Наводим порядок в инженерных сетях
Промышленные объекты как цель для кибератак
Кибербезопасность промышленной инфраструктуры — все более актуальная проблема в современном мире. Цифровые технологии проникли во все сферы жизни и вопросы защиты от кибератак становятся ключевыми для обеспечения стабильности и безопасности производственных процессов.
Одной из главных угроз для промышленной инфраструктуры являются хакерские атаки. Так, по данным Kaspersky ICS Cert, доля компьютеров АСУ в России, на которых в течение первого квартала 2024 года были заблокированы вредоносные объекты, составляет 23,6%. При этом системы автоматизации зданий остаются одними из наиболее подверженных воздействию кибератак, что может повлечь нарушение работы инженерных систем: теплоснабжения, кондиционирования, вентиляции, освещения, пожаротушения, контроля доступа и др. Поэтому компании все больше осознают необходимость инвестирования в защиту своей инфраструктуры.
Начало проекта
Проект начался с обращения к нам потенциального заказчика — небольшой, по российским меркам, компании, деятельность которой связана с эксплуатацией комплекса зданий, оснащенных системами управления (BMS). Для бизнеса заказчика было важно обеспечить корректную и непрерывную работу инженерных систем зданий. После нескольких инцидентов, связанных с нарушением связи и нестабильной работой устройств в инженерных сетях, которые привели к финансовым потерям в виде нарушения функционирования отдельных зданий, перед подразделением ИБ была поставлена задача по снижению рисков повторения подобных ситуаций. С учетом этого мы вместе с заказчиком определили следующие цели проекта:
наведение порядка в инженерной инфраструктуре: инвентаризация всех сетей и устройств;
повышение уровня защищенности эксплуатируемых систем автоматизации и снижение риска наступления негативных последствий кибератак;
организация постоянного мониторинга инженерных сетей.
Описание решения
После первичного анализа требований заказчика и обследования его инфраструктуры мы предложили меры защиты на основе ряда продуктов российских вендоров. Мы пришли к выводу, что для обнаружения кибератак и аномалий на сетевом уровне инженерных систем необходимо специализированное решение, удовлетворяющее следующим критериям:
инвентаризация сетевых узлов и соединений, выявление в сети неавторизованных устройств и взаимодействий, которые могут использоваться как точки входа в инженерные сети в обход межсетевого экрана;
разбор промышленных протоколов передачи данных Modbus TCP и Siemens S7, мониторинг управляющих сетевых команд и параметров технологического процесса;
выявление и оценка таких рисков, как неправильные настройки, уязвимости, проблемы сетевой архитектуры;
минимальное воздействие решения на работу инженерных систем и оборудования;
возможность интеграции с уже существующими в инфраструктуре заказчика решениями (Kaspersky Security Center).
В ходе рассмотрения продуктов, имеющихся на рынке, заказчиком был сделан выбор в пользу решения от «Лаборатории Касперского» — Kaspersky Industrial Cybersecurity for Networks (KICS for Networks) как наиболее подходящего под заданные критерии.
KICS for Networks относится к классу решений IDS (Intrusion Detection System) предназначенным для функционирования в промышленных сетях.
Его основные функции:
пассивный анализ сетевого трафика на предмет признаков компьютерных атак и сетевых аномалий;
автоматическая инвентаризация узлов и соединений в сети;
сбор информации о конфигурации устройств;
выявление рисков информационной безопасности;
анализ телеметрии технологического процесса (DPI);
отображение сведений о сетевых взаимодействиях:
таблица сетевых взаимодействий;
карты сетевых взаимодействий, отображающая существующие устройства и взаимодействия между ними с возможностью просмотра состояния сети в заданный интервал времени;
схема физических подключений устройств;
анализ инцидентов безопасности:
хранение архива трафика, хранение архива информации о событиях;
отображение обнаруженных инцидентов ИБ с помощью веб-интерфейса.
Схема развертывания
Основной компонент KICS for Networks — Сервер. Он позволяет:
формировать списки активов и их сетевых взаимодействий;
обрабатывать и хранить события;
осуществлять аудит устройств;
коррелировать события для обнаружения атак;
подключаться к внешним источникам с помощью коннекторов и обмена данными.
Рисунок 1 — Схема развертывания KICS for Networks
Для анализа трафика на коммутаторах с подключенным оборудованием необходима поддержка функции зеркалирования портов (SPAN, port mirroring). В сети заказчика часть промышленных коммутаторов не поддерживала данную технологию. Чтобы не менять коммутаторы, принято решение использовать ответвители трафика — TAP-устройства, трафик с которых направлялся к брокеру и далее на анализ в KICS for Networks.
После развертывания сервер KICS for Networks был на некоторое время переведен в режим «Обучение», чтобы система собрала информацию о действующей конфигурации сети, используемых протоколах и промышленных тегах.
За этот период KICS for Networks собрал информацию об устройствах и трафике в промышленной сети в полном объеме. После этого был проведен их аудит, и далее сервер перевели в режим «Наблюдение», в котором система будет формировать события безопасности в случае появления посторонних устройств, несоответствия трафика созданным правилам или выявления признаков кибератак.
Интерфейс Kics For Networks
Мониторинг
В веб-интерфейсе KICS for Networks есть раздел «Мониторинг», в котором отображается дашборды с показателями работы системы, событиями и проблемными активами.
Активы
В меню «Активы» отображаются все обнаруженные в сетевом трафике устройства. Система автоматически определяет тип устройства и собирает о нём дополнительные сведения, например, версию операционной системы, модель, производитель.
KICS for Networks позволяет вручную редактировать параметры устройства и изменить его имя для удобства эксплуатации. При большом количестве устройств данный подход не очень удобен, и в системе предусмотрели функционал экспорта и импорта параметров устройств тегов из проектов SCADA:
Если используются неподдерживаемые системы управления, то наиболее простой способ изменить параметры нескольких устройств — осуществить экспорт данных из KICS for Networks в файл, затем обработать его, например в Excel, и импортировать обратно в систему.
Данный способ позволяет существенно снизить временные затраты на изменение параметров устройств и избежать ошибок при ручном редактировании каждого.
Карта сети
Функционал KICS for Networks позволяет отображать устройства и их сетевые взаимодействия в виде наглядных карт: карты сетевых взаимодействий и топологической карты.
Карты сетевых взаимодействий отображают все устройства и их взаимодействия, обнаруженные при анализа трафика. На карте возможно произвольное распределение узлов, группировка узлов, создание вложенных групп, а также переключение между сохраненными видами отображениями устройств.
На топологической карте отмечается физическое подключение устройств. KICS for Nodes позволяет собрать информацию с управляемых коммутаторов при наличии лицензии на активный опрос устройств. Если лицензии нет или получение данных с коммутаторов невозможно, то доступно создание топологии в ручном режиме, дополнительная лицензия для этого не требуется.
В версии 4.1 добавилась возможность просмотра сетевых сессий по активу, что существенно упрощает настройку и проведение расследований.
Так как в нашей системе несколько подсистем, то были созданы группы в меню настроек в соответствии с их адресными пространствами:
Создание групп и функционал автоматического распределения устройств по подсетям позволили сгруппировать все устройства и «схлопнуть» огромную карту до нескольких групп. Как видно на скриншоте ниже, не сгруппированными остались несколько хостов, которые не попали ни в одну из подсетей:
Таким образом графическая карта позволяет быстро обнаружить неизвестные сетевые взаимодействия, устройства и некорректные конфигурации устройств.
Контроль процессов
KICS for Networks позволяет контролировать технологические параметры и команды, направленные на устройства. В нашей сети используются протоколы Modbus и Siemens. Решение помогает провести анализ протоколов, обнаружить тэги и их значения. Для этого совместно со службой эксплуатации в АСУ были определены устройства и тэги, которые необходимо контролировать.
По каждому из тэгов возможна настройка правил контроля:
В случае несоответствия значения тэга заданному правилу формируется событие безопасности.
Разрешающие правила
В режиме обучения KICS for Networks автоматически формирует список разрешающих правил сетевых взаимодействий на основе сетевого трафика между устройствами.
После переключения из режима обучения в режим наблюдения система осуществляет контроль сетевого трафика в соответствии с созданными правилами. Если в сети появляется новое устройство или сетевое взаимодействие, то система формирует соответствующее событие безопасности. При изменении конфигурации промышленной сети можно добавить вручную новые правила или отредактировать уже существующие.
Риски
В данном меню KICS for Networks отображает обнаруженные риски.
При выборе риска система выдает рекомендации по его устранению. После принятия мер по устранению риск можно перевести в состояние «Принят»:
Экспорт событий
Для организации процесса передачи событий KICS for Networks позволяет использовать встроенный API и различные коннекторы для связи с внешними системами (электронная почта, SIEM, syslog). В нашем случае события отправляются на сервер Kaspersky Security Center. Для данного взаимодействия не надо настраивать коннекторы, т.к. эта опция была включена при установке. Для каждого типа событий можно выбрать коннектор, в который будут отправляться события данного типа.
Кейсы
Итак, что удалось обнаружить в сети заказчика с помощью KICS for Networks.
Неразрешенные хосты в промышленных сетях
В сети АСУ выявлен неизвестный хост и зафиксированы следующие инциденты:
В ходе расследования выяснилось, что подрядчик, производивший работы по настройке систем автоматизации, осуществил самовольное подключение к промышленной сети со своего ноутбука. По итогам расследования с подрядчиком провели разъяснительную работу и произвели переконфигурацию коммутаторов доступа для предотвращения подобных ситуаций.
Ошибки конфигурации МЭ и подозрительная активность
Найдено неразрешенное взаимодействие между одним из устройств, расположенным в сети IT, и устройством в сетях АСУ. Это является следствием ошибки в конфигурации межсетевого экрана, распложенного на границе АСУ и IT-сетей. Таких взаимодействий быть не должно. Хост также проявлял подозрительную активность.
После проведения расследования были соответствующим образом изменены архитектура сети и правила межсетевого экрана.
«Забытые» устройства
Довольно частая ситуация, когда при строительстве крупных объектов по различным организационным или техническим причинам не производится конфигурирование сетевых портов источников бесперебойного питания. После анализа трафика удалось найти несколько «забытых» ИБП:
После обнаружения ИБП были сконфигурированы и перенесены в соответствующий сетевой сегмент.
Ошибки конфигурирования оборудования
Найдены устройства, у которых на одном интерфейсе присутствовало несколько IP‑адресов, что могло быть использовано нарушителями для реализации компьютерных атак.
осле проведения расследования произведена настройка сетевых интерфейсов некоторых рабочих станций.
Несоответствие проектной документации
В ходе инвентаризации активов выявлены расхождения в реальной конфигурации АСУ и проектной документации. В сети мы обнаружили несколько хостов, по которым отсутствовала информация в исходных данных, часть активов имела неправильные IP-адреса, что приводило к их конфликтам. Мы также выявляли устройства с некорректной конфигурацией системных настроек.
Собранная информация по активам помогла найти несоответствия и актуализировать документацию на эксплуатируемые АСУ.
Выводы
Внедрение KICS for Networks в сети систем автоматизации позволило достичь значительных результатов в обеспечении их безопасности:
Удалось провести полную инвентаризацию активов сетей и выявить устройства с некорректной конфигурацией. Это позволило предотвратить сбои в работе сети АСУ и повысить стабильность её работы.
Выявили информацию о несоответствиях проектной документации и реальной картины взаимодействия компонентов в промышленных сетях. Обнаружили ошибки в организации (архитектуре) взаимодействия АСУ и некорректные политики на межсетевом экране.
Заказчик получил возможность своевременно реагировать на возникающие риски и события информационной безопасности в системах автоматизации зданий. Повышение уровня осведомленности об активности в сети позволило снизить количество инцидентов и принять меры по их устранению, а также ускорить расследование.
Появилась возможность контролировать работу подрядчиков, обслуживающих компоненты АСУ, предотвратить несанкционированные действия и повысить общую безопасность системы.
Внедрение IDS в промышленные сети АСУ ТП является важным шагом в обеспечении их безопасности и позволяет достичь значительных результатов в предотвращении и устранении инцидентов информационной безопасности.
Основываясь на опыте внедрения KICS for Networks, хотелось бы отметить возможные пути развития интерфейса продукта. Например, в сведениях об активе (рабочей станции, сервере) хотелось бы видеть информацию о пользователях и приложениях. Для задач активного опроса устройств хотелось бы увидеть соответствующий менеджер, который можно проводить по расписанию с заданной периодичностью, а не только по требованию. Для разрешающих правил было бы удобно использовать фильтрацию по имени и адресу устройств. Надеемся, «Лаборатория Касперского» дополнит данные механизмы в будущих релизах, что повысит удобство работы в системе.