Всем привет! Меня зовут Егор Куликов, я руковожу направлением безопасности КИИ и АСУ ТП в К2 Кибербезопасность.
В этой статье мои коллеги Марат Сафин, эксперт направления безопасности КИИ и АСУ ТП, и Анна Добрянская, системный аналитик, собрали рекомендации по организации безопасного удаленного доступа в КИИ для реальной киберзащиты и выполнения требований ИБ-регуляторов.
Информационная безопасность критических информационных инфраструктур (КИИ) — это одно из самых сложных направлений, с которыми мы работаем. Сюда подпадают организации из 14 сфер деятельности: ТЭК, металлургическая, горнодобывающая, химическая промышленность, здравоохранение, транспорт и т.д. Уровень защиты КИИ влияет не только на организации, но и на самые разные слои населения. К тому же их кибербезопасность находится на особом контроле госорганов и подпадает под усиленные требования законодательства: от импортозамещения всех средств защиты, до регулирования выполнения конкретных процессов. Например, использования удаленного доступа, без которого сегодня трудно представить работу любой организации, но который при недостаточной защищенности является одним главных каналов для кибератак.
Зачем вообще КИИ удаленный доступ
Удаленный доступ актуален для организаций любых сфер, т.к. позволяет сотрудникам разных уровней и специальностей подключаться к компьютеру или какой-либо другой системе без необходимости посещать конкретное рабочее место или объект. Для промышленных объектов и АСУ ТП удаленный доступ актуален в первую очередь для оперативного устранения каких-либо сбоев, а также для сервисного обслуживания и мониторинга.
Во-первых, многие промышленные объекты зачастую находятся в отдаленности от городов, иногда 100+ км. Хороших специалистов заманить переехать в деревню нереально, выезжать на место каждый раз — это сложно и занимает лишнее время, требует дополнительного бюджета. Поэтому возникает потребность в удаленных подключениях.
Во-вторых, это сервисное обслуживание АСУ ТП на аутсорсе. Например, ежемесячная/ежеквартальная проверка логов, записей архивов, графиков и т.д. Или, например, оказание услуг по мониторингу событий безопасности. Мы рекомендуем всю инфраструктуру и сервисы, в т.ч. для КИИ, делать обособленно от корпоративной сети предприятия, т.к. именно с ней связано подавляющее большинство случаев компрометации. Внешний злоумышленник традиционно попадает сначала в корпоративную среду. Будь то из-за уязвимости периметрового МСЭ или VPN, или reverse shell, который запустил бухгалтер, открыв вложение из почты. Вариантов тут много. После этого злоумышленник может закрепиться в сети, эскалировать права до администратора домена и т.д. Если здесь же используются средства управления защитой КИИ, то все пропало. Или, если вы используете услуги SOC и у вас есть отдельная SIEM для КИИ, то аналитикам также будет нужен удаленный доступ.
Незащищенные/нелегитимные/забытые каналы удаленного доступа — одна из главных лазеек для злоумышленников. Ведь по факту это общий доступ к системе управления средствами защиты информации или самими АСУ ТП из-за пределов локальной среды безопасности. Незашифрованный канал может облегчить взлом. И здесь уже риски могут быть самыми разными: репутационными перед клиентами и партнерами, денежными из-за простоя производства, риски уголовной ответственности из-за невыполнения требований законодательства.
Нюансы законодательства по удаленному доступу в КИИ
Импортозамещение. Как уже было указано выше, кибербезопасность КИИ особо контролируется госорганами. Согласно требованию Указа Президента № 250, до конца 2024 года все субъекты КИИ должны были полностью отказаться от всех услуг и продуктов по защите информации от вендоров из «недружественных» стран. А в совокупности с требованиями Указа Президента № 166 некоторые субъекты должны полностью отказаться от использования импортного ПО на ЗОКИИ. Согласно нашему опросу рынка, больше половины (59%) были не готовы выполнить это требование в необходимые сроки.
Что же касается средств организации и защиты удаленного доступа, то они должны быть не просто от отечественных разработчиков или разработчиков из дружественных стран, но и сертифицированными, о чем речь пойдет ниже.
Удаленный доступ в КИИ. Вдобавок к импортозамещению до недавнего времени у нас не было уверенности насколько удаленный доступ вообще легитимен в КИИ.
В п. 31 Приказа ФСТЭК № 239 прописано, что в КИИ не допускается наличие удаленного доступа к программным и программно-аппаратным средствам, в т. ч. средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ. Также в этом пункте обозначены организационные и технические меры по обеспечению безопасности удаленного доступа, которые должен принять субъект КИИ в случае технической невозможности исключения удаленного доступа.
Учитывая вышесказанное было неясно:
В какого рода случаях исключение удаленного доступа может считаться невозможным?
Возможно ли реализовать удаленный доступ для подрядчиков, если их постоянное пребывание на физических площадках субъекта КИИ невозможно в связи с их отдаленностью.
За разъяснением мы обратились во ФСТЭК России и получили от них такой ответ (суть):
Удаленный доступ — это доступ к объектам КИИ, осуществляемый с использованием сетей связи общего пользования. При этом, в случае использования виртуальных частных сетей с сертифицированными средствами криптографической защиты информации (СКЗИ) и при обеспечении реализации мер по обеспечению безопасности значимых объектов КИИ на подключаемом удаленном автоматизированном рабочем месте, такое подключение не рассматривается как удаленное.
Вывод более простыми словами — в случае необходимости удаленного доступа к объектам КИИ, такой доступ должен осуществляться с использованием технологии виртуальных частных сетей с сертифицированными СКЗИ, а удаленное рабочее место, с которого осуществляется такой доступ, должно отвечать требованиям по безопасности значимых ОКИИ.
Рекомендации по защите удаленного доступа в КИИ
1. Ограничение программной среды
Любой персональный компьютер, через который будет производиться удаленный доступ, — это априори грязная зона. У нас нет никаких гарантий ответственности его владельца: установлено ли у него антивирусное ПО, насколько регулярно оно обновляется и проводятся ли регулярные проверки. И даже это не доказывает, что система не скомпрометирована. Мы не знаем, кто и как еще использует домашний компьютер пользователя.
Мы считаем, что лучшая практика здесь — использовать доверенные загрузочные оболочки. Такое сертифицированное решение есть, например, у компании Аладдин Р.Д. — Aladdin LiveOffice, которое обеспечивает защиту удаленного доступа с личных устройств пользователей при подключении к ресурсам предприятия. По сути, это загрузочный токен с доверенной рабочей оболочкой, которая программно никак не соприкасается с оболочкой домашней ОС пользователя. В эту рабочую среду нельзя ничего загрузить и нельзя ничего скачать из нее. Помимо взаимодействия человека с данной средой, любое другое информационное воздействие отсутствует. Это позволяет максимально эффективно отсечь все угрозы безопасности, которые может представлять оболочка домашней ОС пользователя при удаленном подключении к объекту КИИ.
Удаленное подключение осуществляется с использованием VPN. В загрузочный токен вшивается VPN-клиент сертифицированного СКЗИ, который используется на периметре сети предприятия. Первым этапом пользователь подключается к сети предприятия. Вторым — запускает терминальный клиент, с которым подключается уже к целевым ресурсам.
Таким образом, данное решение убивает сразу двух зайцев — во-первых, обеспечивает защиту каналов связи, а во-вторых, обеспечивает эффективное ограничение программной среды.
Ранее для подобных задач часто использовались решения класса NAC (Network Access Control), которые проверяли домашнюю оболочку ОС пользователя на предмет выполнения политик безопасности, наличия САВЗ, его актуальности, настройки и конфигурации сети, отсутствия запрещенного ПО и т.п. Но подобные решения сложнее во внедрении и поддержке, и все равно не гарантируют отсутствия каких-либо непредусмотренных способов скомпрометировать систему.
2. Контроль действий привилегированных пользователей
Это одна из приоритетных технических мер для безопасности информации при удаленных подключениях к объектам КИИ. Она направлена на противодействие угрозам, которые могут исходить уже в том числе и от самих пользователей, подключающихся удаленно к инфраструктуре предприятия.
Сейчас на рынке доступны отечественные решения класса PAM, которые можно использовать в соответствии с требованиями указов по импортозамещению. Например, решения СКДПУ НТ от компании АйТи Бастион и Indeed PAM от компании Индид.
Решения подобного класса позволяют осуществлять мониторинг действий удаленных пользователей, записывать и хранить все их действия в рамках сеансов удаленных подключений, выполнять анализ вводимых команд и при необходимости автоматически разрывать удаленные сессии при срабатывании определенных правил. Кроме того, функционалом решений класса PAM дополнительно можно ограничить использование буфера обмена (как в обе стороны, так и в одну из двух, в зависимости от задачи), что также поможет отсечь большой пласт рисков, связанных с попаданием вредоносного ПО внутрь защищаемого контура.
3. Выделение периодов удаленной работы
Зачастую удаленные подключения к объектам требуются далеко не в режиме 24/7. Например, в период планового технического обслуживания со стороны сервисной организации или, когда требуется выполнить какую-либо донастройку по запросу эксплуатационного персонала АСУ ТП. В таком случае одним из эффективных решений будет выделение заранее согласованного периода удаленной работы. Тогда открытие необходимых портов на периметровом МСЭ (криптошлюзе) будет осуществляться только на это согласованное время. Это может существенно сузить возможности как для разведки уязвимостей на открытых сокетах, так и для осуществления самой атаки в том случае, если уязвимости все же будут найдены.
На уровне настроек вышеобозначенных решений класса PAM также можно ограничить временные периоды, в которые будет разрешен доступ к целевым ресурсам для удаленных пользователей.
4. Использование двух устройств от разных вендоров
В случае, если потенциальный злоумышленник будет обладать уязвимостью нулевого дня для периметрового криптошлюза или межсетевого экрана, то при наличии на периметре предприятия второго устройства от другого вендора, это не приведет к проникновению. Тогда потенциальному злоумышленнику необходимо будет обладать уже двумя уязвимостями, что значительно усложняет его задачу. Но и схема подключения удаленного пользователя в этом случае также усложняется. Тут у каждого свой баланс между безопасностью и удобством. В этом смысле одним из вариантов может быть отказ от использования на периметре предприятия решений 2-в-1, когда один ПАК выполняет функционал и криптошлюза, и межсетевого экрана. В случае, если это будут два разных устройства, да еще и от разных вендоров, то это тоже существенно усложнит цепочку возможной атаки, чем если бы это было одно устройство с использованием двойного функционала.
5. Двухфакторная аутентификация
Двухфакторная аутентификация существенно снижает риски безопасности в случае компрометации паролей удаленных пользователей.
Когда-то одним из самых популярных продуктов данного класса был Microsoft Azure 2FA. Но это решение в современных условиях уже не подходит под требования ИБ-законодательства (тем более в КИИ), да и Microsoft продолжает отключать свои сервисы для российского рынка.
На текущий момент из наиболее популярных отечественных решений данного класса можно выделить Indeed AM и Aladdin JAS. Оба решения имеют сертификаты ФСТЭК, поддерживают наиболее востребованные типы генерации и доставки второго фактора и интеграции с инфраструктурными сервисами, в т.ч. со службами каталога.
Вывод
КИИ остается одним из самых сложных направлений для киберзащиты, являясь при этом одной из самых приоритетных целей для злоумышленников. Риски за недостаточную информационную безопасность КИИ стоят не просто перед компанией, но лично перед ответственными сотрудниками. При этом количество атак и их сложность активно растут. А удаленный доступ — один из самых уязвимых каналов.
Наша главная рекомендация по защите удаленного доступа в КИИ — комплексность. Помимо применения безусловных мер по защите самого канала связи, необходимо, во-первых, максимально снизить риски проникновения, используя современные эффективные способы ограничения программной среды. Во-вторых, обеспечить применение решений класса PAM. Ну, и в-третьих, проверить свои средства защиты и процессы на соответствие требованиям регуляторов и следить за нововведениями в законодательство.
