Решение «Claroty» для безопасности критической инфраструктуры
Насыбулин Наиль,
инженер отдела средств защиты информации
Введение

Мы живём в эпоху бурного развития информационных технологий. В современном обществе мы уже не можем представить свою жизнь без ряда услуг и сервисов, обеспечивающих комфорт и защиту.

Компании, создающие привычные нам комфортные условия, к примеру газ, воду, электричество, также не стоят на месте. Как и любой бизнес, производственная система развивается, что порождает разного рода риски. Сбой в работе таких компаний может привести и к человеческим жертвам в том числе.

Однако, помимо естественных причин, сбой может произойти в результате взлома, извне или изнутри. За последние годы количество хакерских атак на объекты критической инфраструктуры возросло, и история помнит ряд печальных событий.

Например, атака на Иранский горно-обогатительный комбинат в 2008 году сетевого червя «Stuxnet», который распространился по сети и вызвал отклонение в работе урановых центрифуг. Вирус использует уязвимость «нулевого дня» и две модификации протокола S7COM, применяемого в конфигурировании контроллеров центрифуг. Атака не спровоцировала техногенную катастрофу, однако отбросила развитие Иранской ядерной программы на несколько лет назад.

23 декабря 2015 года при помощи троянской программы BlackEnergy3 было отключено около 30 подстанций «Прикарпатьеоблэнерго», в связи с чем более 200 тысяч жителей Украины остались без электроэнергии.

Годом позже, в той же Украине энергетические компании были подвергнуты новой атаке хакеров. На этот раз использовался вирус «Industroyer», который использовал четыре промышленных протокола связи, распространенных в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, и OLE for Process Control Data Access (OPC DA).

Учитывая реальность, в которой мы живем, возникает вопрос: «А как защититься?» Для начала нужно признать, что обеспечить защиту инфраструктуры от всех атак невозможно. Однако можно и нужно обеспечивать максимально высокий уровень защиты. Помимо прочих известных методов обеспечения защиты информации, которые распространены и активно используются, особое внимание нужно уделить средствам мониторинга.

К конкретным особенностям мониторинга можно отнести сегментацию сети на виртуальном уровне и глубокую инспекцию промышленного трафика, который очень разнообразен. Причиной тому является большое количество производителей оборудования, используемого на предприятиях на данный момент.

Что касается решения, стоит обратить внимание на один продукт, о котором дальше пойдёт речь. «Claroty» – результат сотрудничества Израильских экспертов в области кибер-безопасности и всемирно известной аналитической компании Team8.
Платформа «CLAROTY»

«Claroty continuous threat detection» (далее CTD) – это платформа, представляющая собой комплекс программных компонентов для реализации мониторинга и реагирования на инциденты ИБ.

Опыт внедрений подобных систем в инфраструктуру АСУ ТП показывает, что зачастую за тем, что происходит в промышленном сегменте, никто не следит. АСУ ТП – сегмент изолирован от корпоративной сети, что вполне оправдано, ведь в противном случае вероятность подвергнуться хакерской атаке значительно возрастёт.

«Claroty» предлагает непрерывный мониторинг критически важной инфраструктуры и централизованный анализ в виде единой консоли, которая будет консолидировать данные со всех сенсоров, собирающих локальные данные на обширной территории.

Архитектура платформы многоуровневая, кроме того, есть возможность интеграции с SIEMсистемами и средствами межсетевого экранирования. Функциональная схема работы платформы приведена ниже (Рис. 31).
Рис. 31. Функциональная схема работы платформы
Преимуществом платформы является доступность всех компонентов в рамках одной лицензии. «Claroty» может быть развёрнута как на виртуальной машине, так и на физическом сервере. Установить можно как с виртуального образа готовый сервер, так и на существующем запустить bash-скрипт. На данный момент, актуальная версия ПО – 3.2 (Рис. 32, стр. 20).
Рис. 32. Интерфейс «Claroty» EMS Console 3.2
После установки «Claroty» и подключении к web-интерфейсу, для настройки и для мониторинга, система предложит проинициализировать платформу как сенсор, standalone-сервер или EMSконсоль (подробнее о консоли речь пойдёт позже).
После того, как тип платформы определён, нужно настроить его:
Сенсор или Standalone-сервер. Необходимо выбрать интерфейс снифинга, предварительно настроив на нём зеркалирование трафика.

EMS-консоль. Нужно добавить сенсор или standalone-сервер, указав его адрес и пароль для установки реверсивного SSHтуннеля. Пароль будет указан во вкладке «configuration» в интерфейсе EMS.
К отличительным особенностям решения относятся:
  • Возможность интеграции со средствами межсетевого экранирования. На сервере Claroty continuous threat detection можно настроить взаимодействие с серверами управления МЭ таких вендоров как: Cisco, Check Point, Palo Alto, Fortinet, Aruba. Взаимодействие выгружает сетевые объекты в сервер управления МЭ, что позволяет автоматизировано отправлять хосты, определённые как вредоносные, в карантин (Рис. 33).
Рис. 33. Интеграция со средствами межсетевого экранирования
  • Способность сегментировать сканируемый трафик, разделять прослушиваемые устройства по уровням (Рис. 34).
Рис. 34. Виртуальная сегментация сети
  • Широкий набор известных протоколов, оборудования и версий ПО, используемых в сетях АСУ ТП. На Рис. 35 приведены распознаваемые протоколы и ключевые производители, ориентированные на работу в промышленных системах.
Рис. 35. Поддерживаемые протоколы и основные вендоры
  • Модуль обнаружения аномалий «Continious threat detection».
  • База версий ПО для известного оборудования и имеющихся в них уязвимостей.
  • Модуль для удалённого централизованного управления и мониторинга сенсоров «Claroty Enterprise Management Console» (далее EMS).Широкий набор известных протоколов, оборудования и версий ПО, используемых в сетях АСУ ТП. На Рис. 35 приведены распознаваемые протоколы и ключевые производители, ориентированные на работу в промышленных системах.
EMS предназначена для объединения данных со всех сенсоров и обеспечения таким образом максимальной видимости. Обмен данными между сенсорами и консолью осуществляется с помощью SSH-туннеля. На рис. 36 изображен интерфейс администрирования EMS. При помощи него можно настроить сниффинг, отправить копию трафика, перезагрузить и установить обновления на удалённых сенсорах.
Рис. 36. Интерфейс администрирования EMS
На Рис. 37, Рис. 38, Рис. 39 изображён интерфейс мониторинга. В нём всё выглядит так же, как и у сенсора за исключением карты сенсоров (Рис. 37) и дашборда (Рис. 38). На Рис. 39 изображена текущая нагрузка системы на удалённых сенсорах и состояние интерфейсов (при случае высокой загрузки или ошибки в работе слушающих интерфейсов, EMS об этом сообщит). События, поступающие со всех удалённых CTD отображаются в реальном времени. Можно настроить правила для назначения приоритетов по уведомлениям, разрешив, например, уведомлять EMS об инцидентах среднего уровня критичности, и выше.
Рис. 37. Интерфейс управления EMS
Рис. 38. Интерфейс управления EMS
Рис. 39. Интерфейс управления EMS
Заключение

«Claroty» представляет собой зрелый продукт для контроля и мониторинга безопасности в сетях АСУ ТП. Встроенная интеграция с производителями решений по межсетевому экранированию позволяет эффективно встроить платформу «Claroty» в существующую инфраструктуру защиты, создав тем самым дополнительную ценность. Широкий перечень поддерживаемых протоколов, оборудования и известных версий ПО с дополнительной базой уязвимостей в них создают наглядную картину текущего состояния защищённости контролируемой зоны. Продукт можно смело рассматривать в качестве варианта для защиты сегментов АСУ ТП.
ПОДЕЛИТЬСЯ В СОЦСЕТЯХ