USD 97.5499

0

EUR 106.1426

0

Brent 75

+1.9

Природный газ 2.617

-0.05

8 мин
...

Комплексная защита рабочих станций

Нарушение целостности, доступности и конфиденциальности данных на различных этапах жизненного цикла нефтепродуктов может потенциально привести не только к финансовым потерям в виду кражи финансовых данных компании, компрометации данных геологоразведки, но и к ЧС в случае передачи некорректных команд в АСУТП

Комплексная защита рабочих станций

Источник: компания Fortinet

Москва, 7 сент - ИА Neftegaz.RU. Принято считать, что жизненный цикл нефтепродуктов состоит из трех основных этапов: разведка и добыча, транспортировка и переработка, хранение и сбыт. В последние годы каждый из этих этапов подвергается цифровой трансформации: на этапе геологоразведки строятся цифровые модели нефтяных месторождений, проводится наполнение, а затем обработка больших массивов данных. На этапе добычи происходит сбор различной телеметрии с добывающего оборудования, информация о состоянии узлов и т.д. На этапах транспортировки и переработки, хранения процессы также подвергаются автоматизации. Автоматизированные системы управления технологическим процессом подключаются к сети, тесно интегрируются с ИТ активами. На этапе сбыта АЗС объединяются в одну общую сеть по передаче данных, данные о перемещениях посетителей заправочных станций регистрируются для дальнейшей оптимизации маркетинговых инициатив.

И на каждом из этих этапов одним из главных ресурсов является информация. Нарушение целостности, доступности и конфиденциальности данных на различных этапах жизненного цикла нефтепродуктов может потенциально привести не только к финансовым потерям в виду кражи финансовых данных компании, компрометации данных геологоразведки, но и к ЧС в случае передачи некорректных команд в АСУТП.


В связи с этим обеспечение информационной безопасности является одной из первоочередных задач. Причем, важно заметить, что самым уязвимым для атак звеном в инфраструктуре является человек – оператор АСУТП на НПЗ, финансовый контролер в центральном офисе, инженер, занимающийся построением математических моделей и другие. По этой причине помимо защиты на уровне сети критически важно организовать защиту рабочих станций пользователей. Защиту как от «обычных атак» - с использованием уже известного вредоносного программного обеспечения, так, и в гораздо большей мере, защиту от так называемых продвинутых (advanced) атак.


Продвинутую атаку от «обычной» отличают две важных черты: в продвинутых атаках используется неизвестное вредоносное программное обеспечение, в продвинутых атаках злоумышленники активно используют легитимное программное обеспечение. Для защиты от неизвестного программного обеспечения следует использовать песочницы. Но у песочниц, без использования дополнительного инструментария, есть несколько слепых зон, которые вытекают из их архитектуры.


Как работает песочница: из какого-либо источника песочница получает объект, запускает виртуальное окружение, выполняет объект анализа, после чего анализирует поведение объекта и на основе различных метрик делает вывод о вредоносности этого объекта.


Другими словами – чтобы что-то обнаружить песочнице нужен объект. И в случае, если злоумышленники используют легитимное программное обеспечение – командная строка Windows, powershell, утилиты для удаленного администрирования, и так далее – песочница в таком случае окажется бесполезной т.к. условный cmd.exe переданный на анализ является 100% белым (не вредоносным) объектом.


По этой причине, для обнаружения сложных угроз, в связке с песочницей необходим дополнительный инструмент, который позволит анализировать поведение не отдельных объектов в стандартизированной среде, а их поведение на рабочей станции, причем не ограничиваться анализом действий отдельно взятого файла, а выстраивать цепочки событий, анализировать весь контекст активности на рабочей станции и в итоге давать развернутую картину атаки, с помощью которой офицер безопасности сможет провести расследование инцидента, и, как итог, получить полную картину того, как атака развивалась, получить данные об атаке, - индикаторы компрометации, которые в последствии можно будет использовать в других защитных решениях, а также для поиска новых угроз.


Защита рабочих станций от продвинутых угроз

Решения класса EDR (Endpoint detection and response) позволяют реализовать приведенные выше требования: обнаружить подозрительные активности на рабочих станциях, визуализировать цепочку атаки, собрать индикаторы компрометации. В портфеле компании Fortinet также есть решение класса EDR – FortiEDR.


Цикл работы FortiEDR состоит из 3 этапов: защита pre-infection, защита post-infection, реагирование

На первом этапе коллектор (агент FEDR) блокирует известные угрозы с помощью встроенного антивирусного модуля. Рассмотрим данный функционал на следующем примере: сотрудник нефтехранилища принес съемный носитель с загруженными из сети видео роликами и подключил его к рабочей станции. На съемном носителе также оказалось вредоносное программное обеспечение. После обращения пользователя к файлам на съемном носителе антивирусный модуль сравнивает файлы с метриками известного ВПО и блокирует в случае совпадения на определенное количество процентов. Метрики формируются в лаборатории FortiGuard путем обучения системы. Система обучается путем анализа ВПО и построения метрик схожести.

Второй этап – защита post-infection. Предположим, вредоносное программное обеспечение было загружено на рабочую станцию оператора АСУТП нефтеперерабатывающего завода. Вредоносное программное обеспечение не было обнаружено каким-либо защитным решением, а также не похоже на какое-либо известное вредоносное ПО. При инициализации сетевого подключения коллектор создает пакет с телеметрией запроса и передает его на анализ в центральный компонент FEDR. При обращении к файлу коллектор создает пакет с данными о процессе, а также метаданные ОС (данные реестра, файловой системы, сетевых подключений, системных сервисов) и, как в случае с сетевым подключением, передает данные центральному компоненту.

На третьем этапе – этапе реагирования, центральный компонент анализирует данные, полученные от коллектора, обогащает их данными из FortiEDR Cloud Services (FCS), и, в случае обнаружения какой-либо подозрительной или вредоносной активности, выполняет действия по реагированию на основе заранее созданного плэйбука. В этот же момент система передает подробную информацию об обнаруженной угрозе в центр мониторинга организации.


FortiEDR, с помощью плэйбуков, позволяет автоматизировать реакцию на ту или иную угрозу, тем самым снизив время реакции на инцидент, что в свою очередь позволяет минимизировать финансовые потери компании от простоя оборудования, а также снизить нагрузку на персонал. В качестве ответной реакции FortiEDR позволяет остановить подозрительный процесс, удалить ВПО с рабочей станции, изолировать рабочую станцию от сети, удалить модифицированные вредоносным ПО ключи реестра, сформировать сообщение во внешней системе.


Политики обнаружения подозрительных и вредоносных активностей на рабочих станциях разделены на 4 блока: предотвращение запуска ВПО, предотвращение эксфильтрации данных, защита от вирусов-вымогателей (ransomware), контроль устройств. И если необходимость первых трех типов политик понятна, встает вопрос – зачем контролировать устройства. Как уже упоминалось выше – пользователь – главная уязвимость в любой системе и, если есть такая возможность, пользователь всегда постарается нарушить правила. Например, чтобы не скучать в ночную смену на НПЗ, оператор АСУТП принесет USB-модем, подключит его к рабочей станции, находящейся в изолированном сегменте, чем создаст канал для доставки ВПО в изолированный сегмент. Либо же, принесет фильм на флэшке, на которой потенциально может также содержаться ВПО. Поэтому крайне важно контролировать все подключаемые к рабочим станциям устройства.


Расследование инцидентов

FortiEDR предоставляет широкий функционал по расследованию инцидентов на рабочих станциях.

FortiEDR: цепочка атаки

В случае обнаружения какой-либо подозрительной или вредоносной активности, решение автоматически визуализирует всю цепочку атаки, а также предоставляет подробную информацию о всех процессах, относящихся к атаке. В рамках расследования FortiEDR позволяет офицеру безопасности вручную модифицировать либо удалить ключи реестра, создать дамп памяти процессов, относящихся к атаке для дальнейшего изучения.

Сетевая активность на рабочих станциях

Непрерывность промышленных процессов крайне важна в нефтедобыче и нефтепереработке. По этой причине важно иметь возможность блокировки уязвимостей приложениях, которые могут быть использованы злоумышленника сразу после обнаружения уязвимости, не дожидаясь выхода патча. Поэтому, в дополнение к вышеперечисленному в FortiEDR заложен функционал блокировки сетевых соединений приложений. Данный функционал реализовано следующим образом. Коллектор собирает информацию обо всех сетевых соединениях, выполненных на рабочей станции, в том числе собирает информацию о ПО, которое выполняет соединения. Каждое ПО имеет свой рейтинг – существуют ли известные уязвимости, доверенное ПО или нет. На основе рейтинга, или репутации, система позволяет настроить правила блокировки соединений не доверенных приложений и тем самым предотвратить эксплуатацию уязвимого ПО.


В агент FortiEDR встроен механизм сканирования сети на наличие IOT устройств, а также рабочих станций, на которых не установлен агент FortiEDR и таким образом дает возможность обнаруживать нелегитимные устройства, подключенные к сети, например, личные устройства пользователей, подключенные к сегменту АСУТП.



Защита от инсайдеров

Модификация данных георазведки доверенным сотрудником, имеющим соответствующий доступ, может привести к огромным финансовым потерям, кража финансовых данных компании сотрудником бухгалтерии способна дать преимущество конкурентам.


Решения класса EDR позволяют осуществлять защиту рабочих станций от продвинутых угроз, но, в случае если угрозу целостности, доступности и конфиденциальности данных несут сотрудники компании – требуется дополнительный инструмент.


FortiInsight – решение класса User and Entity Behavioral Analytics позволяет выявлять нестандартное, подозрительное поведение пользователей и тем самым обнаруживать потенциальную угрозу.


С помощью агентов, установленных на рабочих станциях, FortiInsight собирает данные об активности на рабочих станциях пользователей. Данные, полученные с рабочих станций индексируются, а затем, на основе заданных пользователем системы правил коррелируются.


Помимо этого, в FortiInsight заложен механизм обучения, который выстраивает профили «обычного» поведения пользователей, а затем, выполняет обнаружение аномалий в поведении.



Fortinet Security Fabric

Fortinet Security Fabric (FSF) объединяет решения Fortinet в единую архитектуру, которая позволяет в реальном времени обмениваться данными об угрозах между компонентами FSF, а также автоматизировать процесс обнаружения и реагирования на атаки.

Решения ForitEDR и FortiInsight

Решения ForitEDR и FortiInsight также являются частью Fortinet Security Fabric. Интеграция FortiEDR и FortiInsight с FSF позволяет организовать комплексный подход к защите рабочих станций.


Для FortiEDR такая интеграция позволяет: автоматически передавать адреса сетевых ресурсов в FortiGate для автоматической блокировки доступа к этим ресурсам, интегрировать FortiEDR с FortiSandbox для отправки неизвестных файлов на анализ, что в свою очередь позволяет, например, с помощью FortiGate автоматически блокировать загрузку обнаруженного FortiSandbox ВПО до появления сигнатур для антивирусного модуля.


Для FortiInsight интеграция с Fortinet Security Fabric позволяет автоматизировать процесс обнаружения и реагирования на подозрительные действия пользователей, обнаруженные с помощью решения.


Как итог, реализация Fortinet Security Fabric позволяет минимизировать время обнаружения и реакции на инциденты безопасности, что в свою очередь позволяет минимизировать финансовые потери организации.


Кирилл Михайлов

Кирилл Михайлов,

системный инженер Fortinet.