Фокус номера: кибербезопасность в нефтегазовой отрасли
НазадКакова стратегия защиты энергетического предприятия? На какие шаги стоит сделать акцент в первую очередь?
Для предотвращения случайных заражений в будущем и для защиты от целенаправленных атак на технологические сети мы рекомендуем принять ряд мер по обеспечению безопасности внешнего и внутреннего периметров технологической сети:
Разделить технологические сети
- Один из возможных вариантов организации более безопасного доступа и обмена данными между сетями заключается в использовании демилитаризованной зоны (DMZ) внутри периметра технологической сети. В этой DMZ размещаются все необходимые серверы, к которым требуется доступ извне периметра сети, при этом любые подключения из DMZ в технологическую сеть должны быть запрещены.
- Для удаленного доступа к компьютерам в промышленной сети в DMZ обычно используется терминальный сервер, которому разрешен доступ в технологическую сеть на заданный сетевой порт заданного компьютера. Этот вариант также не является достаточно безопасным, так как возможность подключения из DMZ в технологическую сеть теоретически может быть использована для атаки.
- Для организации более безопасного доступа между DMZ и технологической сетью следует использовать методы обратного подключения, т.е. компьютер в технологической сети является инициатором подключения к серверам в DMZ, а не наоборот.
- Системы, имеющие постоянную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.), необходимо изолировать в отдельный сегмент внутри технологической сети – демилитаризованную зону (DMZ).
- Системы в демилитаризованной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации).
Ограничить мобильные подключения
- Для обеспечения безопасности промышленной сети и подключенных к ней систем промышленной автоматизации необходимо обеспечить контроль за использованием подключений к мобильному интернету (например, ограничить использование сетевых USB-адаптеров с помощью технологии контроля устройств).
- Мобильные устройства в технологической сети, используемые за пределами сетевого периметра, так же, как и в предыдущих сценариях, необходимо отделить от остальных систем, используя принципы организации демилитаризованной зоны.
Ограничить до разумных пределов возможности служб, приложений и портов
- В большинстве случаев системы промышленной автоматизации были атакованы вредоносным ПО из локальной сети предприятия – при наличии прямого подключения между сетями и при подключениях через VPN.
- Необходимо отключение служб SMBv1 и закрытие порта TCP 445 на всех компьютерах в сети, где это только возможно, и на периметре сети; установку патча там, где полностью отказаться от использования сетевых папок невозможно.
Реализовать комплекс мер по проверке и предотвращению инцидентов промышленной кибербезопасности
- Провести инвентаризацию запущенных сетевых служб; по возможности остановить уязвимые сетевые службы (если это не нанесёт ущерба непрерывности технологического процесса) и остальные службы, не требующиеся для непосредственного функционирования системы автоматизации.
- Провести аудит разграничения доступа к компонентам АСУ ТП; постараться добиться максимальной гранулярности доступа.
- Провести аудит сетевой активности внутри промышленной сети предприятия и на её границах. Устранить не обусловленные производственной необходимостью сетевые соединения с внешними и другими смежными информационными сетями.
- Проверить безопасность организации удалённого доступа к промышленной сети; обратить особое внимание на соответствие организации демилитаризованных зон требованиям информационной безопасности. По возможности минимизировать или вовсе избежать использования средств удалённого администрирования (таких, как RDP или TeamViewer).
- Следить за актуальностью сигнатурных баз, эвристик, решающих алгоритмов средств защиты конечных узлов сети.
- Убедиться, что все основные компоненты защиты включены и функционируют, а из области защиты не исключены каталоги ПО АСУ ТП.
- Провести аудит политики и практики использования съёмных носителей информации и портативных устройств.
- Не допускать подключения к узлам промышленной сети устройств, предоставляющих нелегитимный доступ к внешним сетям и интернету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными специальными средствами.
Внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в индустриальных сетях. В большинстве случаев применение подобных мер не требует внесения изменений в состав и конфигурацию средств АСУ ТП и может быть произведено без остановки их работы.
Конечно, полностью изолировать технологическую сеть от смежных сетей практически невозможно, поскольку передача данных между сетями необходима для выполнения множества важных функций – управления и поддержки удаленных объектов, координации работы сложного технологического процесса, части которого распределены между множеством цехов, линий, установок и систем обеспечения. Но мы надеемся, что наши рекомендации помогут максимально защитить технологические сети и системы промышленной автоматизации от современных и будущих угроз.