Реален ли риск атак на OT-инфраструктуру? Мнение ведущего специалиста Fortinet
Операционные технологии, или ОТ, являются критическим сегментом сети, используемым предприятиями, которые производят товары или занимаются физическими процессами. Такие отрасли, как производство, химическая, нефтегазовая, горнодобывающая промышленности, транспортная и логистическая сферы используют специализированные технологии для управления объектами: сборочными и производственными площадками и энергосистемами. Контроль, мониторинг и управление этими системами были постепенно автоматизированы за последние несколько десятилетий, и специализированные системы, которые выполняют эти задачи называются промышленными системами управления (ICS), диспетчерского контроля и сбора данных (SCADA) или просто OT.
О респонденте: Джо Робертсон, главный сотрудник по информационной безопасности По данным Wikipedia: Fortinet - американская транснациональная корпорация, специализирующаяся на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности: межсетевых экранов, антивирусных программ, систем предотвращения вторжений и обеспечения безопасности конечных точек и других продуктов. По объему выручки компания занимает четвертое место среди всех компаний, специализирующихся в области сетевой безопасности. |
Сети, в которых работают эти системы OT, традиционно были отделены от корпоративной среды информационных технологий (IT), а также от интернета, часто отделены воздушной прослойкой. Они обычно управляются оперативным персоналом, а не IT-специалистами. И не зря. Производственные мощности могут приносить компании миллионы долларов в час, а сообщества полагаются на критически важную инфраструктуру, обеспечивающую чистую воду и энергию. Когда эти системы выходят из строя даже на несколько минут, это может стоить сотни тысяч долларов и даже подвергать риску работников и окружающих людей.
Проще говоря, IT - это управление данными, а ОТ - создание вещей. И поскольку эти системы OT были полностью изолированы, мир OT чувствовал себя невосприимчивым к взлому, который стал фактом жизни для IT -сред.
Но недавние атаки на ОТ изменили привычный порядок вещей.
Количество кибератак в этих системах и в инфраструктурах ОТ в целом растет, и они наносят реальный ущерб. Вероятно, первая такая атака на Stuxnet произошла десять лет назад. Это была система с воздушным зазором, то есть она не имела связи с внешними сетями, но, тем не менее, была взломана. В 2017 году вымогатель NotPetya прервал производство и закрыл офисы. В том же году вредоносное ПО Trisis/Triton повредило средства безопасности в оборудовании для добычи нефти и газа. А в 2020 году появился Ekans, или Snake Ransomware, который специально предназначен для систем ICS.
Воздушный зазор растворяется
Во-первых, воздушный зазор никогда не обеспечивал полной безопасности, хотя изоляция действительно усложняла взлом системы ОТ. Получение физического доступа всегда было возможно с помощью инструментов социальной инженерии, таких как оставление зараженной USB-флешки на парковке или уверенный проход на территорию организации под видом сотрудника.
Во-вторых, если вы думаете, что ваша OT-среда отделена воздушной подушкой, вы, вероятно, ошибаетесь. Доступ для технического обслуживания к промышленным машинам, удаленное обновление инструментов ICS или удаленные обновления встроенного ПО – все это оставляет потенциальные уязвимости в среде OT, о которых вы, вероятно, даже не подозреваете.
Но самое главное, сети IT и OT объединяются, подвергая OT атакам через мир IT. Объединение данных с производством позволяет компаниям быстрее реагировать на изменения рынка и удаленно управлять, и контролировать системы. Но эти бизнес-преимущества сопряжены с реальными рисками. Новое вредоносное ПО, специально предназначенное для оборудования OT, использует компоненты разведки и доставки, которые используют IT-среду и ее сетевые соединения для получения доступа к промышленным системам управления.
Например, вредоносное ПО Trisis/Triton содержит компоненты, предназначенные непосредственно для системы безопасности и мониторинга, используемой нефтехимическими заводами. Такая атака направлена именно на ОТ. Но процессы, процедуры и методы, которые она использует, чтобы проникнуть в эту систему безопасности, являются чистыми методами разведки и доставки IT-кибератак.
Конвергенция IT / OT реальна
Несмотря на дополнительный риск для сетей ОТ, конвергенция IT/ОТ происходит потому, что это имеет финансовый и операционный смысл. Операционные группы внедряют сложные системы управления, использующие программное обеспечение и базы данных, которые работают на IT-системах. Такие вещи, как термостаты и клапаны с поддержкой Wi-Fi, могут контролироваться и управляться удаленно через IT-инфраструктуру, а финансовым директорам не нравятся затраты на отдельные сети или отдельные группы, необходимые для их работы.
Объединение мира IT и OT обеспечивает большую эффективность процессов и бизнеса. Таким образом, конвергенция происходит, и мы должны признать, что она увеличивает кибер-риск несколькими способами.
Во-первых, она расширяет то, что называется «поверхностью цифровых атак», что является причудливым способом сказать, что у хакеров есть гораздо больше устройств для таргетинга. Число веб-серверов, филиалов, удаленных и домашних работников и устройств IoT стремительно растет, и каждый из них является потенциальным путем в IT-сеть и, в конечном итоге, в вашу среду OT. Аналогичным образом, многие системы OT, которые сейчас подключены к IT-сети, могут быть более старыми, чувствительными системами, которые намного проще поддаются взлому.
Мало того, угрозы становятся все более изощренными. Так же, как компании подвергаются цифровым преобразованиям и разрабатывают универсальное программное обеспечение, злоумышленники используют те же методы для создания очень сложных и универсальных вредоносных программ. В их атаках используются различные механизмы для проникновения в IT среды, а во все большей степени – в среду OT, в то же время избегаются средства защиты компании.
И если говорить об инструментах безопасности, то сейчас их так много, что управление угрозами в некоторых отношениях стало более трудным, чем когда-либо. Опросы показали, что большинство крупных предприятий имеют от 30 до 90 различных инструментов безопасности от почти всех поставщиков. Они имеют разные консоли управления и требуют обученного персонала, который бы в них разбирался. В слишком многих случаях у сотрудников службы безопасности нет времени, чтобы вникнуть в специфику работы каждого инструмента. Киберугрозы могут буквально затеряться в этой неразберихе.
И, наконец, нормативные акты, регулирующие кибер-нарушения и защиту личной информации, еще больше усложнили безопасность для менеджеров IТ и ОТ. Существуют общие стандарты, такие как PCI-DSS (Спецификация безопасности данных индустрии платежных карт), GDPR (Общее регулирование защиты данных) и Структура NIST (Национальный институт стандартов и технологий), которые организации должны понимать и соблюдать. Существуют также отраслевые стандарты и нормативы от различных организаций, таких как Международная организация по стандартизации (ISO) и Американский национальный институт стандартов (ANSI), которые определяют, как и где должна применяться безопасность.
Вы цель | Не будь жертвой
Говоря прямо, ваша среда OT является привлекательной целью, и если она еще не подверглась атаке, то подвергнется в будущем.
Во многих случаях, когда речь идет о системах ICS или SCADA, наблюдается огромный дефицит инвестиций в безопасность. Причин для этого много, но независимо от того, почему так происходит, эта ситуация нуждается в исправлении. Неважно, объединяет ли ваша организация IT и OT, вы должны защищать OT с помощью нескольких ключевых методов для обеспечения безопасности:
1. Признайте, что риск для вашей организации растет, и принимайте меры.
2. Установите инструменты, обеспечивающие широкий обзор сети OT, а также IТ. Это включает в себя обнаружение и инвентаризацию устройств, обеспечение контроля доступа только для авторизованного персонала и получение доступа к приложениям и трафику.
3. Используйте стратегию сегментации. Интегрируйте шлюзы со строгими политиками между средами IT и OT и делайте то же самое между различными уровнями вашей сети OT. Цель состоит в том, чтобы каждая система и подсистема выполняли только свою работу. Сегментация предотвращает распространение атаки из одного места по всей системе.
4. Замените открытую модель доступа на основе доверия стратегией доступа с нулевым доверием. Установите элементы управления доступом, которые аутентифицируют пользователей, ограничивают их только теми системами, которые им необходимы для выполнения своей работы, а затем контролируют их при подключении к сети. Это должно применяться ко всем, но особенно важно для подрядчиков и поставщиков.
5. Используйте автоматизацию, чтобы помочь проанализировать действия и ускорить ваш ответ. Внедрите инструменты для регистрации активности, аналитику для поиска в тех журналах, которые ищут ненормальное поведение, и системы безопасности, которые могут реагировать на обнаруженную угрозу. Учитывая скорость, с которой могут происходить сегодняшние атаки, автоматизация и оркестровка необходимы для выявления угроз и принятия мер в считанные секунды.
6. Установите процессы для аудита и тестирования систем в случае взлома и создайте правила для резервного копирования, восстановления и восстановления.
Ничто и никто не может гарантировать, что никакая атака никогда не пройдет через вашу защиту. Но без эффективной стратегии вы обязательно будете атакованы и пострадаете.
Существует множество инструментов, предназначенных для защиты ваших IТ и ОТ от различных типов атак и разных стадий проникновения. Ищите интегрированный набор инструментов – будь то программное, аппаратное обеспечение или оба сразу – особенно те, которые предназначены для уникальных задач сред OT. Такой подход обеспечит вам максимальную безопасность.
Инструменты безопасности, которые могут передавать информацию об угрозах между собой, координировать ответ и управляться как единое целое, упростят вашу безопасность, не ставя ее под угрозу. Хорошим примером является Fortinet Security Fabric, которая представляет собой открытую экосистему с множеством поставщиков, разработанную для обеспечения преимуществ целостного режима безопасности.
30/07.2020