19 февраля 2013

Параллельные миры АСУ ТП и ИБ

Тематика защиты АСУ ТП в последнее время стала очень активно обсуждаться. Например, на детально проанализированной мной с точки зрения тем докладов выставке INFOBEZ-EXPO 2012 данный вопрос попал под пристальное внимание широкой ИБ-общественности и выбился в лидеры по частоте упоминаний. Вместе с тем, АСУ ТП и ИБ очень уж напоминают параллельные миры из одноимённого фильма: многое похоже, но кое-что не так. И это "кое-что" принципиально.

Пожалуй, одно из основных отличий заключается в принципиально разных объектах защиты. Как правило, прежде всего защищают именно то, что представляет собой наибольшую ценность. Так вот, в классическом понимании информационной безопасности основным объектом защиты является именно что "информация", в то время как с точки зрения АСУ ТП важнейшую ценность представляет собственно сам (технологический) "процесс". Да простят меня ценители кристальных формулировок и строгих определений, но именно такое противопоставление мне представляется наиболее наглядным.

Пара минут неработоспособности почтового сервера гораздо менее опасны для бизнеса (нарушен процесс), чем доступ посторонних к переписке генерального директора (разглашена информация). А вот показания датчиков основных параметров работы газовой турбины (разглашена информация) особой ценности не представляют, тогда как даже кратковременный сбой в её работе может привести к серьёзным последствиям (нарущен процесс).

Данное простое противопоставление даёт общее понимание того, почему обычные широкораспространённые средства обеспечения информационной безопасности в офисных и даже телекоммуникационных сетях, какими бы качественными они ни были, порой просто идеологически оказываются не совместимы с сетями промышленными.

Скажем, сканер уязвимостей. Как оно обычно бывает? Задали диапазон IP-адресов, выставили требуемую частоту проверки в расписании и знай себе отчёты пролистываем, да на сигналы тревоги реагируем (утрирую, конечно, но не суть). В промышленных же сетях с круглосуточным режимом работы не бывает обеденных перерывов и тихих спокойных ночей. Плановое обслуживание производится строго по регламенту и интервалы там месяцы, а то и годы. Всё остальное время сеть работает да ещё и с высокой степенью нагрузки, сильно отличающейся от обычно происходящего в тех же офисных сетях. Раз в день (не говорю уже - в час) сканировать такую сеть активным сканером - это подвергать её реальным рискам перегрузки со всеми вытекающими последствиями.

Таким образом, задача сканирования сети на наличие уязвимостей, конечно же, похожа, но, как видите, имеет свои ключевые особенности. Для всех этих особенностей, естественно, нужно применять и столь же особенные методы. В данном примере, как вариант, можно рассмотреть использование так назваемых пассивных сканеров уязвимостей.

Пассивные сканеры уязвимостей могут работать даже с зеркалированным трафиком, т.е. вообще не оказывать на реальную сеть заметного воздействия. Суть их работы заключается в анализе трафика, создаваемого работающим в сети программным и аппаратным обеспечением и выявлении (с помощью, например, Deep Packet Inspection, DPI - глубокий анализ пакетов) необновлённых версий, непропатченных серверов, уязвимого ПО и пр. В результате такого анализа выдаются рекомендации по активации соответствующих правил на системе предотвращений вторжений (IPS) и обновлении ПО до актуальной версии (что можно сделать при том же плановом обслуживании). К плюсам пассивных сканеров уязвимостей можно также отнести скорость выявления новых уязвимых узлов в сети - таковые отслеживаются системой буквально сразу же после начала работы, а не при очередном запуске сканирования. Ведь, например, ноутбук пришедшего на пару часов администратора вообще может выпасть из поля зрения обычных сканеров.

Отличной иллюстрацией той самой параллельности может служить, например, вот этот топик на форуме специалистов АСУ ТП, где обсуждается обзор небезызвестной компании Positive Technologies про "Безопасность промышленных систем в цифрах". Скажем, привычный всем ИБшникам термин "регулятор" вне "нашей" среды воспринимается ну совсем иначе.

Тем не менее, пересечений становится всё больше и та самая пчелиная пыльца, хочется верить, вот-вот перестанет быть тайной...
Изображение: http://filmz.ru/photos/116517/big/