Лейтмотивом KIСS Conf 2022 стала кардинально изменившаяся ситуация в промышленной кибербезопасности после февраля 2022 г. Те риски и угрозы информационной безопасности (ИБ), которые рассматривались как тренды и возможные сценарии, стали реальностью, а резко увеличившийся объем атак на российский сегмент сити Интернет и уход иностранных вендоров стали серьезным вызовом для российских промышленных предприятий.
Сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) А. Новиков
Об изменениях в структуре угроз безопасности в 2022 г. и опыте реагирования на компьютерные инциденты рассказал сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) А. Новиков. Количество атак и угроз, которые реализовались в 2022 г., эксперт назвал зашкаливающим, но при этом принципиально новых, прорывных технологий злоумышленниками использовано не было. Первая волна угроз, которая началась с 24 февраля и продолжается до сегодняшнего момента с переменным успехом, связана с DDoS-атаками, за ней последовала волна атак на информационные ресурсы, в первую очередь, госорганов и СМИ. Существенным негативным фактором для обеспечения ИБ стало то, что многие компании-разработчики средств защиты телекоммуникационного, программного обеспечения, прекратили поддержку своих продуктов. Сравнительно легким вариантом стало прекращение подписки, когда средство ИБ больше не обновляется или утрачивает часть функционала, но у пользователей есть время для принятия компенсирующих мер. Однако были и более жесткие сценарии с прекращением функционирования ключевых элементов инфраструктуры или внедрением вредоносного кода в обновления. Следующей стала волна атак, продолжающаяся до сих пор, связанная с взломами через утечки данных. Эту тенденцию А. Новиков назвал наиболее плохой из тех, с которыми сейчас сталкивается отрасль, рекомендовав отслеживать информацию об утечках, т.к. информация, которая публикуется из утечек, используется для атаки на следующие организации, что является толчком для атак на цепочки поставок (т.н. supply chain attack, к которому относится атака на Colonial pipeline в мае 2021 г.).
Эксперт Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky ICS CERT) В. Дащенко в интервью Neftegaz.RU пояснил, что с февраля 2022 г. число атак на периметр, на классические ИТ-сети существенно выросло, но в промышленном сегменте (ОТ), который должен быть защищен и изолирован от внешнего сегмента, увеличение не такое существенное. В средне- или долгосрочной перспективе возможен некоторый рост, т.к. мотивированные и обладающие достаточными компетенциями злоумышленники будут пытаться добираться до промышленного контура.
В традиционном обзоре ландшафта угроз для систем промышленной автоматизации Kaspersky ICS CERT отмечается, что доля атакованных компьютеров с автоматизированными системами управления (АСУ) в России в 1м полугодии 2022 г. была близка к среднемировому показателю, значимых изменений данного показателя по сравнению с предыдущими полугодиями не наблюдается. В мире в 1-м полугодии 2022 г. процент компьютеров АСУ, на которых хотя бы раз были заблокированы вредоносные объекты, составил 31,8%, тогда как в России - 30,2%.
В мировой нефтегазовой отрасли процент атакованных компьютеров с АСУ в 1м полугодии 2022 г. составил 39,6%, в России - 29,8%. В мировом масштабе нефтегазовая отрасль стала единственной из рассматриваемых Kaspersky ICS CERT отраслей, показавшей небольшое снижение процента атакованных компьютеров АСУ в 1м полугодии 2022 г. в сравнении с предыдущим полугодием, но тогда был зафиксирован значительный рост показателя. В российской нефтегазовой отрасли процент атакованных компьютеров АСУ заметно вырос по со 2м полугодием 2021 г. (на 5,9 п.п.), но резко сократился в сравнении с 1м полугодием 2021 г. (на 9 п.п.). Среди рассматриваемых отраслей российской промышленности, нефтегаз занимает 1е место по проценту компьютеров с АСУ, где были заблокированы угрозы при присоединении съемных носителей (4,2%), угрозы в сетевых папках (2,1%), черви (4,2%). Высокий процент съемных носителей среди источников угроз в нефтегазе обусловлен спецификой отрасли - большим количеством территориально распределенных предприятий с зачастую не очень качественными каналами связи. При этом основным источником угроз в российской нефтегазовой отрасли, как и в других отраслях, остается Интернет (18,3%), что связано с присутствием в технологических сетях предприятий, помимо SCADA/OPC/Historian/HMI, пользовательских компьютеров, которые явно или скрытно используют доступ к Интернету, почте и прочим сервисам, одновременно имея доступ и к системам АСУ. Еще одну отрасль из рассматриваемых и относящихся ТЭК - энергетику - Kaspersky ICS CERT выделяет как наиболее благополучную. В российской энергетике в 1-м полугодии 2022 г. процент атакованных компьютеров АСУ составил 27,0% (в мире - 33,5%).
Тенденция предыдущих лет сохраняется и все больше киберугроз для промышленных предприятий по-прежнему возникает на стыке ИТ и ОТ. Ответом на этот вызов становятся комплексные специализированные защитные решения нового поколения, которые позволяют обеспечить защиту ИТ- и ОТ-сегмента в рамках единой системы ИБ. Такое комплексное решение «Лаборатория Касперского» представила в рамках конференции. Экосистема Kaspersky OT CyberSecurity создана для защиты промышленных инфраструктур, в т.ч. объектов критической информационной инфраструктуры. Ее основным элементом является промышленная расширенная система обнаружения и реагирования на сложные кибератаки (Extended Detection and Response, XDR) Kaspersky Industrial CyberSecurity, которая способна централизованно в рамках всей промышленной сети обнаруживать сложные атаки и реагировать на них. В рамках экосистемы Kaspersky OT CyberSecurity заказчикам также доступен полный спектр решений «Лаборатория Касперского» по обеспечению информационной и физической кибербезопасности, а также другие технологии компании, такие как решение для обнаружения аномалий в работе технологического оборудования Kaspersky MLAD, система защиты воздушного пространства от беспилотных летательных аппаратов Kaspersky Antidrone, платформа для построения защищенных промышленных сетей Kaspersky SD-WAN, образовательные и экспертные сервисы, а также решения на базе кибериммунной операционной системы KasperskyOS.
Директор центра экспертизы по корпоративным решениям «Лаборатории Касперского» В. Левцов
О стратегических шагах «Лаборатория Касперского» в области киберзащиты индустриальной среды рассказал директор центра экспертизы по корпоративным решениям компании В. Левцов. Понимание особенностей промышленных сред и огромный объем накопленной экспертизы позволил «Лаборатории Касперского» сформировать комплексный подход, в основу которого лег не функционал конкретных продуктов, а потребности заказчиков в решении их бизнес-задач.
Говоря о развитии линейки решений, анонсированном в рамках KICS Conf 2021, В. Левцов отметил, что защита конечных точек в промышленном сегменте от «Лаборатории Касперского» теперь усилена функциональностью обнаружения и изучения вредоносной активности (Endpoint Detection & Response, EDR), что позволяет сканировать сеть на предмет индикаторов компрометации, запускать Retro-scan в течение определенного периода времени, а также проводить некоторые инвазивные действия, например изолировать станцию или остановить какой-либо процесс. Обновления произошли и на сетевой части, например, было реализовано несколько сотен сценариев, что позволяет анализировать телеметрию с конечных точек на соответствие сценариям, специфичным именно для индустриальной среды.
Свое развитие получила система управления событиями и информацией о безопасности (Security information and event management, SIEM) Kaspersky Unified Monitoring and Analysis Platform (KUMA). Данная платформа объединяет продукты «Лаборатории Касперского» и сторонних поставщиков в единую экосистему ИБ, способную отражать киберугрозы на пересечении ИТ- и ОТ-сред. Учитывая большое число атак, которые начинаются в корпоративной среде, а потом переходят в индустриальную и наоборот, кросс-сегментный детект существенно расширяет возможности ИБ. Установка SIEM-платформу на границе сред и формирование корреляционных правил с учетом телеметрии из обоих сегментов дает очень мощный инструмент защиты.
Директор по исследованиям и разработке «Лаборатории Касперского» А. Иванов
Директор по исследованиям и разработке «Лаборатории Касперского» А. Иванов представил сервис Kaspersky ICS MDR (Managed Detection and Response - управляемое обнаружение и реагирование), реализованный специально для промышленного сегмента. В рамках этого сервиса предприятия могут передать экспертам «Лаборатории Касперского» на аутсорс основные функции информационной безопасности: мониторинг угроз, обнаружение, предотвращение и анализ инцидентов. Такое сотрудничество дает промышленным компаниям доступ к необходимой экспертизе, надежным решениям в области безопасности и аналитике угроз, охватывающей ИТ- и ОТ-сегмент, что позволяет эффективно противостоять растущим по объему и сложности кибератакам на критическую инфраструктуру и при этом эффективно расходовать ресурсы собственной команды, если они ограничены.В 2022 г., несмотря на все сложности, KICS Conf сохранила статус международной, в ее работе приняли участие представители 25 стран, поделившись опытом в области промышленной кибербезопасности. Координатор национальной кибербезопасности Офиса премьер-министра правительства Индии, генерал Р. Пант назвал кибербезопасность невероятно важным предметом в современных условиях. В разных странах сложилось собственные подходы к тому, что является критической информационной инфраструктурой, но есть общее понимание того, телеком, транспорт, энергетика являются областями критической инфраструктуры, потенциальный ущерб для которых является угрозой национальной безопасности. В условиях растущего числа уязвимостей и атак, которые постоянно усложняются, особую значимость получает международное сотрудничество, как на уровне правительств, так и конкретных команд.
Тему обеспечения кибербезопасности таких исключительных объектов критической инфраструктуры, как атомные электростанции (АЭС), развили руководитель группы аналитиков по информационной безопасности «Лаборатории Касперского» Е. Рудина и директор департамента информационной и компьютерной безопасности АСУ ТП АО РАСУ К. Сахаров. В своем докладе Е. Рудина сфокусировалась на вопросах обеспечения кибербезопасности АЭС на основе дифференцированного/риск-ориентированного подходов. Для АЭС безопасность является ключевым свойством, которое закладывается на этапе проектирования. В плане ИБ для АЭС также необходим подход Security by design (конструктивная безопасность), когда кибербезопасность рассматривается как неотъемлемое свойство критически важного объекта. Реализация базового принципа безопасности в плане информационной защиты АЭС предполагает сочетание дифференцированного и риск-ориентированного подходов. Дифференцированный подход предполагает, что все системы станции подразделяются на зоны безопасности с ограниченным взаимодействием между ними и применением мер безопасности пропорционально потенциальным последствиям атаки. Традиционный для кибербезопасности риск-ориентированный подход строится на основе оценки риска как сочетания вероятности события и тяжести его последствий. Оценка рисков на уровне АЭС используется как основа для зонирования, что позволяет сочетать двухмодельный и двухуровневый (уровень станции и уровень систем) подход. Полученный опыт в плане обеспечения кибербезопасности АЭС, «Лаборатория Касперского» рассчитывает использовать для построения методологии конструктивной безопасности и реализации его во взаимодействии с заказчиками из различных отраслей.
Директор департамента информационной и компьютерной безопасности АСУ ТП АО РАСУ К. Сахаров
К. Сахаров остановился на практических нюансах обеспечения ИБ подсистем АСУ ТП на АЭС. РАСУ входит в состав Госкорпорации «Росатом» и является главным конструктором АСУ ТП атомных электростанций. Реализуемые РАСУ проекты связаны либо с модернизацией АЭС, либо со строительством новых энергоблоков. Приоритетом в обоих случаях является ядерная безопасность, что вместе еще с рядом значимых требований накладывает ограничения на реализацию мер ИБ. Этапы реализации мер по обеспечению ИБ АЭС завязаны на стандартные процедуры по разработке АСУ - формирование технического задания, технорабочий проект, опытная эксплуатация, приемочные испытания и ввод в эксплуатацию. В числе проблем, возникающих при реализации мер ИБ в АСУ ТП АЭС К. Сахаров назвал влияние средств антивирусной защиты на технологический процесс, невозможность установки аппаратного межсетевого экрана, отсутствие встроенных средств защиты информации в прикладном ПО и др. У РАСУ отработаны методы реализации мер обеспечения ИБ при таких проблемах, например, использование средств антивирусной защиты без активного модуля защиты, тонкая настройка по каждому из сценариев, установка межсетевых экранов в смежных подсистемах, дополнительное тестирование прикладного ПО при настроенных функциях безопасности ОС на этапе предварительных испытаний.
Исследователь из компании ZeronTek (Кувейт) С. Альхасави
Исследователь из компании ZeronTek (Кувейт) С. Альхасави в своем докладе изложил подход к таксономии кибератак на инфраструктуру, связанную со сжиженными углеводородными газами (СУГ). Кибербезопасность важна для всей энергетической отрасли в связи большой поверхностью атак по всей цепочке создания стоимости и активным внедрением цифровых технологий. Безопасные программируемые логические контроллеры (ПЛК), используемые в отрасли СУГ аналогичны стандартным ПЛК, но одновременно содержат встроенные функции безопасности, в т.ч. контроль давления, температуры, целостности баллона для СУГ, а также дополнительные параметры, например объем закачиваемого газа. Целями атаки злоумышленников на ПЛК в отрасли СУГ могут быть получение удаленного доступа и контроля, действия с контроллером заполнения баллона, провоцирование отказа в предоставлении услуг. Систематизация и классификация кибератак позволят компаниям, работающим на рынке СУГ, лучше понимать процессы и разработать технологии работы с этими процессами, проводить оценку рисков, разработку моделей угроз.
Директор по информационной безопасности эквадорской энергетической корпорации CELEC М. Варгас
Директор по информационной безопасности эквадорской энергетической корпорации CELEC М. Варгас говорила о важности защиты конечных точек в промышленной кибербезопасности в соответствии с международным стандартом IEC 62443, описывающий кибербезопасность ОТ в системах автоматизации и управления. Стандарт разделяет вопросы кибербезопасности по категориям и ролям вовлеченных в процесс сторон, включая оператора, поставщиков услуг и производителей. По словам М. Варгас, CELEC приняла решение адаптировать для себя этот стандарт именно исходя из того, что он был разработан с учетом всех игроков отрасли. Одна из функций этого стандарта заключается во внедрении стратегии глубокой защиты с учетом определения меры безопасности на каждом уровне.Изменившиеся внешние условия, рост числа атак и угроз, уход иностранных вендоров и многие другие трудности, возникшие после февраля 2022 г. стали серьезным вызовом для российской ИБ-отрасли. Однако в области ИБ кризисы способствуют росту, и сложившаяся ситуация станет толчком к дальнейшему укреплению российских разработчиков решений для промышленной безопасности. Пример «Лаборатории Касперского» показывает, что для этого заложена мощная основа и есть перспективы развития.
Автор: Е. Алифирова