Современный тренд цифровизации в промышленности выводит вопросы информационной безопасности предприятий на новый, критически важный уровень. Наблюдая за развитием отечественного производства, злоумышленники стали выбирать промышленные компании в качестве объектов для своих атак: так, в вплоть до первого полугодия 2023 года наблюдался рост процента компьютеров АСУ, на которых были заблокированы вредоносные объекты . Хотя во второй половине 2023 года этот процент вернулся к показателям 2020-го, опасность остается значительной. В ответ на эти угрозы важную роль в промышленной безопасности начали играть XDR-платформы (Extended Detection and Response), обеспечивающие комплексный и интегрированный подход к обнаружению угроз и реагированию на них.

XDR-платформы представляют собой новую концепцию построения производственной ИБ, которая позволяет консолидировать информацию с многих систем и управлять этими данными централизованно. Она может включать в себя не только журналы событий, но и сырую телеметрию с конечных точек, данные сетевого трафика и информацию с других подключаемых источников, в том числе промышленных сетей и объектов.

Одной из особенностей XDR-платформ является их способность к автоматизации процесса обнаружения угроз. Алгоритмы, в том числе машинного обучения, помогают выявлять аномалии и атаки в реальном времени, а также предлагать эффективные меры по их нейтрализации.

Особенности промышленной кибербезопасности

Основа IT-инфраструктуры на производстве – промышленные компьютеры: серверы SCADA, рабочие станции, HMI (human-machine interfaces, промышленные панели оператора). Как правило, эти машины строятся на стандартной архитектуре, и потому могут быть подвержены «классическим» атакам, например, с помощью вымогателей. Часто такие компьютеры работают на старых операционных системах, не получающих своевременных обновлений и потому более уязвимых. Необходимость доступа к внешним сетям, а также традиционный «человеческий фактор» также увеличивают доступную для атак поверхность промышленной инфраструктуры.

При этом специфика промышленной сферы состоит в том, что здесь непрерывность производственного процесса имеет критическое значение. Остановка производства может привести к колоссальным убыткам, а иногда и к выходу оборудования из строя. Как следствие, автоматическое реагирование на инциденты допустимо не всегда и не на всех узлах, поскольку может привести к изоляции ключевых серверов или удалению важных файлов из-за того, что машинная логика сочтет их скомпрометированными. Промышленные XDR-платформы должны предлагать сценарии, предусматривающие только уведомление администратора в случае инцидента и дальнейшее ручное реагирование.

Кроме того, конечные точки промышленных сетей не всегда допускают установку отдельного защитного ПО; платформа должна поддерживать как агентский, так и удаленный подходы к мониторингу и выявлению подозрительных процессов.

Как следствие, промышленные XDR-решения должны как обеспечивать мониторинг и различные сценарии реакции на инциденты на конечных точках, так и осуществлять аудит и отслеживать трафик в самой сети. Необходима поддержка большого числа сценариев, применение удаленных и агентских опросов, совместимость с большим количеством операционных систем, в том числе устаревших.

Из-за сложной структуры решений, а также большого количества предъявляемых к ним специфических требований, сама концепция XDR зачастую трактуется по-разному представителями ИБ-сообщества. Специалисты «Лаборатории Касперского» разработали собственную классификацию промышленных XDR-решений:

- Нативные: устанавливаются внутри периметра промышленной автоматизации, обеспечивают комплексный мониторинг и защиту как конечных узлов, так и всей сети в целом.

- Открытые: на предприятиях, где имеется большое число систем автоматизации, а за ИБ отвечает несколько команд, к нативным решениям добавляется SIEM-система, обеспечивающая централизованный комплексный мониторинг и корреляцию событий ИБ в разрозненных внутренних сегментах, а также интеграцию с внешними ИБ-системами, отвечающими за реагирование на инциденты и нейтрализацию угроз.

- Единые: платформа, обеспечивающая мониторинг и реагирование на инциденты в рамках единого интерфейса; «Лаборатория Касперского» в настоящее время ведет разработку такого решения.

Kaspersky Industrial CyberSecurity (KICS)

KICS представляет собой XDR-платформу промышленных сред, в него входят KICS for Nodes (защита конечных точек) и KICS for Networks (мониторинг сети и аудит безопасности).

• KICS for Nodes – решение для защиты промышленных узлов от угроз различной степени сложности, вызванных человеческим фактором, вредоносным ПО, целевыми атаками и действиями киберпреступников. Решение обладает модульной архитектурой, высоким уровнем совместимости с различными промышленными решениями, потребляет минимум ресурсов, и может контролировать как непосредственные рабочие места, так и среду (запуск программ, подключение устройств, сеть Wi-Fi). Свежий релиз также предоставляет возможность создания портативного сканера на флеш-накопителе, который обеспечивает защиту тех узлов, куда невозможно поставить полноценное решение в силу внутренних требований безопасности или ограничений, наложенных производителем оборудования.
• KICS for Networks – решение для мониторинга промышленной сети и анализа трафика на уровне проприетарных протоколов, выявляет аномалии и вторжения в инфраструктуру на ранних этапах и обеспечивает необходимые контрмеры. Может поставляться как в виде программного продукта, так и виртуального устройства. Поскольку решение анализирует копию сетевого трафика, оно не влияет на рабочие процессы и не замедляет процесс обмена данными внутри сети предприятия. Важная особенность – риск-ориентированный подход, позволяющий выявлять не только уже проникшие в сеть угрозы, но и потенциально проблемные точки․ Один из ключевых элементов KICS for Networks – конфигурации безопасности для аудита узлов сети. Для написания правил используется открытый язык OVAL, являющийся современным стандартом индустрии ИБ, что позволяет гибко настраивать политики безопасности, редактировать правила, использовать как базы «из коробки», так и сторонние коллекции.

Несмотря на общее название, долгое время эти два решения не были между собой интегрированы, события и телеметрия одного инструмента никак не обогащали базу другого, не было кроссплатформенных сценариев реагирования на угрозы. Сейчас они объединены, и вместе представляют комплексное решение по защите конечных узлов и промышленной сети с единым интерфейсом для специалиста ИБ, предоставляемым платформой KICS for Networks.

KICS представляет собой полноценное решение для защиты промышленной инфраструктуры от киберугроз, обеспечивает поддержку как ОС Windows (в том числе устаревших версий), так и Linux․ Специалисты компании «Системный софт» всегда готовы рассказать о новых возможностях платформы, провести демонстрацию, помочь интегрировать решение в инфраструктуру компании, объединить его с имеющимися решениями в области информационной безопасности для обеспечения максимальной защиты производства от угроз.