных мер, в частности: выявление источ- ников угроз безопасности информации и оценка потен- циала внешних и внутренних нарушителей; анализ возмож- ных уязвимостей значимого объекта и его программных, п р о г р а мм н о - а п п а р а т н ы х средств; определение веро- ятных способов (сценариев) реализации/возникновения угроз безопасности информа- ции; оценка возможных послед- ствий от реализации/возникно- вения угроз безопасности информации. Представляется, что анализ прежде всего дол- жен касаться исследования того, какие части критической и значимой сетевой и инфор- мационной инфраструктуры следует гарантированно изоли- ровать от других частей сетевой и информационной инфраструк- туры. Концепция нулевого дове- рия может и должна рассмат- риваться как основная для таких частей. Практическая (техниче- ская) ее реализация может означать, например, примене- ние аппаратных комплексов для физической изоляции отдель- ных участков сети c передачей наружу или внутрь (в одном направлении) только требуемой информации согласно установ- ленному регламенту информа- ционного обмена – такие ком- плексы получили название "диоды". Современные поколе- ния этих устройств давно не только умеют передавать UDP- трафик и основанные на нем протоколы, но и вполне успешно справляются с передачей фай- лового трафика, реплик баз данных, виртуальных машин и информационных систем. Через "диоды" возможна передача и различных промышленных протоколов, таких как MQTT, Modbus, OPC UA. Если учесть, что последний из упомянутых протоколов представляет собой стандарт, определяющий передачу данных в промыш- ленных сетях и взаимодей- ствие устройств в них, то при- менение таких "диодов" может быть эффективно распростра- нено и на получение данных из SCADA-систем крупных вен- доров, создание historian-хра- нилищ и облаков промышлен- ных данных, построение циф- ровых двойников и централи- зованных диспетчерских цент- ров. Хочется обратить внима- ние на то, что при условии успешного разделения эффек- тивность управления такой сетью не теряется, потому что центры управления, как пра- вило, локализованы в том или ином сегменте, а этот сегмент отделен от соседнего не про- граммным, а аппаратным решением. С точки зрения рис- ков атака на один из участков сети в условиях ее аппаратной изоляции не приводит к отказу в обслуживании всей сети, сохраняя "острова" управления и контроля. Сегментация сети с исполь- зованием аппаратных решений и уход от единой "прозрачной топологии" всей сети органи- зации, защищенной только программными решениями, представляются актуальными. Вполне вероятно, что именно эти подходы стоят за более безопасной сетевой инфра- структурой и, несмотря на определенные особенности управления ею, радикально снижают риски распростране- ния атаки на всю сетевую инфраструктуру. Какое решение выбрать? На российском рынке сегодня есть несколько производителей подобных решений с разным функционалом. В нашем продуктовом порт- феле представлена полная линейка для сегментации сете- вой инфраструктуры на аппа- ратном уровне, в которую вхо- дят три больших класса устройств: 1. АМТ InfoDiode – базовое аппаратное решение, сертифи- цированное ФСТЭК УД (4), гарантирующее защиту на аппа- ратном уровне и эффективно решающее задачу передачи UDP, Syslog, SPAN-трафика за пределы КИИ. 2. АМТ InfoDiode PRO – реше- ние, сертифицированное ФСТЭК УД (4), для передачи значимых файловых потоков, дистрибутивов, реплик ВМ и баз данных, электронной почты, бэкапов и т.п. из доверенного сегмента вовне. 3. АМТ InfoDiode SMART – новое решение для передачи за пределы периметра КИИ про- мышленных и специфических протоколов, в том числе видео, для интеграции SCADA-систем, организации удаленных ситуа- ционных центров за границей периметра, в условиях гаран- тированной изоляции КИИ. Последний класс устройств значительно расширяет воз- можности сегментации про- мышленных сетей и обеспечи- вает упрощенное встраивание "диодов" в разнородную инфра- структуру организации за счет предоставления универсально- го API (взаимодействовать с устройством теперь могут самые разные системы и реше- ния, в том числе, самостоя- тельно разработанные потре- бителями), наличия дополни- тельных коннекторов от про- изводителя, которые позволяют интегрировать устройство с самими разными системами- источниками и системами-пре- емниками. l • 21 Защита аСУ тП и IoT www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АМТ-ГРУП см. стр. 48 NM Реклама