Вынужденное импортозамещение ускорилось и будет набирать обороты. После выхода Указа Президента от 30 марта закупка иностранного ПО и оборудования, предназначенного для установки на значимых объектах КИИ, по сути стала нелегитимной. Очевидно, что процесс идет в сторону преимущественного применениями всеми субъектами КИИ отечественной продукции.
В этой ситуации специалистов отечественного ИБ АСУ ТП возникает два вопроса: чем сейчас безболезненно заменить импортные СЗИ и какие подходы к защите от кибератак сейчас эффективнее всего?
Сегодня на мероприятии
Сегодня презентуем систему для защиты технологических сетей от кибератак – InfoWatch ARMA. Система была разработана специально для промышленных предприятий. Все продукты, ее составляющие, исходно проектировались как единое решение, в отличие давних игроков рынка защиты АСУ ТП, которым сейчас приходится объединять свои legacy-продукты в экосистемы.
- InfoWatch ARMA Industrial Firewall – сертифицированный промышленный межсетевой экран, который позволяет не только мониторить, но и предотвращать атаки. Встроенная система обнаружения и предотвращения вторжений регулярно обновляется, эксперты InfoWatch ARMA ежеквартально пополняют базу решающих правил новыми.
- InfoWatch ARMA Industrial Endpoint – защита рабочих станций и серверов АСУ ТП. В отличие от корпоративных аналогов, Industrial Endpoint не проводит постоянного сканирования, поэтому не создает дополнительной нагрузки на инфраструктуру.
- InfoWatch ARMA Management Console – центр управления средствами защиты информации (СЗИ), который позволяет автоматизировано их обновлять, а также управлять политиками безопасности. Такой централизованный подход существенно экономит время на поддержание всей системы защиты АСУ ТП в рабочем состоянии. К тому же, события ИБ, собранные со всех СЗИ в единой консоли управления, позволяют специалисту увидеть не разрозненные инциденты, а цепочки взаимосвязанных событий - сейчас это критически важно для своевременного обнаружения и локализации атаки.
Сегодняшнее мероприятие ведет Фёдор Трифонов, руководитель отдела технического сопровождения продаж InfoWatch ARMA.
Сегодня коротко пробежимся по обновленной проблематике, поговорим, почему все нужно делать оперативно и быстро, пройдемся по нашей продуктовой линейке.
Начнем с рисков. Из года в год они не меняются, остаются все теми же, нет 100% защиты. Об этом говорит каждый производитель, каждая компания. Тем не менее, после 24 февраля ситуация изменилась. Все подтверждают, что количество гиперинцидентов растет. У кого-то в геометрической прогрессии. Кто-то действительно пострадал. Все слышали публичные кейсы о том, что определенные сайты лежат в результате кибератак. В интернете есть статьи, где происходят атаки не на российские предприятия, а на страны Европы. В Интернете выложена информация по возможным инъекциям, которые используют злоумышленники при атаке на АСУТП энергетической сферы. Для представителей безопасности в принципе ничего не изменилось. Единственное, что произошло прямо сейчас, это то, что огромные усилия тратятся на то, чтобы оперативно реагировать на инциденты, которые появляются.
Что касается других угроз и с ними столкнулось огромное количество моих личных знакомых, это уход иностранных разработчиков СЗИ. На протяжении большого количества времени я общаюсь с фанатами разных западных вендоров.
Тем не менее никто никогда не верил в то, что можно уйти по-английски в силу тех или иных причин. Но это произошло. Ни для кого не секрет, что такие производители, как Cisco ушли с российского рынка. По их словам, на время. Но, тем не менее, сейчас мы встретились с ситуацией, когда к нам обращаются заказчики с простым вопросом: «Мы в Телеграм чате Cisco, а нам там больше не отвечают. У нас перестало гореть зеленым. Что нам делать?». Кто смотрел публичное выступление в СТЭК России на ИПЭ АСУТП ПВО в этом году, вы наверняка слышали вопрос из зала 2 марта, когда представитель очень крупного заказчика объявил о том, что «у нас все превратилось в тыкву». Это проблема. Есть еще и другая проблема, с которой сталкиваются именно АСУ. Буквально в конце прошлой недели мне довелось выступить в роли преподавателя для представителей АСУ Россетей, и после выступления в кулуарах мы обсудили ряд проблем, с которыми столкнулись мои слушатели. Выяснилось, что часть АСУ осталась без обновлений, а часть АСУ просто выключилась.
Возможно, все вы слышали о том, что сейчас подорожала бумага и ряд товаров, что никак не бьется с курсом рубля. Тем более, если говорить о бумаге, лесов у нас много, и производство бумаги тоже наше. С чем это связано, почему происходят перебои в поставках, это всего лишь мои догадки, но, скорее всего, здесь загвоздка также в АСУ, импортных АСУ, которые остались либо в отключенном состоянии, либо без обновлений.
Еще одна проблема, с которой столкнулся заказчик, это оборудование. Всем известно, что у крупных производителей, в числе которых и мы находимся, есть хороший ЗИП на то, чтобы обеспечить ряд заказчиков. Как только ситуация изменилась, примерно со 2 марта все резко начали осуществлять оперативные закупки. Есть компании, в которых все было построено на западных производителях, происходят закупки, и сейчас мы находимся на этапе, когда фактически оборудования крайне мало. Есть ряд производителей, которые постоянно поднимают цены на оставшееся оборудование. Тем не менее с поставками и логистикой, плюс непонятного приобщения китайского партнерства, мы сталкиваемся с тем, что железа нет. У нас в настоящий момент проблем с оборудованием нет. Да, есть длинные сроки поставок, но они такие же, как и были по другим вендорам до всех событий.
Это все основные угрозы. Понятно, что, чем дольше едет оборудование, тем дольше мы остаемся без защиты. Я всегда верил в то, что Запад может рано или поздно отключить свой софт. И это может быть софт не только по ИБ, но и Windows, на который является основной нашей ОС. И ряд других поставщиков. Но факты есть факты.
В 2014 году мне довелось посетить очень крупный банк, который в последствии потерял свою лицензию. Туда пришел документ про импортозамещение с процентовкой по годам. Когда все увидели этот документ, все с удивлением признались, что даже не знают аналогов в России. Никто толком импортозамещением не занимался. Для нас, тех, кто работает в первую очередь с АСУТП, изменения произошли в 2017 году, когда вышел 187-й ФЗ. Все поняли, что придется закупать отечественные CPB, и что надо узнать, что у них есть интересного. Вот тогда и начались посещения разных крупных конференций. А тогда же и появились очень крупные ИП конференции отечественных производителей. И в принципе, многие поняли, что у нас есть из чего выбрать и это можно и нужно использовать. Ряд заказчиков, у которых позволял бюджет, к сожалению, пошли по пути двойных стандартов. Когда мы покупаем отечественное решение, кладем его на полочку, и включаем продукцию тех производителей, которые теперь ушли с российского рынка. Забыл отметить один очень важный момент СТЭК сейчас постоянно обновляет информацию по сертифицированным решениям. Если вам понадобится такая информация, вы можете обратиться к нам и мы подскажем, какой же актуальный статус, у кого и что отозвали. Чтобы вы не оказались в ситуации, когда уверены в том, что у вас сертифицированное решение, а на самом деле это не так.
Вышел указ президента от 30 марта. И теперь до 2025 года нам предстоит попрощаться со всем ПО иностранного происхождения на объектах критической инфраструктуры. Хорошо ли это с точки зрения заказчика? Да. А вот, если мы говорим про производителя АСУ, здесь вернусь к прошлой неделе. Пообщавшись с представителями Россетей, а там были и победители конкурса Энергетика России, я узнал, что существуют отечественные аналоги систем Scada и контроллеров на территории РФ. Многие думали, что самая популярная компания «Электрощит», но, как оказалось, продукция, которую они выпускают, делается не только под брендом Schneider Electric.
Что касается пока что только на значимых объектах, но мы живем в то время, когда все может измениться. И мы сами должны понимать то, что пора прийти к тому, чтобы использовать отечественные решения, которые, будем объективны, до момента повышения цен стоили на порядок дешевле импортных аналогов. Не все, конечно, но большинство.
Теперь вернемся к насущным вопросам про современные вызовы кибербезопасности. Мы традиционно выделяем три пункта. Я обычно начинаю с последнего: недостаток квалифицированных кадров. Мнения расходятся, но то, что слышал и видел я, у нас сейчас не так много вузов, и специальных программ, которые готовят специалистов по кибербезопасности. Большинство людей, которые сейчас работают в этой области, это самоучки, которые пришли работать стажерами, опустились в ИБ и даже, закончив, к примеру, Бауманку, понимают, что их знания оказались устаревшими и не применимыми на ландшафте угроз и решений, которые есть в настоящее время.
Тем не менее есть позитивные сдвиги. Многие вузы сотрудничают в том числе и с нами, пользуются нашей экспертизой, мы обмениваемся информацией. Про отток кадров, который произошел на фоне политических событий, судить трудно. Об это никто открыто не говорит. Тем не менее, все мы прекрасно понимаем, что большинство специалистов иностранных вендоров, они уехали на ПМЖ в другие страны. В принципе сейчас все заказчики говорят о том, что сейчас это очень большая проблема. И еще она усугубляется тем, что все хотят больше денег, а больше денег негде взять, или очень трудно найти.
Второй пункт, это ограниченная видимость сети. И первый пункт – это размытие периметра кибератак.
Мы склоняемся к тому, что ввиду того, что специалистов мало, нужно автоматизировать какие-то процессы с тем, чтобы экономить время действующих сотрудников и предоставить им возможность заниматься гораздо большим пулом задач.
Три тенденции, которые мы выделяем. Первая – это необходимость создавать эшелонированную защиту.
Любой злоумышленник – это бизнесмен, у которого нет понятия «время», но есть понятие «деньги», которые он, скорее всего, потратит на проведение атаки. И, чем больше вы выстроете разного рода щитов, тем круче будет выглядеть один ваш большой щит. И, когда злоумышленник будет ломиться в этот щит, ему придется потратить большое количество личных ресурсов. И впоследствии, вы можете стать ему просто неинтересны. Чем больше у нас пограничного контроля, тем лучше.
Вторая тенденция, которую мы выделяем, это необходимость создания замкнутой программной среды, когда у нас есть большой и хорошо защищенный внешний периметр. Наша задача – обеспечить безопасность изнутри.
Для этого есть разные решения. Если мы говорим про решения для АСУТП, то мы считаем, что просто нужно не дать людям возможность использовать рабочее время на рабочих станциях инженеров АСУ для личных нужд. Нужно, если у человека стоит задача работать на шлифовальном станке, он должен делать свою работу, а любые непроизводственные задачи должны пресекаться. Чем больше таких барьеров появится внутри, тем качественнее будет работа. Человек не будет отвлекаться на посторонние вещи. И его КПД для бизнеса вырастет.
И третья тенденция - это создание высокой видимости сети и централизованное управление. Здесь идет речь про автоматизацию некоторых процессов. Выделю высокую видимость. Это важный момент, на который стоит обращать внимание.
Где бы мы ни проводили пилот, всегда мы сталкиваемся с тем, что, в том числе и в АСУ сегменте, мы видим историю, когда коллеги начинают пилот, и видят большое количество личных ноутбуков, подключенных к технологической сети. Это некорректно.
Это модно и нужно и отсекать с тем, чтобы минимизировать возможные риски. Что делаем мы? Как вы знаете, у нас есть крупная экосистема под названием InfoWatch ARMA. Это отечественная система защиты в промышленной сети, основное назначение которой – защищать сеть, создать замкнутую программную среду, автоматизировать процессы для сотрудников блока ИБ и при этом выполнять требования 239 приказа СТЭК.
На текущий момент мы по-прежнему закрываем до 90% технических требований приказа 239 СТЭК. В ближайшее время, вероятно до конца этого года, мы получим сертификацию по СТЭК на наш endpoint и на нашу консоль. Т.о. вся наша экосистема будет сертифицирована и одобрена регуляторами. Что касается защиты, то здесь у нас есть свое видение. Естественно, есть много вариантов построения защиты. Была рекомендация от СТЭК строго разделить корпоративный и технологический сегменты.
Вот, например, в Россетях ряд сотрудников подтверждает, что получили такой приказ и произвели разделение. Но есть ряд организаций, которые не могут это сделать физически либо технологически, потому что у них VRP система завязана на станках, и они информацию о зарплате строят на основании того, сколько рабочий отработал на том или ином объекте. В таком случае не получится сделать разделение, к сожалению. В таких ситуациях, которых довольно много, мы всегда прибегаем к созданию специально зоны, где мы корпоративную сеть отделяем от технологической, используя наш межсетевой экран. Если ваша компания имеет несколько филиалов, для нас это никогда не было проблемой. Безопасность и надежность данных с разных фэйрволов обеспечивается нашим VPN.
Первый продукт нашей экосистемы InfoWatch ARMA Industrial Firewall. У нас уже есть на него сертификат СТЭК. Межсетевой канал типа Д, уровень доверия 4. На текущий момент мы включены в реестр отечественного программного обеспечения. Самое главное это глубокая инспекция промышленных протоколов. Мы разбираем по командам промышленные протоколы. И это важно в том числе с точки зрения построения корректных политик информационной безопасности.
Т.е. мы способны работать не просто как межсетевой экран, который будет просто блокировать все команды, которые могут быть негативными. Он способен при настройке грамотных правил распознать команду и понять, лигитимна она сейчас или нет. Конечно же у нас есть средства обнаружения вторжений и возможность создания безопасного удаленного подключения. До конца апреля у нас должен был появиться гастовый VPN, но к сожалению, ввиду сложившейся политической ситуации, мы немного смещаем сроки. Но, надеюсь, в этом году мы обязательно релизим именно гастовый VPN, который необходимо использовать на объектах.
Шесть вариантов поставки. У нас есть основная тенденция по созданию DMZ зоны. Но тем не менее кто-то использует Firewall строго для того, чтобы обеспечить безопасность VPN со службами технической поддержки либо любого другого аутсортинга. Кто-то использует наши Firewall в том числе для того, чтобы разделить АСУ внутри. Т.е. в случае проведения какой-то целенаправленной атаки, мы будем понимать, что у нас есть один зараженный сегмент, мы его можем отключить, но не просто отключить от сети, пусть он будет продолжать функционировать, но мы отделим его от других Firewall, и будем разбираться с инцидентом по нему, понимая, что дальше враг не пройдет.
Все шесть вариантов представлены. Мы сделали красивый детализированный сфайт. У нас есть два варианта аппаратных комплекса: ПАКи и виртуальные машины. Требования к мощностям на рынке у нас самые минимальные, если сравнивать с другими отечественными партнерами и уж тем более зарубежными. Вариантов поставки несколько. Это либо монтаж в 19-ти дюймовую стойку, либо монтаж на динрейку, либо вообще это «коробка Доширак», которая может крепиться на скотч в вашей подстанции, например.
Все железо, которое мы используем – отечественное. Оно одобрено МинПромТоргом и имеет сертификацию. Тем не менее, не было еще ни одной претензии по поводу долгих сроков. Сроки сохраняются прежними.
Про лицензирование. Мы сильно его скорректировали. Сейчас у вас есть возможность покупать каждый модуль по Firewall отдельно. Единственное, что у нас осталось в прежнем варианте, это наш Industrial Endpoint. Там есть два варианта, либо с антивирусом, либо без него. Разница в цене есть, но она небольшая.
Management Console здесь не указано, но тем не менее у нас сейчас есть модуль централизованного управления и есть модуль сбора и корреляции событий. У нас есть часть заказчиков, которым не нравится управлять инцидентами с консоли, но централизованное управление им важно. Раньше такой возможности по разделению не было, а сейчас есть. Все наше ПО бессрочное. И осталась только техподдержка, которая необходима по закону РФ.
Важным моментом является то, что лицензия при поставке в виде аппаратного комплекса привязана к оборудованию.
О гарантии на оборудование. Гарантия на оборудование от одного до трех лет. На год – базовая стандартная. На три года – расширенная. За нее нужно будет доплатить.
Второй наш продукт - Industrial Endpoint. Функционал предельно простой. Это возможность измерять контрольную сумму, т.е. контроль файлов. Следующий момент - это контроль съемных носителей. Третий момент – антивирусный движок.
На текущий момент мы ждем сертификацию СТЭК. И четвертый момент – это блокировка недоверенного списка программного обеспечения на основании белых списков. Создание замкнутой программной среды обеспечивает нам то, что даже при попадании на рабочую станцию у злоумышленника не будет возможности совершить такие же шаги, какие может совершать любой из сотрудников. Если он попытается что-то изменить в реестре, мы ему это не позволим сделать. Если он попытается установить какое-то, это также будет пресечено на корню. Ну, и если он придет через USB, то его встретит блокировка.
Финальный наш продукт - InfoWatch ARMA Management Console. Единый центр управления всеми нашими решениями, которые на текущий момент проходят сертификацию СТЭК РФ. Прошу обратить внимание на что у нас была подана сертификация. Что он делает?
Первая его основная задача- это инвентаризация сети. Есть возможность инвентаризации, которая представлена в виде визуализации всех ваших активов, которые подключены прямо сейчас и анализируются в life режиме. Если вы видите, что у вас появилась какое-то большое красное пятно где-то в верхнем углу экрана, вы всегда можете посмотреть, что это за машина, какой у нее IP-адрес, какой mac-адрес, что это за ОС, и, если необходимо, конечно же, ее можно взять и отключить.
Модуль по сбору и анализу событий – это система, которая собирает все события, анализирует их и, если необходимо, передает их в инцидент. Инциденты по нашей традиции никогда не остаются без внимания. Им мы даем свою оценку, т.е. уровень критичности. И предоставляем информацию по решению данной задачи.