Минимизируй и автоматизируй, или как защитить производство от кибератак
Регион Центральной Азии с его мощным производством и повсеместной цифровизацией сегодня представляет собой поле кибербитвы. Инфраструктуры промышленных, энергетических, государственных и финансовых организаций находятся под постоянным давлением злоумышленников. Проникновение в корпоративные сети ради выкупа, разведки секретных данных или срыва производственных процессов чревато не только финансовыми, но и репутационными потерями.
Снижение рисков компрометации в первую очередь связано с защитой чувствительных данных, которые, к сожалению, зачастую небезопасно хранятся или бесконтрольно передаются. Эксперт российской компании «АйТи Бастион» рассказывает, как избежать неприятностей, наладив в производственной организации защищенный автоматизированный информационный обмен.
Во втором квартале текущего года количество кибератак на страны СНГ выросло в 2,6 раза, в сравнении с тем же периодом 2023-го. Из них – на Казахстан пришлось более 8%. Это делает центральноазиатскую страну самой атакуемой после России. Большая часть атак в странах содружества пришлась на госучреждения (18%) и промышленность (11%), и если в случае с госучреждениями большую часть атак можно смело списать на человеческий фактор и схемы социальной инженерии, то в ситуации с промышленностью причина, вероятнее всего, кроется в другом.
Современное технологическое предприятие хоть и пытается, пусть и не всегда по собственной воле, «в диджитализацию», но управление процессом через десятки рукопожатий и согласований никуда не ушло, а передача файлов через usb-носители, или учёт данных в тетрадках в клеточку и вовсе – практически устоявшаяся норма в условиях изоляции сегментов сети. Более того, не все осознают, что процесс цифровизации производства автоматически должен сопровождаться и процессом обеспечения информационной безопасности: чем больше компьютеров – тем выгоднее их ломать. Всё это в синергии даёт нам практически первобытные мануфактуры в условиях обязательного перехода на цифровые средства учёта личной информации сотрудников, важных и чувствительных данных компаний и весьма значимой в условиях построения бизнеса телеметрии тех или иных процессов. Мало того, что подобный подход заметно замедляет темпы бизнеса – он ещё и подвергает риску компрометации важные данные, а иногда и вовсе – человеческие жизни.
Такие тенденции помогли нам сформировать список задач для решения текущих проблем производств, связанных с обменом данными и файлами:
Задавать вектор движения файлов и данных
Часть данных, такие как телеметрия и журналы, нужно забирать из изолированных систем, ничего не отдавая в ответ, а где-то нужен двусторонний обмен, как при синхронизации времени (NTP-запросы). Поэтому у конечного пользователя должен быть выбор между односторонней и двусторонней передачей как файлов, так и данных, в зависимости от конечной потребности.
Автоматизировать контроль безопасной передачи
При курсировании на флеш-накопителях, данные могут проходить ряд проверок как в ручном, так и в полуавтоматическом режиме. Исключать такие проверки ни в коем случае нельзя, поэтому необходимо полностью автоматизировать их через привычные средства, такие как антивирусы, Sandbox, XDR или DLP. Кроме того, нужно обеспечить контроль имен передаваемых файлов, размера, а также проверку целостности.
Документировать обмен информацией между сетями
Фиксация событий, так или иначе, ведётся, будь то журнал учета, электронная таблица или другие подручные средства. Факт передачи или изменения в этом процессе, однако, необходимо фиксировать, и будет ещё лучше, если эта информация будет передана в агрегатор событий, как, например, SIEM.
Доставлять до конечной цели
Файл или данные не должны прийти в какую-то точку, где их должен забрать человек. Они должны оказаться на конечных системах.
Обеспечить встречный контроль за передачей информации
Для успешного обмена информацией, на него должны быть согласны оба контура. Такой подход поможет сохранить необходимую изоляцию, объединяя исключительно те системы, взаимодействие которых необходимо предприятию.
Минимизировать участие человека
В идеальном мире человек всего лишь однажды настраивает политики. После такой настройки все процессы будут выстроены и автоматизированы. Вмешиваться нужно только тогда, когда у нас что-то меняется в самих процессах. То есть, ситуативно и без высокой нагрузки на такого ответственного.
Решая актуальные для заказчиков в СНГ задачи, мы создали «Синоникс» – систему информационного обмена, представляющую собой специальное программное обеспечение в составе программно-аппаратного средства. Основным назначением решения является автоматизация процессов передачи файловой и потоковой информации между сетевыми приложениями. «Синоникс» позволяет построить автоматизированную однонаправленную или двунаправленную передачу данных и файлов между узлами двух сетей, делая их при этом невидимыми.
Что нужно автоматизировать и для чего?
Зачастую общее бизнес-требование к автоматизации – минимизация участия человека для экономии ресурсов. Это необходимо для более эффективной работы того или иного предприятия. Помимо этого, автоматизированные средства значительно уменьшают риски проникновения злоумышленников во внутреннюю сеть благодаря строгим политикам доступа и совместной работе с другими классами решений.
«Синоникс» – это Diode или NGFW?
Возможности Data Diode, NGFW и «Синоникса» могут показаться похожими, но методы решения задач и особенности этих продуктов значительно отличаются, что сказывается на сфере применения каждого из них. Diode позволяет передавать данные лишь в одном направлении, а NGFW защищает только от угроз, заложенных производителем, то есть только от уже известных уязвимостей. Плюс ко всему, firewall управляется лишь одним ответственным человеком, что в случае его компрометации даёт злоумышленнику возможность проникнуть во всю сеть, увидеть всю ее архитектуру и разрешить себе все необходимые доступы.
Что может «Синоникс»?
Решение «АйТи Бастион» позволяет построить автоматизированную контролируемую передачу данных в режиме «точка-точка» как в одну, так и в обе стороны по протоколам ТСР и UDP без прямой связанности узлов. Также «Синоникс» позволяет заблокировать передачу на физическом уровне с помощью «пусковых» ключей и двух ответственных лиц. Сама же передача данных происходит по проверке размера и маски, а также целостности передаваемых объектов.
Для чего это нужно?
К примеру, у нас есть производство с двумя изолированными сегментами сети. В нём необходимо развернуть высокозащищённую автоматизированную систему передачи файлов – телеметрии с производственного сегмента.
Для достижения этой цели используется система контроля информационного обмена «Синоникс» в сочетании с РАМ-системой (Privileged Access Management) «АйТи Бастион» СКДПУ НТ. «Синоникс» располагается в организованном между двумя сетями безопасном канале. Он обеспечивает дополнительный контроль и «переборку» пакетов на транспортном уровне, а также связь между заранее определенными системами двух сетей, одной из которой является СКДПУ НТ. МЭ/NGFW, который размещается перед «Синониксом», создает базовую защиту сети. После ПК «Синоникс» – СКДПУ НТ, через которую проходит контролируемый безопасный доступ к целевой системе.
Таким образом обеспечивается не только высокий уровень контроля проходящей между сетями информации, но и управление привилегированным доступом. Для сбора телеметрии настраивается передача данных в режиме программного диода, гарантирующего передачу пакетов только в одну сторону. Он позволяет получать актуальные данные о системах без обратной связи и при отсутствии прямой связности с источником данных.
Этот сценарий наглядно демонстрирует возможность построения эффективной автоматизированной системы в сочетании с другим классом решений. Однако важно понимать, что это – лишь один из сценариев применения «Синоникса». На практике их может быть множество: всё зависит от объёма задач и конкретных требований заказчика. Такой подход может позволить реализовывать, на первый взгляд, неочевидные задачи на высоком и эффективном уровне.