Архитектура безопасности промышленных систем управления
При проектировании сетевой архитектуры для развертывания промышленных систем управления обычно рекомендуется отделить сеть ICS от корпоративной сети. Характер сетевого трафика в этих двух сетях различен: доступ в Интернет, FTP, электронная почта и удаленный доступ, как правило, разрешены в корпоративной сети, но не должны быть разрешены в сети промышленных систем управления. В корпоративной сети могут отсутствовать строгие процедуры контроля изменений сетевого оборудования, конфигурации и программного обеспечения. Если сетевой трафик ICS передается по корпоративной сети, он может быть перехвачен или подвергнут атакам DoS или Man-in-the-Middle [5.14]. При наличии отдельных сетей проблемы безопасности и производительности в корпоративной сети не должны влиять на сеть промышленных систем управления. Из практических соображений, таких как стоимость установки промышленных систем управления или обслуживания однородной сетевой инфраструктуры, часто требуется подключение между ICS и корпоративными сетями. Такое подключение представляет собой значительный риск для безопасности и должно быть защищено устройствами защиты границ. Если необходимо подключить сети, настоятельно рекомендуется разрешить только минимальное количество (по возможности одиночных) подключений и осуществлять их через брандмауэр и демилитаризованную зону. Демилитаризованная зона — это отдельный сегмент сети, который подключается непосредственно к брандмауэру. Серверы, содержащие данные из промышленных систем управления, к которым необходимо получить доступ из корпоративной сети, размещены в этом сегменте сети. Только эти системы должны быть доступны из корпоративной сети. При любых внешних подключениях должен быть разрешен минимальный доступ через брандмауэр, включая открытие только портов, необходимых для конкретной связи. В следующих разделах подробно рассматриваются эти архитектурные соображения. Рабочая группа по рекомендуемой практике ICS-CERT предоставляет дополнительные рекомендации в качестве рекомендуемой практики.
Сегментация и разделение сети
В этом разделе рассматривается разделение промышленных систем управления на домены безопасности и отделение промышленных систем управления от других сетей, таких как корпоративная сеть, а также представлена наглядная архитектура безопасности. Необходимо провести анализ операционных рисков, чтобы определить критические элементы каждой сети и операции ICS и помочь определить, какие части ICS необходимо сегментировать. Сегментация сети предполагает разделение сети на более мелкие сети. Например, одна крупная сеть промышленных систем управления разделена на несколько сетей промышленных систем управления, где разделение основано на таких факторах, как полномочия управления, единая политика и уровень доверия, функциональная критичность и объем коммуникационного трафика, который пересекает границы домена. Сегментация и разделение сети — это одна из наиболее эффективных архитектурных концепций, которую организация может реализовать для защиты своих микросхем. Сегментация устанавливает домены безопасности, или анклавы, которые обычно определяются как управляемые одним и тем же органом, применяющим одну и ту же политику и имеющие одинаковый уровень доверия. Сегментация может свести к минимуму способ и уровень доступа к конфиденциальной информации, коммуникациям промышленных систем управления и конфигурации оборудования, а также значительно затруднить работу злоумышленника в киберпространстве и может сдерживать последствия незлокачественных ошибок и несчастных случаев. Практическим фактором при определении домена безопасности является объем коммуникационного трафика, который пересекает границу домена, поскольку защита домена обычно включает в себя проверку трафика на границе и определение того, разрешен ли он. Цель сегментации и разделения сети состоит в том, чтобы свести к минимуму доступ к конфиденциальной информации для тех систем и людей, которые в ней не нуждаются, и при этом обеспечить дальнейшую эффективную работу организации. Этого можно достичь с помощью ряда методов и технологий в зависимости от архитектуры и конфигурации сети.
Традиционно сегментация и разделение сети осуществляется на шлюзе между доменами. Среды ICS часто имеют несколько четко определенных доменов, таких как операционные локальные сети, управляющие локальные сети и операционные DMZ-зоны, а также шлюзы, ведущие в другие, не связанные с ICS, и менее надежные домены, такие как Интернет и корпоративные локальные сети. При рассмотрении инсайдерских атак, социальной инженерии, мобильных устройств и других уязвимостей и предрасполагающих условий, описанных в приложении C, защита доменных шлюзов является разумной и заслуживающей внимания. Сетевая сегрегация предполагает разработку и обеспечение соблюдения набора правил, определяющих, какие виды связи разрешены через границу. Правила обычно основаны на идентификационных данных источника и получателя, а также на типе или содержании передаваемых данных. Правильно реализуя сегментацию и разделение сети, вы минимизируете способы и уровень доступа к конфиденциальной информации. Этого можно достичь с помощью различных технологий и методов. В зависимости от архитектуры и конфигурации вашей сети, некоторые из распространенных технологий и методов включают в себя: Логическое разделение сети с помощью шифрования или секционирование с помощью сетевых устройств. o Виртуальные локальные сети (VLAN). o Зашифрованные виртуальные частные сети (VPN) используют криптографические механизмы для разделения трафика, объединенного в одной сети. o Однонаправленные шлюзы ограничивают обмен данными между подключениями в одном направлении, тем самым сегментируя сеть. Физическое разделение сети для полного предотвращения любой взаимосвязанности трафика между доменами. Фильтрация сетевого трафика, которая может использовать различные технологии на различных сетевых уровнях для обеспечения соблюдения требований безопасности доменов. o Фильтрация на сетевом уровне, которая ограничивает, какие системы могут взаимодействовать с другими пользователями сети на основе IP-адреса и информации о маршруте. o Фильтрация на основе состояния, которая ограничивает, какие системы могут взаимодействовать с другими пользователями сети на основе их предполагаемой функции или текущего состояния работы. o Фильтрация на уровне портов и/или протоколов, которая ограничивает количество и тип служб, которые каждая система может использовать для взаимодействия с другими пользователями в сети. o Фильтрация приложений, которая обычно фильтрует содержимое сообщений между системами на прикладном уровне. Это включает в себя брандмауэры прикладного уровня, прокси-серверы и фильтры на основе содержимого. Некоторые производители выпускают продукты для фильтрации протоколов промышленных систем управления на прикладном уровне, которые они продают как брандмауэры промышленных систем управления. Независимо от технологии, выбранной для реализации сегментации и разделения сети, существуют четыре общие темы, которые реализуют концепцию глубокой защиты, обеспечивая качественную сегментацию и разделение сети: Применяйте технологии не только на сетевом уровне. Каждая система и сеть должны быть по возможности сегментированы и изолированы друг от друга, начиная с уровня канала передачи данных и заканчивая прикладным уровнем включительно. Используйте принципы наименьших привилегий и необходимой информации. Если системе не нужно взаимодействовать с другой системой, это не должно быть разрешено. Если системе необходимо взаимодействовать только с другой системой по определенному порту или протоколу и ни с чем другим, или ей необходимо передать ограниченный набор помеченных данных или данных фиксированного формата, это должно быть ограничено как таковое.
Разделяйте информацию и инфраструктуру в зависимости от требований безопасности. Это может включать использование различного оборудования или платформ, основанных на различных средах угроз и риска, в которых работает каждая система или сегмент сети. Наиболее важные компоненты требуют более строгой изоляции от других компонентов. В дополнение к разделению сети, для достижения требуемой изоляции можно использовать виртуализацию. Внедрите внесение в белый списк12 вместо внесения в черный список, то есть предоставьте доступ к заведомо полезному, а не запрещайте доступ к заведомо плохому. Набор приложений, которые запускаются в ICS, по сути, статичен, что делает внесение в белый список более практичным. Это также улучшит возможности организации по анализу файлов журналов.
Защита границ
Устройства защиты границ контролируют поток информации между взаимосвязанными доменами безопасности, защищая ICS от вредоносных киберпреступников, а также от незлокачественных ошибок и несчастных случаев. Передача информации между системами, представляющими разные домены безопасности с разными политиками безопасности, сопряжена с риском нарушения одной или нескольких политик безопасности домена. Устройства защиты границ являются ключевыми компонентами конкретных архитектурных решений, обеспечивающих соблюдение определенных политик безопасности. Организации могут изолировать ICS и компоненты бизнес-системы, выполняющие различные задачи и/или бизнес-функции. Такая изоляция ограничивает несанкционированные информационные потоки между компонентами системы, а также предоставляет возможность повысить уровень защиты выбранных компонентов. Разделение компонентов системы с помощью механизмов защиты границ обеспечивает возможность повышенной защиты отдельных компонентов и более эффективного управления информационными потоками между этими компонентами. Средства защиты границ включают шлюзы, маршрутизаторы, брандмауэры, средства защиты, сетевые системы анализа вредоносных кодов и виртуализации, системы обнаружения вторжений (сетевые и на базе хостов), зашифрованные туннели, управляемые интерфейсы, почтовые шлюзы и однонаправленные шлюзы (например, data diodes). Устройства защиты границ определяют, разрешена ли передача данных, часто путем изучения данных или связанных с ними метаданных. Архитекторы безопасности сетей и промышленных систем управления должны решить, каким доменам будет разрешено прямое взаимодействие, политики, регулирующие разрешенное взаимодействие, устройства, которые будут использоваться для обеспечения соблюдения политики, и топологию для подготовки и реализации этих решений, которые обычно основаны на доверительных отношениях между доменами. Доверие предполагает степень контроля, которую организация имеет над внешним доменом (например, другим доменом в той же организации, поставщиком услуг по контракту, Интернетом). Устройства защиты границ расположены в соответствии с архитектурой безопасности организации. Общей архитектурной конструкцией являются демилитаризованные зоны (DMZ), хост или сегмент сети, размещенный в качестве “нейтральной зоны” между доменами безопасности. Его цель — обеспечить соблюдение политики информационной безопасности домена промышленных систем управления для обмена внешней информацией и предоставить внешним доменам ограниченный доступ, одновременно защищая домен ICS от внешних угроз. Дополнительные архитектурные соображения и функции, которые могут выполняться устройствами защиты границ для междоменных коммуникаций, включают:
Запрещение трафика связи по умолчанию и разрешение трафика связи в виде исключения (т.е. запрещать все, разрешать в виде исключения). Политика запрета на все, разрешения трафика связи в виде исключения гарантирует, что разрешены только те соединения, которые одобрены. Это называется политикой белого списка. Внедрение прокси-серверов, которые выступают в качестве посредника для внешних доменов, запрашивающих ресурсы информационной системы (например, файлы, соединения или службы) из домена промышленных систем управления. Внешние запросы, установленные при первоначальном подключении к прокси-серверу, оцениваются для управления сложностью и обеспечения дополнительной защиты путем ограничения прямого подключения. Предотвращение несанкционированной утечки информации. Методы включают, например, брандмауэры с глубокой проверкой пакетов и XML-шлюзы. Эти устройства проверяют соответствие форматам протоколов и спецификациям на прикладном уровне и служат для выявления уязвимостей, которые не могут быть обнаружены устройствами, работающими на сетевом или транспортном уровнях. Ограниченное количество форматов, особенно запрет на использование текста в произвольной форме в электронной почте, упрощает использование таких методов на границах ICS. Связь между авторизованными и прошедшими проверку подлинности парами адресов источника и получателя может осуществляться только одной или несколькими организациями, системами, приложениями и отдельными лицами. Распространение концепции демилитаризованной зоны на другие отдельные подсети полезно, например, для изоляции промышленных систем управления, чтобы злоумышленники не могли обнаружить методы анализа и криминалистической экспертизы организаций. Обеспечение контроля физического доступа для ограничения авторизованного доступа к компонентам промышленных систем управления. Сокрытие сетевых адресов компонентов ICS от обнаружения (например, сетевой адрес не публикуется или не вводится в системы доменных имен), что требует предварительной информации для доступа. Отключение служб управления и устранения неполадок и протоколов, особенно тех, которые используют широковещательные сообщения, что может облегчить исследование сети. Настройка устройств защиты границ на сбой в заданном состоянии. Предпочтительные состояния сбоя для промышленных систем управления включают балансировку нескольких факторов, включая безопасность. Настройка доменов безопасности с отдельными сетевыми адресами (т.е. в виде несвязанных подсетей). Отключение обратной связи (например, в недвусмысленном режиме) с отправителями при сбое в формате проверки протокола, чтобы предотвратить получение информации злоумышленниками. Реализация одностороннего обмена данными, особенно между различными доменами безопасности. Организация пассивного мониторинга сетей ICS для активного обнаружения аномальных соединений и предоставления предупреждений.
Брандмауэры
Сетевые брандмауэры — это устройства или системы, которые контролируют поток сетевого трафика между сетями, использующими различные подходы к обеспечению безопасности. В большинстве современных приложений брандмауэры и межсетевые экраны рассматриваются в контексте подключения к Интернету и набора протоколов UDP/IP. Однако брандмауэры применимы в сетевых средах, которые не включают или не требуют подключения к Интернету. Например, многие корпоративные сети используют брандмауэры для ограничения подключения к внутренним сетям, обслуживающим более важные функции, такие как бухгалтерия или отдел кадров. Брандмауэры могут дополнительно ограничить взаимодействие между подсетями промышленных систем управления между подсетями и устройствами функциональной безопасности. Используя брандмауэры для контроля подключения к этим областям, организация может предотвратить несанкционированный доступ к соответствующим системам и ресурсам в наиболее уязвимых областях. Существует три основных класса брандмауэров: Брандмауэры с фильтрацией пакетов. Самый простой тип брандмауэра называется пакетным фильтром. Брандмауэры с пакетным фильтром — это, по сути, устройства маршрутизации, которые включают в себя функции контроля доступа к системным адресам и сеансам связи. Контроль доступа регулируется набором директив, которые в совокупности называются набором правил. В своей основной форме пакетные фильтры работают на уровне 3 (сеть) системы Open Systems Interconnection (OSI), модель ISO/IEC 7498. Брандмауэр этого типа проверяет основную информацию в каждом пакете, такую как IP-адреса, на соответствие набору критериев перед отправкой пакета. В зависимости от типа пакета и критериев брандмауэр может отбросить пакет, переслать его или отправить сообщение отправителю. Брандмауэр такого типа может обеспечить высокий уровень безопасности, но может привести к накладным расходам и задержкам в работе сети. Брандмауэры с отслеживанием состояния. Брандмауэры с отслеживанием состояния — это пакетные фильтры, которые обеспечивают дополнительную осведомленность о данных модели OSI на уровне 4 (транспортном). Брандмауэры с отслеживанием состояния фильтруют пакеты на сетевом уровне, определяют, являются ли пакеты сеанса законными, а также оценивают содержимое пакетов на транспортном уровне (например, TCP, UDP). Проверка с отслеживанием состояния отслеживает активные сеансы и использует эту информацию для определения того, следует ли пересылать пакеты или блокировать их. Она обеспечивает высокий уровень безопасности и хорошую производительность, но может быть более дорогостоящей и сложной в администрировании. Для приложений промышленных систем управления могут потребоваться дополнительные наборы правил. Брандмауэры шлюза прокси-сервера приложений. Этот класс брандмауэров проверяет пакеты на прикладном уровне и фильтрует трафик на основе определенных правил приложения, таких как определенные приложения (например, браузеры) или протоколы (например, FTP). Брандмауэры такого типа могут быть очень эффективны в предотвращении атак на службы удаленного доступа и настройки, предоставляемые компонентами ICS. Они обеспечивают высокий уровень безопасности, но могут привести к накладным расходам и задержкам в работе сети, что может быть неприемлемо в среде ICS. NIST SP 800-41 Revision 1, Руководство по брандмауэрам и политике брандмауэра [85], содержит общие рекомендации по выбору брандмауэров и политик брандмауэра. В среде промышленных систем управления брандмауэры чаще всего развертываются между сетью промышленных систем управления и корпоративной сетью [34]. Правильно настроенные, они могут значительно ограничить нежелательный доступ к главным компьютерам и контроллерам системы управления и с них, тем самым повышая безопасность. Они также потенциально могут повысить оперативность реагирования управляющей сети за счет удаления из сети несущественного трафика. При правильном проектировании, настройке и обслуживании специализированные аппаратные брандмауэры могут внести значительный вклад в повышение безопасности современных сред ICS. Брандмауэры предоставляют несколько инструментов для обеспечения соблюдения политики безопасности, которые невозможно реализовать локально на текущем наборе устройств управления технологическими процессами, доступных на рынке, включая возможность: Блокировать все соединения, за исключением специально разрешенных соединений между устройствами в незащищенной локальной сети и защищенных сетях промышленных систем управления. Блокировка может быть основана, например, на парах IP-адресов источника и назначения, службах, портах, состоянии соединения и указанных приложениях или протоколах, поддерживаемых брандмауэром. Блокировка может осуществляться как для входящих, так и для исходящих пакетов, что полезно для ограничения передачи данных с высокой степенью риска, таких как электронная почта. Обеспечьте безопасную аутентификацию всех пользователей, желающих получить доступ к сети промышленных систем управления. Существует возможность гибкого использования различных уровней защиты методов аутентификации, включая простые пароли, сложные пароли, технологии многофакторной аутентификации, токены, биометрические данные и смарт-карты. Выберите конкретный метод, основанный на уязвимости сети промышленных систем управления, которую необходимо защитить, вместо использования метода, доступного на уровне устройства.
Принудительная авторизация получателя. Доступ пользователей может быть ограничен, и им может быть разрешен доступ только к узлам управляющей сети, необходимым для выполнения их рабочих функций. Это снижает вероятность того, что пользователи намеренно или случайно получат доступ к устройствам, на которые они не авторизованы, и смогут управлять ими, но усложняет обучение сотрудников на рабочем месте. Записывайте поток информации для мониторинга трафика, анализа и обнаружения вторжений. Разрешить ICS внедрять операционные политики, соответствующие ICS, но которые могут быть неуместны в ИТ-сети, например, запретить использование менее защищенных средств связи, таких как электронная почта, и разрешить использование легко запоминаемых имен пользователей и групповых паролей. Должны быть спроектированы с документально подтвержденными и минимальными (по возможности единичными) подключениями, которые позволяют отключать сеть ICS от корпоративной сети, если такое решение будет принято, во время серьезных киберинцидентов. Другие возможные варианты развертывания включают использование брандмауэров на базе хоста или небольших автономных аппаратных брандмауэров перед отдельными устройствами управления или работающих на них. Использование брандмауэров на основе отдельных устройств может привести к значительным затратам на управление, особенно при управлении изменениями конфигураций брандмауэра, однако такая практика также упростит отдельные наборы правил настройки. Существует несколько проблем, которые необходимо решить при развертывании брандмауэров в средах ICS, в частности, следующие: Возможное увеличение задержки при обмене данными с системой управления. Отсутствие опыта в разработке наборов правил, подходящих для промышленного применения. Брандмауэры, используемые для защиты систем управления, должны быть настроены таким образом, чтобы они по умолчанию не пропускали ни входящий, ни исходящий трафик. Конфигурацию по умолчанию следует изменять только в том случае, если необходимо разрешить подключение к доверенным системам или из них для выполнения авторизованных функций промышленных систем управления. Брандмауэры требуют постоянной поддержки, технического обслуживания и резервного копирования. Необходимо пересмотреть наборы правил, чтобы убедиться, что они обеспечивают адекватную защиту в свете постоянно меняющихся угроз безопасности. Следует контролировать возможности системы (например, объем хранилища журналов брандмауэра), чтобы убедиться, что брандмауэр выполняет свои задачи по сбору данных и на него можно положиться в случае нарушения безопасности. Мониторинг брандмауэров и других датчиков безопасности в режиме реального времени необходим для быстрого обнаружения киберинцидентов и принятия ответных мер на них.
Логически разделенная сеть управления
Сеть ICS должна быть, как минимум, логически отделена от корпоративной сети физически отдельными сетевыми устройствами. В зависимости от конфигурации сети промышленных систем управления необходимо предусмотреть дополнительное разделение для систем безопасности (например, физического мониторинга и контроля доступа, дверей, шлагбаумов, камер, VoIP, считывателей карт доступа), которые часто являются частью сети ICS или используют ту же коммуникационную инфраструктуру для удаленных объектов. Когда требуется подключение к корпоративной сети: Между сетью ICS и корпоративной сетью должны быть задокументированы минимальные (по возможности одиночные) точки доступа. Избыточные (т.е. резервные) точки доступа, если они имеются, должны быть задокументированы. Брандмауэр с отслеживанием состояния между сетью ICS и корпоративной сетью должен быть настроен таким образом, чтобы блокировать весь трафик, за исключением явно разрешенного. Правила брандмауэра должны, как минимум, обеспечивать фильтрацию источника и назначения (т.е. фильтрацию по MAC-адресу для управления доступом к мультимедиа), в дополнение к фильтрации портов по протоколу TCP и пользовательских дейтаграмм (UDP), а также фильтрацию по типу и коду протокола интернет-сообщений (ICMP).
Приемлемым подходом к обеспечению связи между сетью промышленных систем управления и корпоративной сетью является внедрение промежуточной сети DMZ. Демилитаризованная зона должна быть подключена к брандмауэру таким образом, чтобы между корпоративной сетью и демилитаризованной зоной, а также сетью ICS и демилитаризованной зоной могла осуществляться определенная (ограниченная) связь. Корпоративная сеть и сеть промышленных систем управления не должны напрямую взаимодействовать друг с другом. Этот подход описан в разделах 5.5.4 и 5.5.5. Дополнительная безопасность может быть достигнута путем внедрения виртуальной частной сети (VPN) между ICS и внешними сетями.
Разделение сетей
Сети ICS и корпоративные сети могут быть разделены для повышения кибербезопасности с использованием различных архитектур. В этом разделе описывается несколько возможных архитектур и объясняются преимущества и недостатки каждой из них. Пожалуйста, обратите внимание, что цель диаграмм в разделе 5.5 — показать расположение брандмауэров для разделения сети. Показаны не все устройства, которые обычно находятся в сети управления или корпоративной сети. В разделе 5.6 приведены рекомендации по рекомендуемой архитектуре комплексной защиты.
Компьютер с двумя сетевыми интерфейсами (NIC)
Компьютеры с двумя сетевыми интерфейсами могут передавать сетевой трафик из одной сети в другую. Компьютер без надлежащего контроля безопасности может представлять дополнительную угрозу. Чтобы предотвратить это, никакие системы, кроме брандмауэров, не должны быть настроены как двухуровневые, охватывающие как управляющую, так и корпоративную сети. Все соединения между сетью управления и корпоративной сетью должны осуществляться через брандмауэр. Такая конфигурация не обеспечивает повышения безопасности и не должна использоваться для объединения сетей (например, ICS и корпоративных сетей).
Брандмауэр между корпоративной сетью и сетью управления
Благодаря использованию простого двухпортового брандмауэра между корпоративной сетью и сетью управления, как показано на рисунке 5.1, можно добиться значительного повышения безопасности. Правильно настроенный брандмауэр значительно снижает вероятность успешной внешней атаки на сеть управления. К сожалению, при такой конструкции по-прежнему остаются две проблемы. Во-первых, если хранилище данных находится в корпоративной сети, брандмауэр должен разрешать хранилищу данных взаимодействовать с устройствами управления в сети управления. Пакет, исходящий от вредоносного или неправильно настроенного хоста в корпоративной сети (который, по-видимому, является хранилищем данных), будет перенаправлен на отдельные ПЛК/контроллеры домена.
Если хранилище данных находится в сети управления, должно существовать правило брандмауэра, позволяющее всем хостам предприятия взаимодействовать с хранилищем. Как правило, такое взаимодействие осуществляется на прикладном уровне в виде запросов на языке структурированных запросов (SQL) или протоколе передачи гипертекста (HTTP). Ошибки в коде прикладного уровня historian могут привести к компрометации historian. Как только historian скомпрометирован, остальные узлы в сети управления становятся уязвимыми для распространения червя или интерактивной атаки. Другая проблема, связанная с наличием простого брандмауэра между сетями, заключается в том, что могут быть сконструированы поддельные пакеты, которые могут повлиять на управляющую сеть, потенциально позволяя туннелировать скрытые данные по разрешенным протоколам. Например, если HTTP-пакеты пропускаются через брандмауэр, то троянское программное обеспечение, случайно внедренное в HMI или ноутбук control network, может управляться удаленным объектом и отправлять данные (например, перехваченные пароли) этому объекту под видом законного трафика. Таким образом, хотя эта архитектура является значительным улучшением по сравнению с несегрегированной сетью, она требует использования правил брандмауэра, которые обеспечивают прямую связь между корпоративной сетью и сетевыми устройствами управления. Это может привести к возможным нарушениям безопасности, если не будет тщательно продумано и контролироваться [35].
Брандмауэр и маршрутизатор между корпоративной сетью и сетью управления
Несколько более сложная схема, показанная на рисунке 5.2, заключается в использовании комбинации маршрутизатора и брандмауэра. Маршрутизатор находится перед брандмауэром и предлагает базовые услуги фильтрации пакетов, в то время как брандмауэр обрабатывает более сложные проблемы, используя методы проверки состояния или прокси-сервера. Этот тип конструкции очень популярен в брандмауэрах, ориентированных на Интернет, поскольку он позволяет более быстрому маршрутизатору обрабатывать большую часть входящих пакетов, особенно в случае DoS-атак, и снижает нагрузку на брандмауэр. Это также обеспечивает улучшенную защиту, поскольку злоумышленник должен обойти два разных устройства [35].
Брандмауэр с демилитаризованной зоной между корпоративной сетью и сетью управления
Значительным улучшением является использование брандмауэров с возможностью создания демилитаризованной зоны между корпоративной сетью и сетью управления. Каждая демилитаризованная зона содержит один или несколько критически важных компонентов, таких как хранилище данных, беспроводная точка доступа или системы удаленного и стороннего доступа. По сути, использование брандмауэра с поддержкой демилитаризованной зоны позволяет создать промежуточную сеть. Для создания демилитаризованной зоны требуется, чтобы брандмауэр предлагал три или более интерфейса, а не обычные общедоступный и частный интерфейсы. Один из интерфейсов подключен к корпоративной сети, второй — к сети управления, а остальные интерфейсы подключены к общим или незащищенным устройствам, таким как сервер хранения данных или точки беспроводного доступа в сети демилитаризованной зоны. Рекомендуется внедрить непрерывный мониторинг входящего и выходящего трафика в демилитаризованной зоне. Кроме того, рекомендуется использовать наборы правил брандмауэра, которые разрешают только те соединения между сетью управления и демилитаризованной зоной, которые инициируются устройствами сети управления. На рисунке 5-3 приведен пример такой архитектуры.
При размещении корпоративных компонентов в демилитаризованной зоне не требуется прямых каналов связи от корпоративной сети к сети управления; каждый путь фактически заканчивается в демилитаризованной зоне. Большинство брандмауэров могут поддерживать несколько демилитаризованных зон и могут указывать, какой тип трафика может быть перенаправлен между зонами. Как показано на рисунке 5-3, брандмауэр может блокировать попадание произвольных пакетов из корпоративной сети в сеть управления, а также регулировать трафик из других сетевых зон, включая сеть управления. Благодаря хорошо спланированным наборам правил можно обеспечить четкое разделение между сетью управления и другими сетями, при этом трафик, проходящий непосредственно между корпоративной сетью и сетью управления, будет незначительным или вообще не будет проходить. Если сервер управления исправлениями, антивирусный сервер или другой сервер безопасности будет использоваться для сети управления, он должен быть расположен непосредственно в демилитаризованной зоне. Обе функции могут находиться на одном сервере. Управление исправлениями и антивирусами, выделенное для сети управления, позволяет выполнять контролируемые и безопасные обновления, которые могут быть адаптированы к уникальным потребностям среды промышленных систем управления. Это также может быть полезно, если антивирусный продукт, выбранный для защиты промышленных систем управления, отличается от антивирусного продукта, используемого для корпоративной сети. Например, если произошел инцидент с вредоносным ПО и один антивирусный продукт не смог обнаружить или остановить вредоносное ПО, вполне вероятно, что такой возможностью может обладать другой продукт. Основная угроза безопасности при таком типе архитектуры заключается в том, что если компьютер в демилитаризованной зоне будет скомпрометирован, то он может быть использован для запуска атаки на сеть управления через трафик приложений, разрешенный для передачи из демилитаризованной зоны в сеть управления. Этот риск может быть значительно снижен, если предпринять согласованные усилия по усилению защиты и активному исправлению серверов в демилитаризованной зоне и если набор правил брандмауэра разрешает только те соединения между управляющей сетью и демилитаризованной зоной, которые инициируются устройствами управляющей сети. Другими проблемами, связанными с этой архитектурой, являются дополнительная сложность и потенциальное увеличение стоимости брандмауэров с несколькими портами. Однако для более важных систем повышенная безопасность должна с лихвой компенсировать эти недостатки [35].
Спаренные брандмауэры между корпоративной сетью и сетью управления
Вариантом брандмауэра с решением DMZ является использование пары брандмауэров, расположенных между корпоративной сетью и сетью промышленных систем управления, как показано на рисунке 5-4. Общие серверы, такие как хранилище данных, расположены между брандмауэрами в сетевой зоне, подобной DMZ, которую иногда называют уровнем производственной системы управления (MES). Как и в описанных ранее архитектурах, первый брандмауэр блокирует передачу произвольных пакетов в управляющую сеть или в общие хранилища. Второй брандмауэр может предотвратить попадание нежелательного трафика со взломанного сервера в управляющую сеть и предотвратить воздействие сетевого трафика управления на общие серверы.
Если используются брандмауэры двух разных производителей, то это решение может дать преимущество. Оно также позволяет группе управления и ИТ-группе четко разделить ответственность за устройства, поскольку каждая из них может самостоятельно управлять брандмауэром, если в организации принято соответствующее решение. Основным недостатком архитектуры с двумя брандмауэрами является повышенная стоимость и сложность управления. Для сред с жесткими требованиями к безопасности или необходимостью четкого разделения функций управления эта архитектура имеет ряд существенных преимуществ.
Краткое описание разделения сети
Таким образом, компьютеры с двумя домами, как правило, не обеспечивают надлежащей изоляции между сетями управления и корпоративными сетями. Двухзонные решения (без DMZ) не рекомендуются, поскольку они обеспечивают слабую защиту. При их использовании следует соблюдать особую осторожность. Наиболее безопасные, управляемые и масштабируемые архитектуры сетей управления и сегрегации корпоративных сетей, как правило, основаны на системе, состоящей как минимум из трех зон, включающих одну или более демилитаризованных зон.
Рекомендуемая архитектура с углубленной защитой
Один продукт, технология или решение для обеспечения безопасности не могут обеспечить адекватную защиту промышленных систем управления сами по себе. Желательно использовать многоуровневую стратегию, включающую два (или более) различных перекрывающихся механизма безопасности, метод, также известный как «глубокая защита», чтобы свести к минимуму последствия сбоя в любом механизме. Стратегия комплексной архитектуры защиты включает в себя использование брандмауэров, создание демилитаризованных зон, возможности обнаружения вторжений, а также эффективные политики безопасности, программы обучения, механизмы реагирования на инциденты и физическую безопасность. Кроме того, эффективная стратегия глубокой защиты требует тщательного понимания возможных направлений атак на ICS. К ним относятся: Бэкдоры и дыры в периметре сети. Уязвимости в распространенных протоколах. Атаки на полевые устройства. Атаки на базы данных. Перехват коммуникаций и атаки типа ‘человек посередине’. Подменяющие атаки. Атаки на привилегированные и/или общие учетные записи. На рисунке 5-5 показана стратегия комплексной защиты архитектуры промышленных систем управления, разработанная Комитетом по рекомендуемой практике Программы безопасности систем управления DHS (CSSP) NCCIC/ICS-CERT 13, как описано в документе «Кибербезопасность систем управления: стратегии комплексной защиты» [36]. Дополнительные подтверждающие документы, которые охватывают конкретные проблемы и связанные с ними меры по их устранению, также размещены на сайте. Документ «Кибербезопасность систем управления: стратегии углубленной защиты» содержит рекомендации по разработке стратегий углубленной защиты для организаций, использующих сети систем управления, при сохранении многоуровневой информационной архитектуры, которая требует: Обслуживания различных полевых устройств, сбора телеметрии и/или технологических систем промышленного уровня. Доступ к объектам через удаленный канал передачи данных или модем. Услуги общего пользования для клиентов или корпоративных операций. Эта стратегия включает в себя брандмауэры, использование демилитаризованных зон и возможности обнаружения вторжений во всей архитектуре промышленных систем управления. Использование нескольких демилитаризованных зон, показанных на рис. 5.5, обеспечивает дополнительные возможности для разделения функций и привилегий доступа и оказалось очень эффективным при защите крупных архитектур, состоящих из сетей с различными операционными полномочиями. При развертывании систем обнаружения вторжений применяются различные наборы правил и сигнатуры, уникальные для каждого отслеживаемого домена.
Общие политики брандмауэра для промышленных систем управления
После создания архитектуры комплексной защиты начинается работа по определению того, какой именно трафик должен быть разрешен через брандмауэры. Настройка брандмауэров на запрещение всего трафика, за исключением трафика, который абсолютно необходим для бизнес-нужд, является основной предпосылкой каждой организации, но в реальности все гораздо сложнее. Что именно означает выражение “абсолютно необходимо для бизнеса” и каковы последствия пропуска такого трафика для безопасности? Например, многие организации рассматривали возможность пропуска SQL-трафика через брандмауэр в соответствии с требованиями бизнеса для многих серверов хранения данных. К сожалению, уязвимость SQL также стала мишенью для червя Slammer [Таблица C-8. Примеры враждебных инцидентов]. Многие важные протоколы, используемые в промышленном мире, такие как HTTP, FTP, OPC/DCOM, EtherNet/IP и Modbus/TCP, имеют значительные уязвимости в системе безопасности. В оставшемся материале этого раздела кратко излагаются некоторые ключевые моменты из руководства по внедрению брандмауэра Центра защиты национальной инфраструктуры (CPNI) для сетей SCADA и управления технологическими процессами: Руководство по эффективной практике [35]. При установке единого двухпортового брандмауэра без DMZ для общих серверов (т.е. архитектуры, описанной в разделе 5.5.2), необходимо проявлять особую осторожность при разработке правил. Как минимум, все правила должны быть правилами с отслеживанием состояния, которые зависят как от IP-адреса, так и от порта (приложения). Адресная часть правил должна ограничивать входящий трафик очень небольшим набором совместно используемых устройств (например, хранилищем данных) в управляющей сети с контролируемого набора адресов в корпоративной сети. Не рекомендуется разрешать доступ к серверам внутри управляющей сети с любых IP-адресов в корпоративной сети. Кроме того, разрешенные порты должны быть строго ограничены относительно безопасными протоколами, такими как Hypertext Transfer Protocol Secure (HTTPS). Пропуск HTTP, FTP или других незащищенных протоколов через брандмауэр представляет угрозу безопасности из-за возможности перехвата и модификации трафика. Следует добавить правила, запрещающие хостам, находящимся за пределами сети управления, инициировать соединения с хостами в сети управления. Правила должны позволять только устройствам, расположенным внутри сети управления, устанавливать соединения за пределами сети управления. С другой стороны, если используется архитектура DMZ, то можно настроить систему таким образом, чтобы трафик не проходил напрямую между корпоративной сетью и сетью управления. За некоторыми особыми исключениями (отмеченными ниже) весь трафик с обеих сторон может завершаться на серверах в демилитаризованной зоне. Это обеспечивает большую гибкость протоколов, разрешенных через брандмауэр. Например, Modbus/TCP может использоваться для обмена данными между PLCs и хранилищем данных, в то время как HTTP может использоваться для обмена данными между хранилищем и корпоративными клиентами. Оба протокола по своей сути небезопасны, но в данном случае их можно использовать безопасно, поскольку ни один из них фактически не пересекает две сети. Расширением этой концепции является идея использования “непересекающихся” протоколов во всех коммуникациях между сетью управления и корпоративной сетью. То есть, если протокол разрешен между сетью управления и демилитаризованной зоной, то он явно запрещен между демилитаризованной зоной и корпоративной сетью. Такая конструкция значительно снижает вероятность того, что такой червь, как Slammer, действительно проникнет в управляющую сеть, поскольку червю придется использовать два разных эксплойта по двум разным протоколам. Одной из областей, в которой существуют значительные различия на практике, является контроль исходящего трафика из управляющей сети, который может представлять значительный риск, если им не управлять. Одним из примеров является программное обеспечение-троян, использующее туннелирование HTTP для использования плохо определенных правил исходящего трафика. Таким образом, важно, чтобы исходящие правила были такими же строгими, как и входящие. Например, правила исходящего трафика включают в себя: Исходящий трафик через брандмауэр сети управления должен быть ограничен только необходимыми коммуникациями и должен быть ограничен разрешенным трафиком, исходящим с серверов DMZ. Весь исходящий трафик из сети управления в корпоративную сеть должен быть ограничен источником и получателем в зависимости от службы и порта. В дополнение к этим правилам брандмауэр должен быть настроен на фильтрацию исходящих данных, чтобы предотвратить выход поддельных IP-пакетов из управляющей сети или демилитаризованной зоны. На практике это достигается путем сверки IP-адресов источника исходящих пакетов с соответствующим адресом сетевого интерфейса брандмауэра. Цель состоит в том, чтобы предотвратить использование управляющей сети в качестве источника поддельных (т.е. поддельных подделок) сообщений, которые часто используются при DoS-атаках. Таким образом, брандмауэры должны быть настроены на пересылку IP-пакетов только в том случае, если эти пакеты имеют правильный исходный IP-адрес для сети управления или сетей DMZ. И, наконец, настоятельно не рекомендуется использовать доступ в Интернет для устройств в сети управления.
Таким образом, в качестве рекомендуемой практики для общих наборов правил брандмауэра следует рассматривать следующее: Базовым набором правил должно быть запретить все, не разрешать ничего. Порты и службы между сетевой средой управления и корпоративной сетью должны быть включены, а разрешения должны предоставляться в каждом конкретном случае. Должно быть задокументировано бизнес-обоснование с анализом рисков и указано ответственное лицо за каждый разрешенный входящий или исходящий поток данных. Все правила “разрешения” должны быть привязаны как к IP-адресу, так и к порту TCP/UDP, а также, при необходимости, к состоянию. Все правила должны ограничивать трафик определенным IP-адресом или диапазоном адресов. Трафик не должен проходить напрямую из сети управления в корпоративную сеть. Весь трафик должен заканчиваться в демилитаризованной зоне. Любой протокол, разрешенный между сетью управления и демилитаризованной зоной, должен быть явно запрещен между сетью управления и корпоративными сетями (и наоборот). Весь исходящий трафик из сети управления в корпоративную сеть должен быть ограничен источником и пунктом назначения с помощью службы и порта. Исходящие пакеты из сети управления или демилитаризованной зоны должны быть разрешены только в том случае, если эти пакеты имеют правильный IP-адрес источника, назначенный устройствам сети управления или демилитаризованной зоны. Устройствам сети управления не должен быть разрешен доступ в Интернет. Управляющие сети не должны быть напрямую подключены к Интернету, даже если они защищены брандмауэром. Весь трафик управления брандмауэром должен передаваться либо по отдельной защищенной сети управления (например, внеполосной), либо по зашифрованной сети с многофакторной аутентификацией. Трафик также должен быть ограничен по IP-адресу для определенных станций управления. Все политики брандмауэра должны периодически проверяться. Перед вводом в эксплуатацию необходимо создать резервную копию всех брандмауэров. Эти рекомендации следует рассматривать только как рекомендации. Перед внедрением любых наборов правил брандмауэра необходимо тщательно оценить каждую среду управления.
Рекомендуемые правила брандмауэра для конкретных служб
Помимо общих правил, описанных выше, сложно сформулировать универсальные правила для конкретных протоколов. Потребности и рекомендуемые методы работы для каждого конкретного протокола значительно различаются в разных отраслях и должны анализироваться в каждой отдельной организации. Ассоциация открытых сетей промышленной автоматизации (IAONA) предлагает шаблон для проведения такого анализа [37], оценивающий каждый из протоколов, обычно используемых в промышленных средах, с точки зрения функциональности, риска для безопасности, воздействия в худшем случае и предлагаемых мер. В этом разделе кратко изложены некоторые ключевые моменты из документа IAONA. Читателю рекомендуется непосредственно ознакомиться с этим документом при разработке наборов правил.
Система доменных имен (DNS)
Система доменных имен (DNS) в основном используется для преобразования доменных имен в IP-адреса. Например, DNS может сопоставить доменное имя, такое как control.com, с IP-адресом, таким как 192.168.1.1. Большинство интернет-сервисов в значительной степени зависят от DNS, но в настоящее время его использование в сети управления относительно редкое. В большинстве случаев нет особых причин разрешать запросы DNS из сети управления в корпоративную сеть и нет причин разрешать запросы DNS в сеть управления. Запросы DNS из сети управления в DMZ следует рассматривать в каждом конкретном случае. Рекомендуется использовать локальный DNS или файлы хоста.
Протокол передачи гипертекста (HTTP)
HTTP — это протокол, лежащий в основе служб просмотра веб-страниц в Интернете. Как и DNS, он имеет решающее значение для большинства интернет-служб. Он все чаще используется на предприятиях, а также в качестве универсального инструмента для запросов. К сожалению, он не обладает достаточной степенью защиты, и многие HTTP-приложения имеют уязвимости, которыми можно воспользоваться. HTTP может быть транспортным механизмом для многих атак, выполняемых вручную, и автоматических червей. В целом, не следует допускать, чтобы HTTP переходил из общедоступной/корпоративной сети в сеть управления. Если веб-технологии абсолютно необходимы, следует применять следующие рекомендации: Контролировать доступ к веб-сервисам на физическом или сетевом уровне с помощью белого списка; Применять контроль доступа как к источнику, так и к получателю; Внедрять авторизацию для доступа к сервису на прикладном уровне (вместо проверки на физическом или сетевом уровнях); Реализуйте сервис, используя только необходимые технологии (например, скрипты используются только в том случае, если они необходимы); Проверьте сервис в соответствии с известными методами обеспечения безопасности приложений; Регистрируйте все попытки использования сервиса ; и Используйте HTTPS, а не HTTP, и только для определенных авторизованных устройств.
FTP и обычный протокол передачи файлов (TFTP)
Для передачи файлов между устройствами используются FTP и Trivial File Transfer Protocol (TFTP). Они реализованы практически на всех платформах, включая многие SCADA-системы, контроллеры доменного имени, ПЛК и RTU, поскольку они очень хорошо известны и используют минимальную вычислительную мощность. К сожалению, ни один из протоколов не был создан с учетом соображений безопасности; для FTP пароль для входа в систему не зашифрован, а для TFTP вход вообще не требуется. Кроме того, в некоторых реализациях FTP есть уязвимости, связанные с переполнением буфера. В результате все TFTP-соединения должны быть заблокированы, в то время как FTP-соединения должны быть разрешены только для исходящих сеансов или при обеспечении дополнительной многофакторной аутентификации на основе токенов и зашифрованного туннеля. По возможности следует использовать более безопасные протоколы, такие как защищенный протокол FTP (SFTP) или защищенное копирование (SCP).
Telnet
Протокол telnet определяет интерактивный текстовый сеанс связи между клиентом и хостом. Он используется в основном для удаленного входа в систему и простых служб управления системами с ограниченными ресурсами или системами с ограниченными потребностями в обеспечении безопасности. Это представляет серьезную угрозу безопасности, поскольку весь трафик telnet, включая пароли, не зашифрован, и это может позволить удаленному пользователю осуществлять значительный контроль над устройством. Для удаленного администрирования рекомендуется использовать протокол Secure Shell (SSH) [5.8.6]. Входящие сеансы telnet из корпоративной сети в сеть управления должны быть запрещены, если они не защищены многофакторной аутентификацией на основе токенов и зашифрованным туннелем. Исходящие сеансы telnet должны быть разрешены только через зашифрованные туннели (например, VPN) для определенных авторизованных устройств.
Протокол динамической настройки хоста (DHCP)
DHCP используется в IP-сетях для динамического распределения параметров конфигурации сети, таких как IP-адреса для интерфейсов и служб. Базовый DHCP не содержит механизма аутентификации серверов и клиентов. Вредоносные DHCP-серверы могут предоставлять неверную информацию клиентам. Неавторизованные клиенты могут получить доступ к серверу и привести к исчерпанию доступных ресурсов (например, IP-адресов). Чтобы предотвратить это, рекомендуется использовать статическую конфигурацию вместо динамического распределения адресов, что должно быть типичной конфигурацией для устройств промышленных систем управления. Если необходимо динамическое распределение, рекомендуется включить функцию отслеживания DHCP для защиты от несанкционированного доступа к DHCP-серверам, протоколу разрешения адресов (ARP) и подмены IP-адресов. DHCP-серверы следует размещать в том же сегменте сети, что и настроенное оборудование (например, на маршрутизаторе). Ретрансляция DHCP не рекомендуется.
Защищенная оболочка (SSH)
SSH обеспечивает удаленный доступ к устройству. Он обеспечивает безопасную аутентификацию и авторизацию на основе криптографии. Если требуется удаленный доступ к управляющей сети, рекомендуется использовать SSH в качестве альтернативы telnet, rlogin, rsh, rcp и другим небезопасным инструментам удаленного доступа.
Мониторинг, ведение журнала и аудит
Архитектура безопасности ICS также должна включать механизмы мониторинга, регистрации и аудита действий, происходящих в различных системах и сетях. Мониторинг, ведение журнала и аудит необходимы для понимания текущего состояния промышленных систем управления, подтверждения того, что система работает должным образом и что никакие нарушения политики или киберинциденты не препятствовали работе системы. Мониторинг сетевой безопасности полезен для определения нормального состояния микросхем и может указывать на скомпрометированные системы в случае сбоя технологий, основанных на сигнатурах. Кроме того, для устранения неполадок и проведения любого необходимого криминалистического анализа системы необходимы тщательный мониторинг системы, ведение журнала и аудит.
Обнаружение инцидентов, реагирование на них и восстановление системы
Инциденты неизбежны, поэтому необходимы планы по их обнаружению, реагированию на них и восстановлению системы. Основными характеристиками хорошей программы обеспечения безопасности являются то, как скоро после возникновения инцидента может быть обнаружен инцидент и как быстро система может быть восстановлена после обнаружения инцидента. Реагирование на инциденты в ICS тесно связано с аварийным восстановлением, в частности, для обеспечения строгих требований к времени безотказной работы промышленных систем управления. Специалисты по реагированию на инциденты должны быть обучены работе в сценариях, специфичных для промышленных систем управления, поскольку обычные методы восстановления ИТ-систем могут быть неприменимы к промышленным системам управления.