Инфраструктура нефтегазовой промышленности: требуется активная киберзащита

Такие широкие понятия, как «безопасность» или «защита», уже не годятся для определения различных требуемых подходов. Есть три категории, которые могут помочь сформулировать потребности, связанные с кибербезопасностью: архитектура; пассивная защита; активная защита.

Кибербезопасность – больше, чем модернизация программного обеспечения

Последние модные новинки в индустрии безопасности предлагают быстрые решения и Plug&Play-подходы, но часто не предоставляют обещанный функционал. При использовании этих решений акцентируется внимание на новом и интересном, без понимания того, что безопасность — это прежде всего процесс, требующий индивидуальной проработки под нужды каждой конкретной организации в отдельности. Кроме того, чем пытаться полностью заменить всю систему безопасности, гораздо разумнее опираться на существующие решения и заполнять обнаруженные в ней пробелы. Таким образом, активная защита базируется на правильной организации архитектуры и пассивной защите.

В данном контексте термин «архитектура» обозначает «некоторые процессы и действия, которые используются при разработке системы и поддержке ее работы с учетом требований безопасности». Этот подход включает:

• использование наиболее безопасной реализации протоколов и методов — везде, где это возможно;
• определение и реализация сетевых потоков данных таким образом, чтобы можно было легко реализовать мониторинг входящих и исходящих;
• постоянная модернизация в меру организационных возможностей для всех систем.

Надлежащая архитектура систем, ориентированных на безопасность, — весьма сложная задача. Однако инвестиции именно в эту область значительно увеличивают эффективность пассивной и активной защиты.

Пассивная защита

Пассивная защита — используемое в архитектуре программное или аппаратное обеспечение, которое повышает безопасность системы без постоянного и прямого вмешательства со стороны персонала, даже если время от времени необходимы обновления и настройка. Пассивная безопасность включает в себя такие системы, как файерволы, антивирусные программы, системы обнаружения атаки и их предотвращения, а также внесение программ в так называемые «белые списки». ИТ реализуют множество задач, направленных на эффективное использование пассивной защиты, при этом даже такие простые действия, как ограничение входящих и исходящих соединений, требование к аутентификации от удаленных узлов и поддержка файерволов с фильтрацией входов и выходов, не должны оставаться без внимания.

Активная защита

Правильные инвестиции в разработку и поддержку архитектуры и пассивной защиты также позволяют улучшить и активную защиту.

Активная защита — это процесс, когда персонал подразделения безопасности принимает непосредственное участие в определении и отражении угроз, которым подвергается система. Этот термин иногда некорректно используется, когда речь идет об ответном хакерском ударе или ответной атаке на противника. Такое «понимание», вероятно, возникло вследствие неверного заимствования теории активной защиты из области военной стратегии в область кибербезопасности. Активная защита предполагает предоставление возможности персоналу подразделения безопасности отслеживать инфраструктуру организации, определять угрозы и нейтрализовывать их до того, как они нанесут вред деятельности организации.

Цикл активной киберзащиты (Active Cyber Defense Cycle, ACDC) включает четыре фазы, которые работают совместно для поддержки безопасности, а также отвечают за защищенность и надежность операций:

• оценка вычислительных мощностей и мониторинг сетевой безопасности;
• реагирование на и инциденты и угрозы;
• угроза и ответное манипулирование окружающей средой;
• интеллектуальная оценка угрозы.

Концепция цикла активной киберзащиты не является сложной. Вот некоторые основные рекомендации:

1. Поймите сетевую топологию и то, как ее можно отслеживать на предмет ненормального состояния и симптомов взлома. Непосредственно после выявления истинной угрозы предпримите ответные действия по определению масштабов заражения.
2. Непосредственно после выявления истинной угрозы предприми- те ответные действия по определению масштабов заражения.
3. Перейдите в безопасный режим и, используя анализ вредоносного ПО, соберите всю необходимую информацию и создайте рекомендации для логических и физических изменений в инфраструктуре, которые впоследствии смогут повысить безопасность.
4. Соберите информацию о данной угрозе и сопоставьте ее с внешней или оперативной информацией о подобных угрозах.

Получение данной информации на практике осуществляется в течение самого процесса, что способствует повышению квалификации персонала службы безопасности и учит расценивать защиту не как серию отдельных столкновений с противником, а как длительный процесс персонального роста и внедрения инноваций.

Цикл активной киберзащиты — это единственная стратегия, которая с успехом применяется в области систем промышленного контроля (Industrial Control System, ICS) как в государственном секторе, так и вне его. Существует множество отличительных аспектов систем промышленного контроля, которые ставят персонал службы безопасности в уникальное положение для эффективного и продуктивного выполнения данной стратегии.

Вероятно, особый интерес может представлять обсуждение в деталях каждой из фаз цикла активной защиты, а также рассмотрение технического руководства по внедрению данной стратегии. Мы планируем продолжить публикации на данную тему.