И на каждом из этих этапов одним из главных ресурсов является информация. Нарушение целостности, доступности и конфиденциальности данных на различных этапах жизненного цикла нефтепродуктов может потенциально привести не только к финансовым потерям в виду кражи финансовых данных компании, компрометации данных геологоразведки, но и к ЧС в случае передачи некорректных команд в АСУТП.
В связи с этим обеспечение информационной безопасности является одной из первоочередных задач. Причем, важно заметить, что самым уязвимым для атак звеном в инфраструктуре является человек – оператор АСУТП на НПЗ, финансовый контролер в центральном офисе, инженер, занимающийся построением математических моделей и другие. По этой причине помимо защиты на уровне сети критически важно организовать защиту рабочих станций пользователей. Защиту как от «обычных атак» - с использованием уже известного вредоносного программного обеспечения, так, и в гораздо большей мере, защиту от так называемых продвинутых (advanced) атак.
Продвинутую атаку от «обычной» отличают две важных черты: в продвинутых атаках используется неизвестное вредоносное программное обеспечение, в продвинутых атаках злоумышленники активно используют легитимное программное обеспечение. Для защиты от неизвестного программного обеспечения следует использовать песочницы. Но у песочниц, без использования дополнительного инструментария, есть несколько слепых зон, которые вытекают из их архитектуры.
Как работает песочница: из какого-либо источника песочница получает объект, запускает виртуальное окружение, выполняет объект анализа, после чего анализирует поведение объекта и на основе различных метрик делает вывод о вредоносности этого объекта.
Другими словами – чтобы что-то обнаружить песочнице нужен объект. И в случае, если злоумышленники используют легитимное программное обеспечение – командная строка Windows, powershell, утилиты для удаленного администрирования, и так далее – песочница в таком случае окажется бесполезной т.к. условный cmd.exe переданный на анализ является 100% белым (не вредоносным) объектом.
По этой причине, для обнаружения сложных угроз, в связке с песочницей необходим дополнительный инструмент, который позволит анализировать поведение не отдельных объектов в стандартизированной среде, а их поведение на рабочей станции, причем не ограничиваться анализом действий отдельно взятого файла, а выстраивать цепочки событий, анализировать весь контекст активности на рабочей станции и в итоге давать развернутую картину атаки, с помощью которой офицер безопасности сможет провести расследование инцидента, и, как итог, получить полную картину того, как атака развивалась, получить данные об атаке, - индикаторы компрометации, которые в последствии можно будет использовать в других защитных решениях, а также для поиска новых угроз.
Решения класса EDR (Endpoint detection and response) позволяют реализовать приведенные выше требования: обнаружить подозрительные активности на рабочих станциях, визуализировать цепочку атаки, собрать индикаторы компрометации. В портфеле компании Fortinet также есть решение класса EDR – FortiEDR.
На первом этапе коллектор (агент FEDR) блокирует известные угрозы с помощью встроенного антивирусного модуля. Рассмотрим данный функционал на следующем примере: сотрудник нефтехранилища принес съемный носитель с загруженными из сети видео роликами и подключил его к рабочей станции. На съемном носителе также оказалось вредоносное программное обеспечение. После обращения пользователя к файлам на съемном носителе антивирусный модуль сравнивает файлы с метриками известного ВПО и блокирует в случае совпадения на определенное количество процентов. Метрики формируются в лаборатории FortiGuard путем обучения системы. Система обучается путем анализа ВПО и построения метрик схожести.
Второй этап – защита post-infection. Предположим, вредоносное программное обеспечение было загружено на рабочую станцию оператора АСУТП нефтеперерабатывающего завода. Вредоносное программное обеспечение не было обнаружено каким-либо защитным решением, а также не похоже на какое-либо известное вредоносное ПО. При инициализации сетевого подключения коллектор создает пакет с телеметрией запроса и передает его на анализ в центральный компонент FEDR. При обращении к файлу коллектор создает пакет с данными о процессе, а также метаданные ОС (данные реестра, файловой системы, сетевых подключений, системных сервисов) и, как в случае с сетевым подключением, передает данные центральному компоненту.
На третьем этапе – этапе реагирования, центральный компонент анализирует данные, полученные от коллектора, обогащает их данными из FortiEDR Cloud Services (FCS), и, в случае обнаружения какой-либо подозрительной или вредоносной активности, выполняет действия по реагированию на основе заранее созданного плэйбука. В этот же момент система передает подробную информацию об обнаруженной угрозе в центр мониторинга организации.
FortiEDR, с помощью плэйбуков, позволяет автоматизировать реакцию на ту или иную угрозу, тем самым снизив время реакции на инцидент, что в свою очередь позволяет минимизировать финансовые потери компании от простоя оборудования, а также снизить нагрузку на персонал. В качестве ответной реакции FortiEDR позволяет остановить подозрительный процесс, удалить ВПО с рабочей станции, изолировать рабочую станцию от сети, удалить модифицированные вредоносным ПО ключи реестра, сформировать сообщение во внешней системе.
Политики обнаружения подозрительных и вредоносных активностей на рабочих станциях разделены на 4 блока: предотвращение запуска ВПО, предотвращение эксфильтрации данных, защита от вирусов-вымогателей (ransomware), контроль устройств. И если необходимость первых трех типов политик понятна, встает вопрос – зачем контролировать устройства. Как уже упоминалось выше – пользователь – главная уязвимость в любой системе и, если есть такая возможность, пользователь всегда постарается нарушить правила. Например, чтобы не скучать в ночную смену на НПЗ, оператор АСУТП принесет USB-модем, подключит его к рабочей станции, находящейся в изолированном сегменте, чем создаст канал для доставки ВПО в изолированный сегмент. Либо же, принесет фильм на флэшке, на которой потенциально может также содержаться ВПО. Поэтому крайне важно контролировать все подключаемые к рабочим станциям устройства.
Расследование инцидентов
FortiEDR предоставляет широкий функционал по расследованию инцидентов на рабочих станциях.
В случае обнаружения какой-либо подозрительной или вредоносной активности, решение автоматически визуализирует всю цепочку атаки, а также предоставляет подробную информацию о всех процессах, относящихся к атаке. В рамках расследования FortiEDR позволяет офицеру безопасности вручную модифицировать либо удалить ключи реестра, создать дамп памяти процессов, относящихся к атаке для дальнейшего изучения.
Непрерывность промышленных процессов крайне важна в нефтедобыче и нефтепереработке. По этой причине важно иметь возможность блокировки уязвимостей приложениях, которые могут быть использованы злоумышленника сразу после обнаружения уязвимости, не дожидаясь выхода патча. Поэтому, в дополнение к вышеперечисленному в FortiEDR заложен функционал блокировки сетевых соединений приложений. Данный функционал реализовано следующим образом. Коллектор собирает информацию обо всех сетевых соединениях, выполненных на рабочей станции, в том числе собирает информацию о ПО, которое выполняет соединения. Каждое ПО имеет свой рейтинг – существуют ли известные уязвимости, доверенное ПО или нет. На основе рейтинга, или репутации, система позволяет настроить правила блокировки соединений не доверенных приложений и тем самым предотвратить эксплуатацию уязвимого ПО.
В агент FortiEDR встроен механизм сканирования сети на наличие IOT устройств, а также рабочих станций, на которых не установлен агент FortiEDR и таким образом дает возможность обнаруживать нелегитимные устройства, подключенные к сети, например, личные устройства пользователей, подключенные к сегменту АСУТП.
Защита от инсайдеров
Модификация данных георазведки доверенным сотрудником, имеющим соответствующий доступ, может привести к огромным финансовым потерям, кража финансовых данных компании сотрудником бухгалтерии способна дать преимущество конкурентам.
Решения класса EDR позволяют осуществлять защиту рабочих станций от продвинутых угроз, но, в случае если угрозу целостности, доступности и конфиденциальности данных несут сотрудники компании – требуется дополнительный инструмент.
FortiInsight – решение класса User and Entity Behavioral Analytics позволяет выявлять нестандартное, подозрительное поведение пользователей и тем самым обнаруживать потенциальную угрозу.
С помощью агентов, установленных на рабочих станциях, FortiInsight собирает данные об активности на рабочих станциях пользователей. Данные, полученные с рабочих станций индексируются, а затем, на основе заданных пользователем системы правил коррелируются.
Помимо этого, в FortiInsight заложен механизм обучения, который выстраивает профили «обычного» поведения пользователей, а затем, выполняет обнаружение аномалий в поведении.
Fortinet Security Fabric
Fortinet Security Fabric (FSF) объединяет решения Fortinet в единую архитектуру, которая позволяет в реальном времени обмениваться данными об угрозах между компонентами FSF, а также автоматизировать процесс обнаружения и реагирования на атаки.
Решения ForitEDR и FortiInsight также являются частью Fortinet Security Fabric. Интеграция FortiEDR и FortiInsight с FSF позволяет организовать комплексный подход к защите рабочих станций.
Для FortiEDR такая интеграция позволяет: автоматически передавать адреса сетевых ресурсов в FortiGate для автоматической блокировки доступа к этим ресурсам, интегрировать FortiEDR с FortiSandbox для отправки неизвестных файлов на анализ, что в свою очередь позволяет, например, с помощью FortiGate автоматически блокировать загрузку обнаруженного FortiSandbox ВПО до появления сигнатур для антивирусного модуля.
Для FortiInsight интеграция с Fortinet Security Fabric позволяет автоматизировать процесс обнаружения и реагирования на подозрительные действия пользователей, обнаруженные с помощью решения.
Как итог, реализация Fortinet Security Fabric позволяет минимизировать время обнаружения и реакции на инциденты безопасности, что в свою очередь позволяет минимизировать финансовые потери организации.
Кирилл Михайлов,
системный инженер Fortinet.
