Мурад Мустафаев, 17/06/20
Технологические риски в нефтегазовой отрасли гораздо более масштабны, чем в других сферах. Аварии на объектах могут привести к экологическим катастрофам, поменять ситуацию на сырьевых рынках и вызвать серьезный общественный резонанс. Отмыть "нефтяное пятно" с репутации компании не так-то непросто.
При организации системы информационной безопасности в нефтегазовом секторе необходимо понимать мотивы злоумышленников, уметь оценивать критичность успешной кибератаки для бизнеса и грамотно выбирать инструменты защиты.
Основы построения ИБ в нефтегазовой отрасли
В нефтегазовых компаниях сеть, как правило, разделена на два сегмента – корпоративный и технологический. В корпоративный злоумышленники попадают в первую очередь. Группа нематериальных активов, нуждающихся в защите, – репутация компании, коммерческая и производственная тайна.
Разграничение прав доступа к сети на какое-то время усложняет хакерам задачу поиска ценных информационных активов. Однако кибергруппировки умеют годами контролировать корпоративные системы и скрыто собирать конфиденциальную информацию с помощью шпионских программ, которые могут автоматически выполнять вредоносный код. Если вовремя не позаботиться о системе информационной безопасности на предприятии нефтегазовой отрасли, под угрозой находятся сразу обе сети – и корпоративная, и технологическая.
К технологическому сегменту сети подключаются решения промышленного Интернета вещей и автоматизированные системы управления технологическими процессами (АСУ ТП), в состав которых входят системы диспетчерского управления и сбора данных (SCADA), промышленные контроллеры, системы автоматических блокировок, терминалы релейной защиты и др.
На деле технологическая сеть не всегда изолирована от корпоративной или изолирована не полностью: с отдельных компьютеров к ней осуществляется удаленный доступ. Злоумышленник может добраться до нее, используя уязвимости, найденные в процессе сканирования информационной системы, или взломав корпоративную сеть и подключившись к ней.
Корректная сегментация сетей и отсутствие каналов управления из корпоративного сегмента уже значительно усложнят проведение атаки. Вирусы останутся "гулять" в корпоративной сети. Возможно, так удастся предотвратить целевую атаку на критическую информационную инфраструктуру (КИИ), поймав вирус в "песочнице".
Однако изолировать сегменты сети – недостаточная мера, не говоря уже о том, что делать это становится все сложнее. Фактором риска может быть зараженный флеш-накопитель. Как только устройство получает доступ к Интернету, все собранные данные автоматически передаются на серверы злоумышленников из скрытого раздела носителя информации. Даже сотрудник компании ненароком может помочь злоумышленникам, если не соблюдает внутрикорпоративные политики безопасности.
Инструменты для построения надежной системы ИБ
Когда речь идет о защите критически важной, процессообразующей информации, не стоит ограничиваться средствами защиты информации (СЗИ) от несанкционированного доступа, обеспечивающими безопасность конфиденциальной информации на рабочих станциях и в АСУ ТП. Необходимо также контролировать движение информации "на краях" сети. C этим справляются DLP-системы (Data Loss Prevention) и межсетевые экраны WAF (Web Application Firewall), защищающие веб-приложения от нелегитимного трафика. Когда важные файлы оказываются за периметром сети, можно сохранять контроль за ними с помощью решений IRM (Information Rights Management). Основной принцип их работы заключается в том, что доступ пользователей к данным контролируется с помощью программного агента.
Для организации безопасного удаленного доступа к защищенным сетям важно использовать средства криптографической защиты информации (СКЗИ). С их помощью создается зашифрованный канал передачи важной информации и организовывается защита сетевого периметра.
Основная цель злоумышленников – длительный скрытый контроль инфраструктуры с целью получения наживы. Вредоносный код закрепляется на узлах сети, чтобы не потерять доступ к захваченным ресурсам, например, при перезагрузке системы. Стратегия защиты должна строиться на выявлении действий злоумышленников в сети до того, как они смогут причинить ущерб.
Для предиктивных мер защиты можно использовать системы анализа трафика NTA (Network Traffic Analysis), которые исследуют события информационной безопасности на уровне сети. NTA позволяют обнаружить атаку на ранней стадии и оперативно локализовать угрозы. А системы обнаружения (IDS) и предотвращения (IPS) вторжений фиксируют и блокируют несанкционированный доступ в компьютерные системы.
Часто используется технология Honeypot ("горшочек с медом") – ловушка для злоумышленника. К примеру, на время атаки используются "приманки" для взломщиков на серверах с закрытым доступом к инфраструктуре. Задача "приманки" – поддаться атаке, чтобы изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности.
Но если доступ к сети уже захвачен, это еще не гарантия успеха кибератаки. Стоит регулярно проверять инфраструктуру сканером уязвимостей. На обнаруженные уязвимости можно поставить патчи. Самые уязвимые места инфраструктуры – угрозы нулевого дня из списка OWASP TOP-10, их защитить не получится. Эксплуатация большинства из них может привести к удаленному выполнению произвольного кода, повысить привилегии злоумышленника и перехватывать сессии. Однако существует класс антивирусных программ нового поколения NGEPP (Next-Generation Endpoint Security). Прямо во время атаки антивирусное ПО анализирует ее ход и блокирует вредоносные процессы. Такие программы предоставляют инструменты для эффективного восстановления после атаки и профилактики будущих атак, основываясь на методе черных списков. Совершенствовать "иммунитет" информационной системы можно также с помощью решений EDR (Endpoint Detection and Response), которые способны обнаружить, расследовать и быстро отреагировать на сложные целевые атаки на конечных устройствах. Решения EDR собирают аномалии для дальнейшего анализа сотрудниками информационной безопасности.
Для проверки подозрительного кода из неизвестных источников и обнаружения вирусов и закладок полезный инструмент – "песочница", которая представляет собой механизм безопасного исполнения программ перед запуском на КИИ.
Тонкая настройка инструментов ИБ для нефтегазовой отрасли
Чтобы качественно настроить удаленный безопасный доступ между корпоративной и технологической сетью, можно ограничить доступ по IP на межсетевом экране, использовать VPN-туннели и терминальные серверы с локальной авторизацией. Все это лучше делать в комплексе. Можно также авторизоваться в корпоративном домене (на сервере ActiveDirectory) и провести аудит разграничения доступа к компонентам технологической сети.
Стоит проверить настройки межсетевых экранов на наличие открытых нестандартных портов, по которым можно подключиться к технологической сети, так как злоумышленники получили доступ к ресурсам и смогут самостоятельно менять настройки межсетевых экранов и строить собственные тоннели. На используемых портах между собственной сетью и сетями других компаний контроль сетевого трафика лучше организовывать на пограничных маршрутизаторах.
Специфическими объектами защиты от угроз ИБ у нефтегазовых компаний являются процессы, которые связаны с использованием (АСУ ТП) и проприетарного ПО. Специализированные решения для защиты от атак на серверах АСУ ТП используются крайне редко, но зато именно они более действенные и помогают от случайных атак. Если такого решения нет, проводить сигнатурный и поведенческий анализ, а также настраивать политики под нетипичные процессы поможет SIEM-система (Security Information and Event Management).
SIEM помогает организовать централизованный мониторинг информационной безопасности, собирая и комплексно анализируя отчеты от различных систем ИБ. Решение довольно дорогое, но на предприятиях нефтегазовой отрасли его использование более чем оправданно. Главное – иметь в штате специалистов, умеющих тонко настраивать систему и совершенствовать ее работу в соответствии с динамически меняющимися "параметрами" компании.
Эффективная работа подразделения ИБ
Ретроспективный подход помогает предупредить новые атаки и угрозы. Именно поэтому логика работы антивирусов нового поколения основана на уже "пережитых" атаках. Однако проводить оценку рисков ИБ и осуществлять мониторинг событий ИБ в режиме реального времени так же важно, как и пересматривать ранее случившиеся инциденты. Комплексный подход позволяет выявить скрытое присутствие вредоносного ПО в системе, проследить его путь и спрогнозировать дальнейшие действия, даже если с момента проникновения зловреда в сеть прошло много времени.
Чем сложнее спроектирована система информационной безопасности, тем больше следов будут оставлять злоумышленники в сетевом трафике и системных журналах. Поэтому комплексная работа систем мониторинга защищенности и сотрудников информационной безопасности должна приводить к синергетическому эффекту. При этом необходимо постоянно совершенствовать навыки и знания не только сотрудников, но и контрагентов, которые имеют доступ к вашей корпоративной сети. В лучшем случае удастся выстроить проактивную систему информационной безопасности.
На сотрудниках информационной безопасности лежит важная миссия – спроектировать логику работы всех систем ИБ с тонкой настройкой и выстроить централизованное управление защитой двух совершенно разных сегментов сети, учитывая необходимость максимально изолировать их друг от друга.
Опубликовано в журнале "Системы безопасности" №3/2020
Редакция советует
В статье описаны риски информационной безопасности для корпоративной и технологической сфер критически важных объектов. Даны рекомендации по построению эффективной системы защиты.
DLP-системы, защищающие веб-приложения от нелегитимного трафика, предлагают партнеры проекта "Информационная безопасность" – поставщик комплексных услуг по информационной безопасности Zecurion, ведущие российские разработчики решений для обеспечения информационной безопасности InfoWatch, "СёрчИнформ" и другие.
