Всем известно, что для эффективной борьбы с новыми киберугрозами на устройстве всегда должна быть самая свежая версия защитного решения. Для офисных машин процесс обновления прост: они подключены к Интернету и получают обновления автоматически. Однако в сетях промышленных предприятий системы, нуждающиеся в обновлении, могут не иметь постоянного подключения или же вообще в режиме физической изоляции. Как же поддерживать защитные решения на этих системах в актуальном состоянии, не подвергая риску среду АСУ ТП?
Ручная работа
Один из самых популярных способов — так называемый sneakernet, или метод ручного переноса: администратор скачивает обновление с сервера разработчиков защитного ПО на специально выделенный для этого компьютер, записывает файлы на съемный носитель и вручную копирует их на каждое устройство. Этот метод не требует прямого соединения между сервером обновлений и конечными устройствами.
Главный недостаток ручного метода в том, что для того, чтобы он был эффективным, администраторы должны проделывать этот фокус регулярно и правильно. А это трудоемкий процесс, отнимающий много времени. Поэтому многие сети АСУ ТП используют решения с устаревшими сигнатурными базами. Мы постоянно сталкиваемся с такими ситуациями, когда проводим оценку защищенности АСУ ТП.
Метод ручного переноса требует дисциплинированности исполнителей. Кроме того, для его корректного применения, решения, защищающие рабочие станции, должны поддерживать установку обновлений со съемных носителей. Причем придется постоянно вручную устанавливать обновления для программ под всеми ОС, для систем управления и для микропрошивок устройств. Чтобы это работало, требуется недостижимый на текущий момент уровень сотрудничества между разработчиками защитных решений и создателями оборудования.
Истинная кибербезопасность
Намного быстрее и удобнее использовать для обновлений централизованный выделенный сервер. Поэтому мы рекомендуем выбрать защитное решение для конечных устройств, которое может обновляться через единый локальный источник.
Однако следует помнить, что одного антивирусного движка недостаточно, чтобы адекватно защитить все конечные устройства в сети АСУ ТП от современных киберугроз . Необходим комплексный, многоуровневый подход. Решение не должно полагаться только на антивирусные базы. В нем должны работать и другие методы защиты: например, система защиты от шифрования, которая может справиться с атаками новых программ-вымогателей, технология вайтлистинга, система контроля устройств, ограничивающая использование флэшек и USB-модемов. Все это значительно укрепляет защиту системы в целом и делает ее менее зависимой от обновлений.
В то же время защитное решение должно быть компактным и адаптированным для промышленной среды. Оно должно быть протестировано с программами для АСУ ТП, работать со старыми ОС, не потреблять много ресурсов, а также поддерживать локальное обновление и такие режимы защиты, как мониторинг процессов без вмешательства и блокировки. Наконец, хорошее защитное решение для промышленных сред должно уметь долго работать без перезагрузки.
Для защиты технологической сети со всеми ее устройствами и программируемыми контроллерами, для которых не существует отдельных защитных решений, необходимо использовать иные методы. Тут мы рекомендуем инструменты, которые позволят осуществлять мониторинг и настройку безопасности сети и следить за целостностью логики контроллеров.
Важно понимать, что решения для конечных устройств недостаточно, чтобы справиться с продвинутой промышленной атакой. Только совместное применение средств для обнаружения аномалий в АСУ ТП и специализированного защитного решения для конечных устройств может обеспечить как защиту от обычных киберугроз, так и обнаружение сложных атак и несанкционированных действий.
Надо сказать, над проблемой обновления защиты в промышленных сетях размышляем не только мы. Не так давно наши коллеги из NCCIC/ICS-CERT опубликовали документ под названием Recommended Practice: Updating Antivirus in an Industrial Control System, в котором можно найти подробные советы для промышленных компаний по разным стратегиям обновления антивирусов.