Мониторинг аномалий сетевой активности в промышленных системах

1 Апреля 2015

В сфере обеспечения ИБ промышленных систем важной задачей является выбор эффективных мер и средств защиты, которые должны предотвращать несанкционированный доступ к управлению технологическими процессами, но не создавать помехи для работы АСУ. Добиваться этого позволяют решения, обеспечивающие непрерывное пассивное наблюдение за активностью в промышленных системах и сетях, обнаружение потенциальных угроз и оперативное уведомление ответственных служб о возникающих проблемах. Среди таких решений можно выделить системы обнаружения аномалий сетевой активности (Network Behavior Anomaly Detection), применение которых в промышленных системах активно обсуждается экспертным сообществом.

Основным преимуществом систем анализа аномалий является их пассивное применение. Компоненты систем, отвечающие за сбор сетевого трафика, подключаются к зеркалирующим (SPAN) портам сетевых коммутаторов либо непосредственно к сети через TAP-устройства (это позволяет не создавать сетевые нагрузки и не порождает задержек в работе сервисов) и не взаимодействуют напрямую с промышленным оборудованием. Такие системы анализируют сетевой трафик и выделяют из него информацию о сетевых потоках (Flow). Анализ Flow-статистики более эффективен для обнаружения угроз, чем сигнатурные методы, поскольку дает возможность обнаруживать, в том числе, атаки на неизвестные (zero day) уязвимости, сигнатуры для которых еще не выпущены.

Есть и другие преимущества. С учетом того, что штатное взаимодействие устройств в промышленной сети должно быть статичным в течение продолжительного времени, развертывание систем обнаружения аномалий, их «обучение», запуск в «боевом» режиме и непрерывная эксплуатация значительно упрощаются, поскольку не требуются частые изменения профиля нормального поведения. Наконец, работа систем анализа аномалий позволяет оценить реальный уровень безопасности и выявить проблемы в системе обеспечения ИБ промышленной сети, причем результаты анализа могут стать основой ее совершенствования.

Системы класса Network Behavior Anomaly Detection (NBAD) хорошо зарекомендовали себя при защите офисных сетей и ЦОДов. Среди предложений есть как коммерческие (например, Lancope StealthWatch, Arbor Networks Pravail NSI, McAfee Network Threat Behavior Analysis), так и бесплатные (FlowMatrix, FlowBAT, Bro) решения.

Функционал этих систем включает в себя следующие возможности

  • обнаружение подключения сетевых устройств и построение карты сети;
  • создание профиля нормального сетевого взаимодействия;
  • мониторинг сетевой активности в режиме 24/7 для обнаружения аномального поведения (аномальные соединения, устройства, время и объёмы трафика и другие показатели);
  • обнаружение внешних и внутренних (связанных с преднамеренными или ошибочными действиями персонала) угроз;
  • оперативное оповещение ответственных служб о проблемах и передача информации о них в смежные системы безопасности;
  • ведение истории изменений сетевого поведения и помощь при расследовании инцидентов;
  • формирование отчетов с разными уровнями детализации.

Эксперты утверждают, что своевременное применение решений, обеспечивающих мониторинг сетевой активности, позволило бы обнаружить активность вредоносного ПО Stuxnet, Havex и BlackEnergy, поскольку в таких случаях сетевое поведение выходит за рамки нормального взаимодействия устройств в сети. Например, не остались бы незамеченными попытки обновления прошивки контроллера по сети или сбора данных. Несмотря на всю пользу и эффективность традиционных NBAD-систем, они не могут обнаруживать аномальное содержимое прикладных промышленных протоколов. Рост числа угроз для систем промышленной автоматизации привел к тому, что на рынке стали появляться решения, адаптированные для работы именно в промышленных сетях. Их работа основана на том же принципе пассивного сбора трафика, но они способны анализировать промышленные протоколы (deep packet inspection) и обнаруживать в них аномальные данные. В некоторых источниках этот класс решений получил название Industrial Network Anomaly Detection (INAD).

Сейчас известны следующие зарубежные решения: Dragos Security CyberLens, NexDefense Sophia, C4 Security Fides, SCADAfense. Среди российских продуктов такой функционал обеспечивают Kaspersky Trusted Monitoring System и InfoWatch Automated System Protector. Эти решения находятся на разных стадиях зрелости. Некоторые из них существуют уже несколько лет (например, NexDefense Sophia), а некоторые — только анонсированы (в частности, SCADAfense). В любом случае заметен интерес производителей и заказчиков к решениям этого класса.

Рассматриваемые системы поддерживают как открытые, так и проприетарные промышленные протоколы, в том числе DNP3, ModbusTCP, Profinet, ISO-TSAP, AB-PCCC, BACNet, Ethernet/IP и другие. В разных продуктах поддерживаемые протоколы и функциональные возможности различаются.

В общем виде системы данного класса позволяют обнаруживать следующие виды активности

  • нелегитимные команды и сетевой трафик, выводящие из строя системы управления;
  • присутствие в промышленной сети вредоносного ПО, локализация очагов заражения;
  • действия злоумышленников в промышленной сети без использования вредоносного ПО;
  • управляющие команды, приводящие к нарушениям технологического процесса;
  • команды на остановку/перезагрузку/перепрошивку/переконфигурацию контроллеров;
  • команды, устанавливающие недопустимые/нежелательные значения ключевых параметров управления технологическим процессом.

Из особенностей применения таких систем отметим следующие. Им требуется значительное время на первоначальный сбор данных для построения профиля нормального поведения и задания базовой политики безопасности. Но это — плата за неиспользование активного сканирования, которое может создавать проблемы в работе промышленной сети. Кроме того, для подключения к SPAN-порту сетевого коммутатора или подключения TAP-устройства, что необходимо для пассивного сбора трафика, требуется активное взаимодействие с сетевым оборудованием (конфигурация, установка в разрыв). Однако вероятность того, что эти действия и дальнейшая работа системы приведут к проблемам, крайне мала. Эффективность систем безопасности в данном случае несравнимо выше риска от их применения.

Помимо систем, ориентированных на поиск аномалий в сетевом трафике промышленных сетей, стали появляться интересные решения, нацеленные на бесконтактное обнаружение аномалий в работе промышленного оборудования (такой функционал обеспечивает PFP Cybersecurity). Последняя задача реализуется путем наблюдения за энергопотреблением процессора.

Безусловно, выбор конкретного продукта должен осуществляться на основе анализа индивидуальных требований заказчика, особенностей промышленных систем и сетей, типа промышленного объекта. Крайне необходимо и тщательное тестирование продукта до его введения в эксплуатацию. Однако выбор решений на рынке однозначно есть.

Антон Шипулин, руководитель проектов по информационной безопасности компании КРОК, автор блога «Безопасность АСУ ТП»

Мониторинг аномалий сетевой активности в промышленных системах
Источник:
Журнал «Безопасность деловой информации»

Все публикации

Видео


Интеллектуальное здание: от строительства до эксплуатации

Калькулятор по мини-ТЭС
Своя энергия —
— свои тарифы!
Рассчитать