Корпоративна та технологічна мережі грань тонша, ніж ви думаєте
Однак така інтеграція привносить нові проблеми для індустріальних мереж, з якими фахівці з АСУ ТП не стикалися раніше. Виникають різні нові загрози, усунення яких іноді буває дуже скрутним.
Індустріальні мережі працюють зовсім на відміну від корпоративних. Тому, здавалося б, прості заходи захисту, які постійно використовуються в корпоративних мережах, не завжди можна застосувати в індустріальних.
Наприклад, встановлення оновлень у корпоративному середовищі здійснюється автоматично та практично не викликає питань. У індустріальних мережах інсталяція оновлення може призвести до зупинки виробничого процесу. З цієї причини фахівці з АСУ ТП дуже часто вважають за краще взагалі не оновлювати програмне забезпечення. Провівши просте сканування на вразливості, можна знайти багато цікавого: від стандартних логінів та паролів до відсутніх оновлень операційних систем. Відповідно, вірус чи зловмисник отримає набагато більше можливостей для проникнення, розповсюдження тощо.
Ще однією серйозною загрозою є людський чинник. Найчастіше в індустріальній мережі можуть використовуватися такі ж сервери та обладнання, як і в корпоративній. Все це обладнання потребує обслуговування та налаштування. З урахуванням того, що промислові цехи підприємства можуть бути розкидані на великій площі та обійти їх пішки дуже важко, системні та мережеві адміністратори активно використовують віддалений доступ.
Якщо корпоративні та індустріальні мережі розділені, то в налаштуваннях міжмережевого екрану створюються проходи, щоб дозволити програмному забезпеченню для віддаленого адміністрування безперешкодно працювати.
Оскільки адміністратори здебільшогознаходяться у корпоративній мережі та зі своїх комп'ютерів активно використовують Інтернет (у тому числі електронну пошту), створюється серйозна загроза для індустріальної мережі. Наприклад, зловмисник, проникнувши в корпоративну мережу та з'ясувавши її топологію, може скомпрометувати комп'ютер адміністратора та скористатися ним як шлюзом для доступу до індустріальної мережі. Даний варіант розвитку подій було підтверджено шляхом аудиту.
Наприкінці 2015 року керівництвом нашої компанії було поставлено завдання провести аудит з інформаційної безпеки, що включає тест корпоративної та технологічної мереж на проникнення. Аудитори використовували методики BlackBox та GreyBox, щоб спробувати проникнути з мережі Інтернет у корпоративну мережу, а далі – у технологічну. У ході аудиту були виявлені недоліки в організації захисту мереж, що призвели до закономірного та сумного результату: аудиторам вдалося потрапити до корпоративного та технологічного сегментів.
Основні виявлені погрози стали наслідком того факту, що корпоративні та індустріальні мережі не мали чіткого поділу. Було виявлено різні варіанти поділу мереж. Це були деякі станції зв'язку з двома мережевими картами…
…або мережі, розділені комутатором та маршрутизатором з налаштованими ACL.
Були навіть варіанти з розподілом міжмережевим екраном.
Усі перелічені схеми страждали від людського фактора, а саме від наявності прямих підключень між корпоративною та індустріальною мережами для адміністрування та розробки. Адміністратори виробляють налаштування обладнання такимчином, щоб безперешкодно проходити між сегментами. Крім того, було виявлено використання слабких паролів, систем віддаленого керування зі слабким захистом. Все це дозволило аудитору проникнути в індустріальну мережу, не докладаючи особливих зусиль, скомпрометувавши комп'ютер адміністратора. До групи ризику належать також розробники та зовнішні підрядники. Вони, як і адміністратори, активно використовують віддалені підключення та найчастіше підключені безпосередньо до контролерів та серверів управління технологічним обладнанням.
За результатами проведеного аудиту нами було сформовано план щодо підвищення рівня ІБ корпоративної та технологічної мережі на 2016 рік. Зокрема, ми планували здійснення проекту з поділу мереж, що включає два етапи:
- Розробка концептуального проекту з розподілу мереж.
- Пілотна реалізація у двох цехах.
Для розробки концептуального проекту було ухвалено рішення залучити зовнішнього інтегратора, оголосивши конкурс. У ході проведення конкурсу ми зіткнулися з певними труднощами у виборі підрядника, оскільки інтеграторів, які мають реальний досвід розробки та впровадження рішень в АСУ ТП, дуже мало. Проте визначилося кілька лідерів. Запропоновані ними рішення були приблизно однаковими, відрізнялася переважно ціна. За підсумками конкурсу допомагати нам стала компанія "Уральський центр систем безпеки".
Розділяти мережі було вирішено шляхом побудови демілітаризованої зони (ДМЗ) між корпоративною та технологічною мережами. Виникло питання: як побудувати ДМЗ? Потрібно зробити одну велику ДМЗ на комбінат із підключенням до неї всіх цехів чи організувати в кожному цеху свою маленьку ДМЗ, забезпечивши взаємодію з ресурсами в корпоративній мережі? Плюси та мінуси обохрішень показані малюнку.
Далі в ДМЗ винесли сервер антивірусного захисту та сервер оновлень із забороною підключення до них із корпоративного сегменту. Реалізували проксі-сервери для сервісів технологічної мережі, що взаємодіють із ресурсами корпоративної мережі. Крім того, в ДМЗ було встановлено систему IDS Cisco FireSight.
Тимчасові та трудові витрати на весь проект склали:
- Підготовка концептуального проекту – 4 місяці та 30 людино-днів.
- Реалізація рішення – 6 місяців, 180 людино-днів в одному цеху та 169 людино-днів в іншому цеху.
Можу констатувати, що колегами з підрозділів ІТ та АСУ ТП вдалося здійснити маленьке диво. За короткий термін вони розробили та впровадили досить складний проект. Крім забезпечення безпеки технологічного сегменту, нами було проведено велику роботу із захисту корпоративної мережі. Тут я не описуватиму всіх заходів, але подальший аудит показав, що проникнути ззовні стало складніше.
Результат впровадження було перевірено аудиторами наприкінці 2016 року за методикою, аналогічною до попереднього аудиту. Висновок щодо перевірки підтвердив захищеність запропонованої схеми. В даний час проект поділу мереж поширюється на нові та існуючі цехи.