От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения
9 марта 2023 года в российском теле- и радиоэфире прозвучало объявление о воздушной тревоге. Пугающий знак радиационной опасности, звук сирены на заднем фоне, напряженный синтетический голос, призывающий спрятаться в укрытии… Спустя несколько часов в МЧС отчитались о том, что тревога была ложной: трансляцию запустили хакеры, взломавшие сервера нескольких радиостанций и телеканалов.
Ситуация, прямо скажем, не из приятных. Еще более неприятным может оказаться взлом ЛСО — локальных систем оповещения на предприятиях. В этом сценарии атаки есть все, что может сделать больно бизнесу: репутационные и финансовые потери, риск лишиться лицензии на дальнейшую деятельность, угроза жизни и здоровью людей.
В статье расскажу о функциях ЛСО и о том, как спроектировать защиту подобной системы на производстве.
За что отвечают ЛСО и как они работают
Системы оповещения бывают централизованными (ЦСО) и локальными (ЛСО). Первые нужны для информирования населения и органов власти о чрезвычайных ситуациях, например, ракетных атаках или природных катаклизмах. Вторые устанавливаются на предприятиях критической инфраструктуры (АЭС, химические производства и т. д.) для предупреждения об авариях.
Основная задача ЛСО — передать оператору или автономной системе, что именно случилось, а также предупредить персонал и руководство предприятия об угрозе катастрофы. Если инцидент произошел на предприятии с высоким классом опасности, система также оповещает об аварии МЧС, власти и население, которое проживает в зоне риска. Для одних ЛСО необходимо присутствие оператора, другие работают автономно.
Возьмем для примера некую компанию N из газодобывающей отрасли. Магистраль предприятия может тянуться на многие километры вдоль деревень, городов, железнодорожных путей. На трубопроводе компании стоят датчики, реагирующие на утечку газа. Если на каком-то из участков трубопровода произойдет утечка, система проинформирует об этом оператора. Если предотвратить инцидент не удалось, система предупредит о ЧП спасателей и запустит сирену в нужном районе, чтобы оповестить население.
Почему ЛСО нужна защита от кибератак
По закону установка ЛСО обязательна на предприятиях I и II класса опасности: без них организация попросту не получит лицензию на осуществление деятельности.Системы оповещения на таких объектах входят в государственную систему предупреждения чрезвычайных ситуаций (РСЧС). От работы ЛСО зависят жизни людей, так что подходить к их защите нужно ответственно.
Не стоит забывать и про юридическую сторону вопроса: если в ходе проверки МЧС выяснится, что ЛСО не работает или ее попросту нет, предприятие получит штраф по ст. 20.07 КоАП. Ну, а если из-за неисправной работы системы кто-то получит увечье или погибнет, дело может дойти уже до уголовки.
Замечу, что в своей практике пока я не сталкивался кибератаками, направленными прямо на ЛСО. При прочих равных хакер скорее предпочтет атаковать ЦСО — хотя бы потому, что это вызовет больше шумихи в новостях. Впрочем, можно придумать массу сценариев, в которых злоумышленнику нужно устроить диверсию на отдельно взятом объекте КИИ, а не просто хайпануть в СМИ и набрать классы. В таком сценарии объектом атаки станет именно ЛСО, так что защищать эти системы от киберугроз необходимо не только на бумаге.
Как ЛСО выглядят на практике
Прежде чем говорить о нюансах защиты ЛСО, давайте разберемся в том, как устроены эти системы. В моей практике встречались ЛСО разного уровня сложности: были и коробочки с антенной, коммутатором и программируемым логическим блоком для управления системой оповещения, и системы в «максимальной комплектации» — с блоком оповещения, телефонными станциями, блоком коммутации, центром управления системой и другими сервисами.
Какие компоненты могут входить в ЛСО
Комплекс технических средств местной телефонной станции;
Универсальные блоки оповещения;
Программируемый логический контроллер;
Блоки коммутации сообщений;
Пульты управления ЛСО, в том числе в исполнении АРМ. Она потребуется, если оператор должен запускать ее вручную;
Блок переключения радиотрансляционного узла (РТУ), включая и вещательные станции, и локальные для спасателей;
Базовые и абонентские беспроводные станции связи. Все базовые станции сводятся к центральной станции, а абонентские, в свою очередь, к базовым. Это делается для обеспечения возможности построения беспроводной сети передачи данных;
Возимые пункты обслуживания и реагирования;
Приемники местного оповещения.
Поделюсь общей схемой, которая поможет разобраться в устройстве ЛСО. Вот примерный набросок, раскрывающий типовую топологию:
Общая схема устройства ЛСО
Устройство ЛСО чем-то напоминает систему сотовой связи: сигнал передается от центра управления сетью (ЦУС) до более мелких абонентских станций. В работе я встречал проекты, где компания строила свою промышленную сеть, и системы оповещения покрывали многие и многие километры. В то же время параметры (загазованность, температура и прочее) прилетают от абонентских станций в ЦУС.»Датчики и исполнительные механизмы» на схеме — это как раз сирены и сами датчики, располагающиеся на производствах I или II класса опасности. К примеру для объекта газовой отрасли, это будут датчики загазованности.
Из-за географической распределенности такие системы очень хочется подключить к интернету, чтобы не тянуть собственные линии связи между ними, но это было бы опрометчиво с точки зрения требований безопасности.
Как может выглядеть система ИБ для ЛСО
Теперь давайте разберемся, как на практике можно защитить ЦУС отдельно взятой ЛСО. Для начала посмотрим, как выглядит ЦУС без средств защиты информации:
ЦУС без СрЗИ
GSM-модем — это двухдиапазонный терминал беспроводной связи. С его помощью можно оповестить население, спасателей и правительство о возникшей угрозе.
Операторная — место, где находятся сами операторы. Здесь они принимают информацию и запускают ЛСО.
Центр управления ЛСО — нужен для запуска системы оповещения.
Представим, что наша система предполагает наличие подключения к системе РСЧС. В таком случае система защиты ЦУС будет должна отвечать требованиям по обеспечению ИБ, зафиксированным в приказах ФСТЭК от 14.03.2014 N 31 и от 11.02.2013 N 17. Полный перечень этих требований можно посмотреть, есть промотать до конца каждый приказ: списки там довольно обширные, поэтому здесь останавливаться на них я не буду. Помните, что на практике перечисленные в этих документах меры безопасности необходимо адаптировать и уточнять под модель угроз для объекта, с которым вы работаете.
Для анализа параметров с датчиков и выбора зон для включения сирен на ЦУС используются сервера в отказоустойчивом исполнении. В нашем типовом объекте компоненты серверной логики будут развернуты с использованием средств виртуализации, поэтому защиту виртуальных сред рассмотрим тоже.
ЦУС с наложенными средствами защиты будет выглядеть следующим образом:
Пример защищенного ЦУС
Пара слов о роли компонентов этой ЛСО
GSM-модем — двухдиапазонный терминал беспроводной связи. С его помощью можно оповестить население, спасателей и правительство о возникшей угрозе.
Операторная — место, где находятся сами операторы. Здесь они принимают информацию и запускают ЛСО.
АВЗ — антивирусная защита.
Центр управления ЛСО — нужен для запуска системы оповещения.
Гарда ИБ — средство защиты от разработчиков из нашего холдинга.
NGFW — межсетевой экран.
Сегмент ИБ — для корректной защиты стоит сегментировать сеть с помощью NGFW (терминировать отдельную подсеть на межсетевом экране), чтобы средства безопасности функционировали отдельно от средств основного назначения.
ЦУС МЭ, Administrator, Statewatcher, Pollicy manager — для управления NGFW, особенно в том случае, когда сеть распределена на много объектов, каждый из которых необходимо защитить в том числе на сетевом уровне (т. е. используетися несколько NGFW), удобно применять средства централизованного управления межсетевыми экранами. Их принято называть ЦУС МЭ (центр управления сетью). На схеме указаны Administrator, Statewatcher, Pollicy manager в качестве примеров программных средств для управления сетью, построенной на базе ViPNet.
SIEM —технология, обеспечивающая анализ угроз безопасности в реальном времени.
IDS — система обнаружения вторжений.
Средство ЗСВ — в контексте приказов ФСТЭК эта аббревиатура расшифровывается как «защита среды виртуализации».
Необходимо помнить, что безопасность должна обеспечиваться не только с помощью наложенных средств, но и тех, что встроены в систему. Это значит, что для реализации подсистем идентификации и аутентификации и подсистемы управления доступом нужно использовать сертифицированные операционные системы. Эти ОС должны иметь настроенные политики безопасности, включая разграничение дискретного доступа. Также могут потребоваться сертифицированные средства защиты информации (СЗИ) от несанкционированного доступа (НСД). Одним из самых популярных решений является программа Secret Net Studio.
Среди требований приказа ФСТЭК N 17 по второму классу защищенности есть пункт о необходимости обеспечения доверенной загрузки (УПД.17). В качестве примера можно рассмотреть решение «Соболь» как аппаратное средство доверенной загрузки (АПМДЗ), которое хорошо интегрируется с Secret Net Studio. Однако данное решение требует наличия подходящего разъема PCI на материнской плате. Поэтому при выборе средства АПМДЗ обращайте внимание на совместимость с СЗИ от НСД.
Для антивирусной защиты необходимо использовать решения, которые интегрируются с уже работающими на объекте средствами безопасности. Например, если на объекте установлен сервер Kaspersky Security Center, будет уместно использовать Kaspersky Endpoint Security. Это проверенное агентное решение для защиты конечных устройств. Если компоненты локальной вычислительной сети работают на специализированных промышленных процессорах, которые нужно контролировать на прикладном уровне, и могут быть затронуты вирусами, то антивирусное средство придется подбирать отдельно. Kaspersky Endpoint Security можно использовать для обеспечения информационной безопасности (ИБ) систем управления базами данных (СУБД) и для выполнения задач антивирусной защиты (АВЗ).
Гарда БД рекомендуются к использованию, поскольку на серверах ЦУС часто применяются геолокационные базы. Это нужно для локализации инцидентов и правильного запуска сирен в зависимости от расчета опасных зон. Гарда БД может использоваться на типовых объектах для обеспечения ИБ СУБД и для выполнения задач регистрации событий безопасности (РСБ) на прикладном уровне.
Для защиты среды виртуализации в разработке решений для типовых объектов лучше использовать vGate. Однако нужно учитывать, что это средство защиты подходит только для ограниченного числа гипервизоров. Поэтому необходимо адаптировать средство под конкретный объект. Наши специалисты умеют подбирать такие средства. vGate можно использовать для обеспечения ИБ СУБД и для защиты средств виртуализации (ЗСВ).
Для обеспечения безопасности на сетевом уровне имеет смысл использовать новый генерационный межсетевой экран (NGFW). Физическую сеть нужно разделить не только логически, но и физически. Это необходимо, чтобы трафик беспроводной сети был отфильтрован до попадания в локальную и корпоративную сеть. NGFW следует подбирать индивидуально для каждого объекта, учитывая особенности его топологии. Например, для объекта из нашего примера ViPNet xFirewall не сможет обеспечить безопасность, так как в логике сети беспроводной канал используется как основное соединение, а корпоративная сеть — как резервный маршрут. Поэтому использование ViPNet xFirewall не обеспечит корректную работу системы из-за ограничений в реализации протокола OSPF. Спецификация RFC2328 не поддерживает установку стоимости зон.
Когда сеть распределена на множество объектов в разных контролируемых зонах, каждый из которых нужно защитить на сетевом уровне, удобно использовать средства централизованного управления межсетевыми экранами. Их называют центрами управления сетью. Примеры программ для управления сетью на базе ViPNet включают ViPNet Administrator, ViPNet Statewatcher и ViPNet Policy Manager.
Чтобы выполнить меры подсистемы обнаружения вторжений, можно использовать систему IDS (Intrusion Detection System). В некоторых случаях функционал NGFW может предусмотреть использование IPS, поэтому интеграция IDS может не понадобиться.
Поскольку технологическая сеть рассматриваемого объекта включает множество удаленных друг от друга сетевых устройств, для управления системой будут использоваться средства централизованной аутентификации. Для сетевых устройств таким средством является Radius Server. Поддержка протокола 802.1x позволяет разграничивать доступ, а протокол TACACS помогает регулярно отслеживать целостность сети (ОЦЛ). В качестве примеров можно использовать Efros CI и Efros ACS.
Приказ ФСТЭК N 17 предписывает выполнять меру РСБ.3. В информационной системе нужно объединять информацию из записей регистрации событий безопасности, полученной от разных устройств и программного обеспечения, в единый логический или физический журнал аудита. Это поможет своевременно выявлять инциденты и реагировать на них. Для этого нужно использовать SIEM-систему. В нашем примере для этих целей неплохо подходит MaxPatrol SIEM.
Что еще учесть при проектировании ИБ
Потенциальные угрозы могут разниться в зависимости от устройства конкретной ЛСО. Для коробки, которая отправляет сигналы «включить-выключить», можно спроектировать защиту попроще. А если это распределенная автоматизированная система, которая анализирует датчики и включает в себя устойчивые к катастрофам системы, резервирующие каждый канал — для организации ИБ понадобится уже абсолютно другой подход. Чем больше устройств в системе, тем больше возможностей для злоумышленников. Кроме того, в системе могут быть уязвимости нулевого дня, о которых еще никто не знает.
В выборе системы ИБ играет роль и экономическая целесообразность. Для одной маленькой будки проектировать целые сервера по анализу инцидентов будет неоправданно дорого.
Стоит также учитывать, что порой требования к ЛСО и реальность не соотносятся. В интернете можно найти регламенты, в которых есть пункт: «Установите тот или иной антивирус на каждое вычислительное устройство». Но если наше устройство — это коробочка с антенной и коммутатором, то какой антивирус мы на нее можем установить?
Вот примерный объем работ, который придется проделать организации, чтобы позаботиться об информационной безопасности ЛСО:
предпроектное обследование и/или аудит ИБ;
анализ рисков, разработка модели угроз ИБ;
определение требований к средствам защиты информации, разработка технического задания;
проектные работы по созданию комплексных систем защиты информации;
разработка организационных мер по обеспечению безопасности;
внедрение организационных и программно-технических мер по обеспечению безопасности;
аттестация программно-технических средств, входящих в состав ЛСО;
сопровождение программно-технических мер по обеспечению безопасности;
тренинги для персонала (повышение компетенции сотрудников в области ИБ).
Как бы банально это ни звучало, но каждая ЛСО — уникальна. Соответственно, и требования безопасности надо анализировать индивидуально для каждой системы. Нельзя просто взять и применять один и тот же набор мер для всех ЛСО — его необходимо адаптировать и уточнять под каждую отдельную систему.
Что может пойти не так
В теории проблемы могут возникнуть из-за нехватки опыта среди сотрудников, которые выстраивают ИБ для системы оповещения. К примеру, на одном из первых проектов мне пришлось много работать с беспроводной распределенной сетью. Сотрудники на стороне заказчика в этом абсолютно не разбирались: никто не понимал, что и как работает. Пришлось получать опыт прямо в полевых условиях.
Другой сложный момент — экономическая составляющая. Некоторые заказчики попросту не готовы тратить лишние деньги на ИБ и закладывают на защиту ЛСО минимальный бюджет. При этом проектирование по-настоящему надежной системы обходится недешево: на каждый объект необходимо установить межсетевые экраны, защитить их на сетевом уровне, поставить АРМ-решение для Endpoint-защиты, заморочиться с системами виртуализации… Прикинув затраты на аппаратные и программные компоненты, многие заказчики говорят: «Ребята, это капец как дорого».
Страшно предположить, что будет, если оставить систему без защиты или вовсе оставить торчать в интернет. Это же корпоративная сеть, которая соединяет в себе потенциальные объекты для атаки: любой более-менее осведомленный злоумышленник сможет получить к ним доступ и устроить диверсию. При этом точкой входа в сеть может стать любая беспроводная подстанция, начиная от абонентских станций и заканчивая ЦУС.
Реально ли организовать систему ИБ для ЛСО своими силами? В целом реально, но стоит трезво оценивать свои силы. Допустим, что в организации 86 объектов ЛСО — сможет ли компания их все аттестовать? Есть ли в ней люди, способные грамотно составить техпаспорт и пройти проверку регулятора, чтобы этот паспорт не отменили и не пришлось переаттестовывать систему? Если вы не можете утвердительно ответить на эти вопросы, лучше отдать создание системы безопасности ЛСО профессиональной команде.
