Основы безопасности промышленных систем управления

В этом документе содержатся рекомендации по созданию безопасных промышленных систем управления (ICS). Эти ICS, которые включают в себя системы контроля и сбора данных (SCADA), распределенные системы управления (DCS) и другие конфигурации систем управления, такие как программируемые логические контроллеры (PLC), часто встречаются в секторах промышленного управления. ICS обычно используются в таких отраслях, как электроэнергетика, водоснабжение и водоотведение, нефть и природный газ, транспорт, химическая, фармацевтическая, целлюлозно-бумажная, пищевая и производство напитков, а также дискретное производство (например, автомобильная, аэрокосмическая и товары длительного пользования).

Системы SCADA обычно используются для управления рассредоточенными активами с использованием централизованного сбора данных и диспетчерского управления. DCS обычно используются для управления производственными системами в пределах локальной области, например, на заводе, с использованием диспетчерского и регулирующего управления. PLC обычно используются для дискретного управления для определенных приложений и, как правило, обеспечивают регулирующее управление. Эти системы управления жизненно важны для работы критически важных инфраструктур США, которые часто являются тесно взаимосвязанными и взаимозависимыми системами.

Важно отметить, что примерно 90 процентов критически важных инфраструктур страны находятся в частной собственности и эксплуатируются. Федеральные агентства также эксплуатируют многие из упомянутых выше ICS; другие примеры включают управление воздушным движением и обработку материалов (например, обработку почты Почтовой службы). В этом документе представлен обзор этих ICS и типичных топологий систем, определены типичные угрозы и уязвимости этих систем и приведены рекомендуемые меры безопасности для снижения связанных с ними рисков. Первоначально ICS мало напоминали традиционные системы информационных технологий (ИТ), поскольку ICS были изолированными системами, работающими по собственным протоколам управления с использованием специализированного оборудования и программного обеспечения. Многие компоненты ICS находились в физически защищенных зонах, и компоненты не были подключены к сетям или системам ИТ. Широко доступные недорогие устройства Интернет-протокола (IP) теперь заменяют собственные решения, что увеличивает вероятность уязвимостей и инцидентов кибербезопасности.

Поскольку ICS принимают ИТ-решения для продвижения возможностей подключения корпоративных бизнес-систем и удаленного доступа, а также разрабатываются и внедряются с использованием стандартных отраслевых компьютеров, операционных систем (ОС) и сетевых протоколов, они начинают напоминать ИТ-системы. Эта интеграция поддерживает новые возможности ИТ, но она обеспечивает значительно меньшую изоляцию ICS от внешнего мира, чем предшествующие системы, создавая большую потребность в защите этих систем. Растущее использование беспроводных сетей подвергает реализации ICS большему риску со стороны злоумышленников, которые находятся в относительно близкой физической близости, но не имеют прямого физического доступа к оборудованию. Хотя решения по безопасности были разработаны для решения этих проблем безопасности в типичных ИТ-системах, необходимо принимать особые меры предосторожности при внедрении этих же решений в среды ICS. В некоторых случаях необходимы новые решения по безопасности, адаптированные к среде ICS. Хотя некоторые характеристики схожи, ICS также имеют характеристики, которые отличаются от традиционных систем обработки информации.

Многие из этих различий вытекают из того факта, что логика, выполняемая в ICS, оказывает прямое влияние на физический мир. Некоторые из этих характеристик включают значительный риск для здоровья и безопасности человеческих жизней и серьезный ущерб окружающей среде, а также серьезные финансовые проблемы, такие как производственные потери, негативное влияние на экономику страны и компрометация конфиденциальной информации. ICS предъявляют уникальные требования к производительности и надежности и часто используют операционные системы и приложения, которые могут считаться нетрадиционными для типичного ИТ-персонала. Кроме того, цели безопасности и эффективности иногда конфликтуют с безопасностью при проектировании и эксплуатации систем управления.

Программы кибербезопасности ICS всегда должны быть частью более широких программ безопасности и надежности ICS как на промышленных объектах, так и на корпоративных программах кибербезопасности, поскольку кибербезопасность имеет важное значение для безопасной и надежной работы современных промышленных процессов. Угрозы системам управления могут исходить из многочисленных источников, включая враждебные правительства, террористические группы, недовольных сотрудников, злонамеренных злоумышленников, сложности, аварии и стихийные бедствия, а также злонамеренные или случайные действия инсайдеров. Цели безопасности ICS обычно следуют приоритету доступности и целостности, за которыми следует конфиденциальность.

Возможные инциденты, с которыми может столкнуться ICS, включают следующее:

 Заблокированный или задержанный поток информации через сети ICS, что может нарушить работу ICS.

 Несанкционированные изменения инструкций, команд или пороговых значений сигналов тревоги, которые могут повредить, вывести из строя или отключить оборудование, создать воздействие на окружающую среду и/или подвергнуть опасности человеческую жизнь.

 Неточная информация, отправленная системным операторам, либо для сокрытия несанкционированных изменений, либо для того, чтобы заставить операторов инициировать ненадлежащие действия, которые могут иметь различные негативные последствия.

 Изменено программное обеспечение ICS или параметры конфигурации, или программное обеспечение ICS заражено вредоносным ПО, что может иметь различные негативные последствия.

 Вмешательство в работу систем защиты оборудования, что может поставить под угрозу дорогостоящее и трудно заменяемое оборудование.

 Вмешательство в работу систем безопасности, что может поставить под угрозу человеческую жизнь.

Основные цели безопасности для внедрения ICS должны включать следующее:

 Ограничение логического доступа к сети ICS и сетевой активности. Это может включать использование однонаправленных шлюзов, архитектуры сети демилитаризованной зоны (DMZ) с брандмауэрами для предотвращения прямого прохождения сетевого трафика между корпоративными сетями и сетями ICS, а также наличие отдельных механизмов аутентификации и учетных данных для пользователей корпоративных сетей и сетей ICS. ICS также должна использовать топологию сети, которая имеет несколько слоев, при этом наиболее важные коммуникации происходят на самом безопасном и надежном слое.

 Ограничение физического доступа к сети и устройствам ICS. Несанкционированный физический доступ к компонентам может вызвать серьезное нарушение функциональности ICS. Следует использовать комбинацию средств контроля физического доступа, таких как замки, считыватели карт и/или охранники.

 Защита отдельных компонентов ICS от эксплуатации. Это включает развертывание исправлений безопасности как можно более быстрым способом после их тестирования в полевых условиях; отключение всех неиспользуемых портов и служб и обеспечение их отключения; ограничение привилегий пользователей ICS только теми, которые требуются для роли каждого человека; отслеживание и мониторинг аудиторских следов; и использование средств контроля безопасности, таких как антивирусное программное обеспечение и программное обеспечение для проверки целостности файлов, где это технически осуществимо, для предотвращения, сдерживания, обнаружения и смягчения вредоносного ПО.

 Ограничение несанкционированного изменения данных. Это включает данные, которые находятся в пути (по крайней мере, через границы сети) и в состоянии покоя.

 Обнаружение событий и инцидентов безопасности. Обнаружение событий безопасности, которые еще не переросли в инциденты, может помочь защитникам разорвать цепочку атак до того, как злоумышленники достигнут своих целей. Это включает в себя возможность обнаружения неисправных компонентов ICS, недоступных служб и исчерпанных ресурсов, которые важны для обеспечения надлежащего и безопасного функционирования ICS.

 Поддержание функциональности в неблагоприятных условиях. Это включает в себя проектирование ICS таким образом, чтобы каждый критический компонент имел избыточный аналог. Кроме того, если компонент выходит из строя, он должен выходить из строя таким образом, чтобы не генерировать ненужный трафик в ICS или других сетях или не вызывать другую проблему в другом месте, например каскадное событие. ICS также должна допускать постепенное снижение производительности, например, переход от «нормальной работы» с полной автоматизацией к «аварийной работе» с большей вовлеченностью операторов и меньшей автоматизацией к «ручному управлению» без какой-либо автоматизации.

 Восстановление системы после инцидента. Инциденты неизбежны, и план реагирования на инциденты необходим. Основной характеристикой хорошей программы безопасности является то, насколько быстро система может быть восстановлена ​​после инцидента. Для надлежащего решения вопросов безопасности в ICS важно, чтобы кросс-функциональная команда по кибербезопасности делилась своими разнообразными знаниями и опытом в области оценки и снижения риска для ICS. Команда по кибербезопасности должна состоять как минимум из члена ИТ-персонала организации, инженера по управлению, оператора системы управления, эксперта по безопасности сетей и систем, члена руководящего состава и члена отдела физической безопасности.

Для обеспечения непрерывности и полноты команда по кибербезопасности должна также консультироваться с поставщиком системы управления и/или системным интегратором. Команда по кибербезопасности должна тесно координировать свои действия с руководством объекта (например, суперинтендантом объекта) и директором по информации (CIO) или директором по безопасности (CSO) компании, который, в свою очередь, принимает на себя полную ответственность и подотчетность за кибербезопасность ICS, а также за любые инциденты безопасности, инциденты надежности или ущерб оборудованию, вызванные прямо или косвенно киберинцидентами.

Эффективная программа кибербезопасности для ICS должна применять стратегию, известную как «глубокая защита», распределяя механизмы безопасности таким образом, чтобы влияние сбоя в любом из механизмов было сведено к минимуму. Организации не должны полагаться на «безопасность через неизвестность».

В типичной ICS это означает стратегию глубокой защиты, которая включает:

 Разработка политик безопасности, процедур, учебных и образовательных материалов, которые применяются конкретно к ICS.  Рассмотрение политик и процедур безопасности ICS на основе уровня угрозы Консультативной системы внутренней безопасности, развертывание все более усиленных мер безопасности по мере повышения уровня угрозы.

 Решение вопросов безопасности на протяжении всего жизненного цикла ICS от проектирования архитектуры до закупки, установки, обслуживания и вывода из эксплуатации.

 Реализация сетевой топологии для ICS, которая имеет несколько уровней, при этом наиболее важные коммуникации происходят на самом безопасном и надежном уровне.

 Обеспечение логического разделения между корпоративными сетями и сетями ICS (например, межсетевые экраны с отслеживанием состояния между сетями, однонаправленные шлюзы).

 Использование сетевой архитектуры DMZ (т. е. предотвращение прямого трафика между корпоративными сетями и сетями ICS).

 Обеспечение избыточности критических компонентов и их нахождения в избыточных сетях.  Проектирование критических систем для постепенной деградации (отказоустойчивости) для предотвращения катастрофических каскадных событий.

 Отключение неиспользуемых портов и служб на устройствах ICS после тестирования, чтобы гарантировать, что это не повлияет на работу ICS.  Ограничение физического доступа к сети и устройствам ICS.  Ограничение привилегий пользователей ICS только теми, которые необходимы для выполнения работы каждого человека (т. е. установление контроля доступа на основе ролей и настройка каждой роли на основе принципа наименьших привилегий).

 Использование отдельных механизмов аутентификации и учетных данных для пользователей сети ICS и корпоративной сети (т. е. учетные записи сети ICS не используют учетные записи пользователей корпоративной сети).

 Использование современных технологий, таких как смарт-карты для проверки личности (PIV).

 Внедрение средств контроля безопасности, таких как программное обеспечение для обнаружения вторжений, антивирусное программное обеспечение и программное обеспечение для проверки целостности файлов, где это технически осуществимо, для предотвращения, сдерживания, обнаружения и смягчения внедрения, воздействия и распространения вредоносного программного обеспечения в ICS, внутри и из ICS.  Применение методов безопасности, таких как шифрование и/или криптографические хэши, к хранилищу данных и коммуникациям ICS, где это сочтено целесообразным.

 Оперативное развертывание исправлений безопасности после тестирования всех исправлений в полевых условиях на тестовой системе, если это возможно, перед установкой на ICS.

 Отслеживание и мониторинг контрольных журналов в критических областях ICS.  Использование надежных и безопасных сетевых протоколов и служб, где это осуществимо. Национальный институт стандартов и технологий (NIST) в сотрудничестве с сообществом ICS государственного и частного секторов разработал конкретное руководство по применению элементов управления безопасностью в Специальной публикации NIST (SP) 800-53, редакция 4, Элементы управления безопасностью и конфиденциальностью для федеральных информационных систем и организаций [22], к ICS. Хотя многие элементы управления в Приложении F NIST SP 800-53 применимы к ICS в том виде, в котором они написаны, многие элементы управления требуют интерпретации и/или дополнения, специфичного для ICS, путем добавления одного или нескольких из следующих элементов управления:  Дополнительное руководство ICS предоставляет организациям дополнительную информацию по применению элементов управления безопасностью и усовершенствованиям элементов управления в Приложении F NIST SP 800 53 к ICS и средам, в которых работают эти специализированные системы.

Дополнительное руководство также содержит информацию о том, почему конкретный контроль безопасности или улучшение контроля могут быть неприменимы в некоторых средах ICS и могут быть кандидатами на адаптацию (т. е. применение руководства по области действия и/или компенсирующих мер контроля). Дополнительное руководство ICS не заменяет исходное Дополнительное руководство в Приложении F NIST SP 800-53.  Улучшения ICS (одно или несколько), которые обеспечивают дополнения к исходному контролю, которые могут потребоваться для некоторых ICS.  Дополнительное руководство по улучшению ICS, которое содержит указания о том, как улучшение контроля применяется или не применяется в средах ICS.