Ландшафт киберугроз промышленного сектора постоянно меняется: появляются новые типы атак и более изощренные версии старых, повышается активность хактивистов. Особенно уязвимы в такой ситуации промышленные объекты, распределенные корпоративные сети. Сращивание кибер- и традиционной преступности представляет угрозу для глобальных цепочек поставок.
Одновременно развиваются решения по кибербезопасности, однако, подготовка организаций к использованию таких решений требует готовности инфраструктуры. О направлениях совершенствования методов киберзащиты, востребованных решениях для предотвращения угроз, детектирования и реагирования, мониторинга ИБ и многом другом рассказал руководитель направления развития продуктов для промышленной безопасности «Лаборатории Касперского» Андрей Стрелков.
– Андрей, какие основные задачи стоят перед службами ИБ в ОТ-сегменте? Что изменилось за последний год?
– В целом, значительных изменений с прошлого года не произошло. По сравнению с тем, с чем отрасль столкнулась в 2022 году, в 2023-м организации продолжали работу в уже привычном темпе, в более агрессивной среде.
Продолжается процесс замещения решений западных вендоров. Также могу отметить возрастающую зрелость заказчиков, выстраивающих эшелонированные системы защиты. На рынке промышленного кибербеза становятся востребованными комплексные решения, включающие в себя не только системы защиты и предотвращения угроз, но и системы для расширенного детектирования и реагирования, мониторинга ИБ, агрегации и корреляции событий, защиты от целевых атак. Традиционно высокий спрос на решения по сетевой безопасности и сервисы по анализу защищенности, киберучения, управляемую защиту MDR.
С точки зрения ландшафта угроз мы видим, что усилия операторов критической инфраструктуры и промышленных предприятий не проходят даром. Доля компьютеров, на которых было заблокировано вредоносное ПО, продолжает сокращаться. Значит, комплексные меры защиты работают более эффективно, чем раньше. Однако расслабляться не стоит, угроза шифровальщиков все еще более чем актуальна, распространяются атаки на цепочки поставок, и мы видим, что хактивисты уже добираются до АСУ ТП. В нескольких случаях, расследованных за прошедшее время специалистами Kaspersky ICS CERT, для нанесения физического ущерба злоумышленникам лишь немного не хватило подготовки и упорства.
В целом рынок кибербеза в России растет быстрыми темпами, в связи с чем, думаю, для ИБ-департаментов также добавится работы по интеграции решений в свою инфраструктуру. При этом часто бывает, что инфраструктура к этому не готова, иногда даже нет сетевой связности между филиалами и отдельными объектами. Подготовка к использованию ИБ-решений требует готовности инфраструктуры.
– Чем различаются подходы к построению сетевой инфраструктуры промышленных объектов и обычных филиалов-офисов?
– В целом задачи, решаемые организациями при построении сетевой связности, схожи как для промышленных предприятий, так и для коммерческих. Цифровизация необходима для управления, обеспечения эффективной работы и оптимизации любого бизнеса. Для организаций любого типа стабильная и надежная связь между филиалами – необходимость.
Однако промышленные сети – это всегда более высокие риски и дополнительные требования.
Объекты малой автоматизации зачастую не имеют технических специалистов на местах,
поэтому развертывание сети, управление ею и мониторинг должны осуществляться удаленно.
Также форм-фактор сетевых устройств может быть важен для подключения небольших географически распределенных объектов – зачастую в шкафу просто нет места для установки стандартного оборудования, поэтому нужны компактные устройства, объединяющие несколько функций.
Промышленным системам управления (ICS) и сбора данных (SCADA) требуются стабильные каналы связи с высоким качеством обслуживания.
– Как осуществляется мониторинг промышленной сети на разных типах объектов?
– Наиболее распространенным методом мониторинга промышленных сетей является пассивный анализ трафика, передаваемого с порта зеркалирования (SPAN-порта). Основное преимущество – отсутствие влияния на сеть даже в случае выхода из строя самого решения по мониторингу. Такой трафик подается с центрального коммутатора или собирается с помощью сенсоров в случае более сложной сетевой архитектуры. Наш подход также расширяет возможности мониторинга за счет интеграции сетевого и узловых ИБ-решений. Передача телеметрии с узловых агентов позволяет увидеть то, что может быть скрыто от сетевых анализаторов.
Однако в некоторых случаях число площадок настолько велико, что количество необходимых для ее покрытия сенсоров превышает допустимое количество, поддерживаемое системой мониторинга. В такой ситуации используются дополнительные устройства-сборщики трафика, задача которых – доставка трафика с множества площадок до точек сбора.
Kaspersky Industrial CyberSecurity (KICS) – решение для обеспечения кибербезопасности промышленных сред – представляет собой специализированную XDR-платформу, которая объединяет мониторинг и обнаружение вторжений в промышленной сети (KICS for Networks), защиту промышленных рабочих мест с встроенной технологией EDR (KICS for Nodes).
KICS for Networks мониторит промышленные сети и анализирует трафик на уровне проприетарных протоколов. Решение поставляется в виде программного продукта или виртуального устройства. Оно выявляет аномалии и вторжения на ранних этапах, демонстрирует развитие атаки как по сети, так и на узлах (EDR киллчейн и телеметрию), позволяет выполнять ответные действия на уровне узлов и сетевого оборудования. Работая на предупреждение инцидентов, решение помогает обнаружить и ранжировать риски на основе данных об уязвимостях, сетевых соединениях и важности различных активов.
– Как появилась идея объединить решение для управления распределенной сетью Kaspersky SD-WAN и Kaspersky Industrial CyberSecurity?
– Исходя из задачи покрытия системой мониторинга распределенных сетей, да еще и с повышенными требованиями для промышленности, решение пришло само собой c продуктом Kaspersky SD-WAN.
Во-первых, программно определяемые технологии позволяют автоматизировать развертывание сети и упростить управление ею, а механизмы программно определяемых сетей – разделение каналов внутри сети SD-WAN и поддержку различных сценариев, которые не влияют друг на друга – помогают повысить надежность сетевой инфраструктуры, обеспечить ее безопасность.
Во-вторых, такие устройства дают возможность работать в режиме сборщика трафика, что нам необходимо, да еще с использованием нужных KICS технологий. Решения Kaspersky Industrial CyberSecurity сертифицированы вендорами АСУ ТП и не оказывают негативного влияния на непрерывность технологических процессов. Использование KICS for Networks и инфраструктуры SD-WAN позволяет с помощью CPE передавать трафик большого количества защищаемых объектов на средства защиты, которые развернуты на центральных объектах. Такая архитектура существенно сокращает затраты на средства защиты и реализует централизованный подход к построению инфраструктуры, позволяющий масштабировать внедрение KICS for Networks.
Устройства CPE SD-WAN отвечают и другим требованиям: по форм-фактору и множеству других функций.
– Для каких типов предприятий/отраслей такая связка решений будет наиболее эффективной? Насколько компании готовы интегрировать сетевые средства в свою промышленную инфраструктуру? Какие трудности возникают?
– Прежде всего для предприятия с обширной и распределенной сетью объектов, например, электросетей или сетей теплоснабжения. Напомню, что одним продуктом решается две задачи: и сетевой связности, и встроенной функции ИБ.
Нефтегазовая инфраструктура, трубопроводы, сети заправок, железная дорога или сети ЖКХ, в целом, любые крупные холдинги, стремящиеся выстроить единую целостную систему защиты, и даже очень крупные объекты со сложной сетевой топологией могут значительно снизить затраты на сеть и повысить эффективность за счет такого решения.
Мы активно накапливаем опыт внедрения и планируем углублять интеграцию продуктов для создания эффективной экосистемы продуктов для промышленных компаний и критической инфраструктуры.
– В каком направлении развиваются подходы к ИБ в ОТ?
– Ландшафт киберугроз промышленного сектора постоянно меняется: появляются как новые типы атак, так и более изощренные версии старых. По-прежнему большой проблемой остаются атаки вымогателей, хакеры все лучше разбираются в том, как атаковать крупные компании с помощью более совершенных методов. Также все более активными и результативными становятся хактивисты различных толков, что дополнительно усложняет ландшафт киберугроз. Особенно уязвимы к этим изменениям транспортная и логистическая отрасли ввиду того, что скорость цифровизации в этих секторах очень высока. Сращивание кибер- и традиционной преступности представляет собой серьезную угрозу для глобальных цепочек поставок.
В связи с этим компаниям следует постоянно совершенствовать методы киберзащиты. Благодаря тесной интеграции с SIEM-системой Kaspersky Unified Monitoring and Analysis Platform (KUMA), платформа Kaspersky Industrial CyberSecurity дает возможность реализовывать больше сценариев взаимодействия с решениями сторонних поставщиков и расширить действия по расследованию и реагированию. Это также позволяет защищать бизнес не только в промышленной среде, но и в той части, где промышленная среда пересекается с корпоративной, тесно взаимодействуя с корпоративной XDR-платформой Kaspersky Symphony XDR.