Построение промышленных сетей традиционно является очень непростой задачей. Промышленные сети выдвигают гораздо большИе требования к надежности сети, здесь недопустимы простои и долгая сходимость сети. Поэтому размышления на тему построения промышленной сети мы начнем с разговора о сетевой топологии.
Если в корпоративной сети мы можем себе позволить сегменты, в которых физически будет использоваться только один сетевой кабель (например, в пользовательских сегментах), то в промышленных сетях мы должны обеспечивать как минимум кольцевую топологию, при которой возможна потеря одного канала связи. А для особо критичных узлов и АСУ ТП лучше всего использовать топологию, обеспечивающую связь “все со всеми”. В таком случае мы можем себе позволить потерю более одного канала связи.
Плохая наследственность
На многих предприятиях промышленные сети что называется выросли из корпоративного сегмента. То есть, сначала в организации построили корпоративную сеть, а потом решили автоматизировать и работу с промышленным оборудованием. В результате и для промышленной и для корпоративной сети используется одно и тоже оборудование, например, коммутаторы ядра, и каналы связи. В результате мы рискуем получить узкие места в производительности каналов связи, единые точки отказа и уязвимую сетевую архитектуру с точки зрения безопасности, ведь злоумышленникам достаточно будет проникнуть на тот же коммутатор ядра, для того, чтобы затем попасть в промышленную сеть.
Также на многих предприятиях можно встретить абсолютно плоскую промышленную сеть. То есть все узлы, от АСУ насосов, передающих только телеметрию и до АСУ плавильных печей, в которых есть управляющие воздействия, находятся в одной сети, например 10.0.0.0/8. И в случае компрометации любого узла в этой промышленной сети злоумышленник сможет без лишних ограничений со стороны сетевого оборудования попасть на любое устройство.
Полагаю, общая проблематика построения промышленных сетей ясна и далее мы можем перейти к построению сетевой инфраструктуры, ориентированной на безопасность.
Сегментация сети
При проектировании промышленных сетей на сегодняшний день рекомендуется использовать архитектуру комплексной защиты, которая сегментирует сетевой трафик на определенные зоны, а затем ограничивает обмен данными между этими зонами только предварительно определенным трафиком. Такая архитектура обеспечивает надежную и своевременную связь в пределах этих зон и ограничивает потенциальный масштаб взлома в любой конкретной зоне.
Сегментация сети предполагает разделение сети на физические или логические зоны с идентичными требованиями к безопасности. Преимущество сегментации сети заключается в том, что каждая секция может быть сосредоточена конкретно на угрозах безопасности, которые исходят от этой секции сети. Использование сегментационного подхода выгодно, поскольку каждое устройство отвечает за определенный сегмент сети, а не за безопасность всей промышленной сети предприятия.
Взаимодействие между зонами
Как только вы определите конкретный трафик, который должен проходить между защищенными зонами, несанкционированный трафик можно будет отфильтровать с помощью промышленных межсетевых экранов. Как правило, рекомендуется вносить трафик, который должен проходить между зонами, в белый список и блокировать весь остальной трафик (принцип, запрещено все, что не разрешено). Здесь есть богатый выбор российских решений, поддерживающих различные промышленные протоколы.
Промышленные брандмауэры, как правило, имеют глубокую проверку пакетов, что позволяет фильтровать промышленные протоколы на более детальном уровне, чем традиционные МЭ. Многие промышленные брандмауэры также имеют прозрачный режим, который позволяет устанавливать их в существующие сети без необходимости перенастройки сетевой IP-схемы.
Но при выборе промышленного межсетевого экрана необходимо, чтобы он поддерживал промышленные протоколы, работающие в вашей сети. Тогда вы сможете разбирать пакеты до уровня приложений и разрешать только конкретные команды.
Про ДМЗ
При подключении промышленных сетей к корпоративной сети еще одной полезной практикой является создание демилитаризованной зоны (DMZ) с межсетевыми экранами. Мы не можем пропускать трафик напрямую из корпоративной в промышленную сеть и наоборот. Вместо этого необходима демилитаризованная зона, в которую будут разрешены входящие соединения. Так как в DMZ нет прямого соединения между промышленной и корпоративной сетью, в ней мы можем разместить ресурсы, доступные для обеих сторон. Например, сервер для обмена файлами.
Безопасный удаленный доступ
Постоянного удаленного доступа в промышленную конечно быть не должно. Здесь инженерам и администраторам придется забыть про удаленку. Однако, часто возникают ситуации, когда временный удаленный доступ необходим например, для решения какой-либо проблемы с оборудованием силами специалистов поддержки вендора. В таком случае нам необходимо прежде всего использовать VPN, желательно с двухфакторной аутентификацией.
Также не лишним будет использование систем PAM (Privileged Access Management) позволяющий управлять и контролировать доступ пользователей к целевым системам. Так, например, с помощью решения СКДПУ мы можем контролировать удаленные подключения пользователей, записывать их RDP/SSH сессии.
Управление сетевой безопасностью
Обеспечение безопасности сети не заканчивается развертыванием. Хорошая политика управления сетевой безопасностью должна обеспечивать безопасность сети на протяжении всего жизненного цикла сети. Хороший инструмент управления сетью необходим для создания и обслуживания такой сети.
На протяжении всего жизненного цикла системы автоматизации местным инженерам часто приходится выполнять техническое обслуживание, например установку обновлений и изменения конфигураций. Начнем с изменений конфигурации. Все изменения в списках доступа на межсетевых экранах должны постоянно контролироваться, чтобы гарантировать соблюдение разработанных политик безопасности с течением времени. Не должно быть ситуаций, когда неизвестно кто, неизвестно когда, добавил то или иное правило в access list. Аналогично с изменениями конфигураций программно-логических контроллеров ПЛК и серверов SCADA. Необходимо еженедельно сравнивать текущую конфигурацию с согласованным образцом, любое изменение это повод для инцидента.
Теперь об установке обновлений. В промышленных сетях инженеры очень не любят устанавливать обновления и на то есть причины. Прежде всего разработчики промышленных систем выдвигают достаточно жесткие требования по совместимости с ОС и прикладным ПО и не все версии могут поддерживаться. Поэтому установив последнее обновление, вы рискуете лишиться поддержки. Ну а помимо проблем с поддержкой также есть банальное опасение в том, что после установки что-то перестанет работать. Однако, критическая уязвимость может привести к компрометации всей промышленной сети. Поэтому в случае невозможности установки критических обновлений необходимо принять компенсирующие меры, например заблокировать порты, через которые можно проэкслуатировать данную уязвимость.
Мониторинг сети
Мониторинг состояния промышленной сети должен включать в себя прежде всего контроль за состоянием сети, обеспечение необходимой пропускной способности каналов связи, загруженности сетевого оборудования и т. д.
Также важным аспектом обеспечения мониторинга является контроль за появлением новых узлов и маршрутов в промышленной сети. Не секрет, что технологические сети достаточно статичны, в них редко появляются новые узлы или маршруты.
Ну а кроме этого необходимо просматривать зеркалируемую копию трафика на наличие признаков подозрительных активностей: сканирований сети, попыток эксплуатации уязвимостей, соединений с бот сетями и т.д.
Эти задачи можно реализовать с помощью специализированных решений, таких как KICS for Networks от Лаборатории Касперского.
Заключение
Завершая эту статью хотелось бы отметить, что для того, чтобы промышленная сеть была безопасной, ее мало построить, необходимо также на регулярной основе выполнять мероприятия по мониторингу и контролю, о которых мы говорили в этой статье.
Также хочу пригласить вас на бесплатный вебинар: "Знакомтесь: его величество STP, великий и ужасный! Или почему этот динозавр до сих пор живее всех живых!?". Регистрация доступна по ссылке.