Технические статьи 2017

Как вы справляетесь с рисками безопасности?

Новости

Технические статьи

Россия и СНГ
Контакты для представителей СМИ

Маркетинговые коммуникации
Анна Оганян
Специалист по маркетингу Россия и СНГ
Тел.: +7 495 956 04 64

Подписаться на Automation Today

Узнайте последние новости в области автоматизации и о решениях компании Rockwell Automation

Июль 2017

Как вы справляетесь с рисками сетевой безопасности?Как вы справляетесь с рисками сетевой безопасности?


Эти передовые методы проектирования и выбора продукции, которые помогут инженерам и IT-специалистам защитить интеллектуальную собственность и производство.


Тенденция соединять все заслуживающие внимания устройства в единую, непрестанно растущую сеть неуклонно набирает обороты. С каждым новым подключением возрастают информационные риски и увеличиваются масштабы угрозы, которые охватывают уже не одно устройство, а всю систему, с которой оно соединено.

Цифровые данные, перемещающиеся в этих сложных системах, могут упрощать финансовые транзакции, на которых основывается деятельность организации, или же быть незаменимой составляющей в управлении критически важными процессами, механическим оборудованием или инфраструктурными системами, служащими как компании, так и тем, кто от нее зависит. Поэтому кибербезопасность — это не вопрос желания, а необходимость для любой системы, подключенной к сети.

Сделайте свою часть работы


Сотрудничество — первый шаг на пути к безопасному будущему. Если правила непрактичны или накладывают слишком много ограничений, операторы могут обходить их, несмотря на средства технического контроля. Совместная работа над разработкой политики безопасности компании значительно повышает вероятность того, что сотрудники будут ее соблюдать.

Для создания безопасной среды также необходимо выполнить ряд процедурных и технологических действий. Хорошая программа безопасности на 20 % состоит из технологий и на 80 % — из процессов и процедур. Эти процессы и процедуры, наряду с кадровой политикой компании, не имеют отношения к технической стороне безопасности.

Проанализировав свой протокол реализации безопасности, вы сможете выявить уязвимости, определить степень их важности и разработать комплексную стратегию по минимизации рисков. Хотя решения для обеспечения безопасности отличаются в зависимости от типа, серьезности и последствий уязвимостей, владельцам активов следует всегда применять стратегию эшелонированной защиты (DiD).


Стратегия эшелонированной защиты


Защита промышленных активов требует применения принципа эшелонированной защиты, направленной как на внутренние, так и на внешние угрозы безопасности. Архитектура эшелонированной защиты основана на постулате, что любой отдельный механизм защиты можно преодолеть, и это вероятнее всего произойдет. В этом подходе используется несколько отдельных уровней защиты (физических, электронных и процедурных), реализованных за счет применения соответствующих средств управления, направленных на борьбу с различными типами рисков.

Например, использование нескольких уровней сетевой безопасности помогает защитить сетевые активы, данные и конечные точки подключения точно так же, как использование нескольких уровней физической защиты помогает защитить ценные физические активы. Это дает следующие результаты.

  • Безопасность системы проектируется как часть ее инфраструктуры и превращается в ряд уровней общей сетевой безопасности.
  • Нарушителям трудно пробить или обойти все уровни безопасности, оставшись незамеченными
  • Слабые стороны или недостатки на одном уровне могут компенсироваться сильными сторонами, возможностями или новыми параметрами других уровней безопасности
  • Эшелонированная защита — это пятиуровневый подход, в котором центральное внимание уделяется физической, сетевой и компьютерной безопасности, а также безопасности приложений и устройств

Физическая безопасность включает охрану, ворота и прочие средства физической защиты.

Сетевая безопасность представляет собой инфраструктуру, оснащенную различными аппаратными элементами, такими как брандмауэры, системы обнаружения и предотвращения вторжений (IDS/IPS) и сетевое оборудование общего назначения, например управляемые коммутаторы и маршрутизаторы с настройками безопасности. Зонирование позволяет установить доверенные домены для защищенного доступа и сформировать малые локальные сети (LAN) для организации сетевого трафика и управления им.

Национальный институт стандартов и технологий США (NIST 800-82), Министерство внутренней безопасности США (DHS INL/EXT-06-11478) и Международная электротехническая комиссия (IEC 624433 — ранее ISA99) продолжают работу в сфере промышленной безопасности и промышленных систем управления (ISC). Как и в случае со многими другими стандартами, указанные документы имеют некоторые различия, а варианты их использования варьируются в зависимости от конкретной реализации и области применения.

Однако в отношении безопасности общими для всех стандартов являются два основных аспекта защиты операций: использование сетевой сегментации (т. е. зон и каналов, см. иллюстрацию) и эшелонированной защиты. Компания Rockwell Automation рекомендует включать в стратегию безопасности оба эти аспекта.

Сегментирование сетиНа этом уровне владельцам активов необходимо следовать «принципу кратчайшего пути». Эта идея, основанная на принципе минимальных полномочий, используемом в IT, помогает направлять пользователей, предоставляя доступ только к тем данным и ресурсам, которые необходимы для конкретной работы каждого оператора. Это ограничивает количество путей входа в систему безопасности, усложняя проникновение в нее.

Хорошо известные (и опубликованные) уязвимости программного обеспечения — основной способ, с помощью которого нарушители получают доступ к системам автоматизации. Примеры повышения защищенности компьютеров включают:

  • Антивирусное программное обеспечение
  • Белые списки приложений
  • Локальные системы обнаружения вторжений (HIDS) и другие решения по обеспечению безопасности конечных устройств
  • Удаление неиспользуемых приложений, протоколов и служб
  • Закрытие ненужных портов

Компьютеры, расположенные в цехах, например интерфейсы оператора (HMI) или промышленные компьютеры, подвержены рискам поражения вредоносными программами, в том числе вирусами и троянами. Для дополнительной защиты от компьютерных рисков можно совмещать указанные методы повышения защищенности с практикой установки исправлений программного обеспечения. Для снижения рисков выполняйте следующие рекомендации.

  • Отключите на компьютерах службы автоматического обновления программного обеспечения
  • Составьте опись приложений, а также версий и выпусков программного обеспечения на целевых компьютерах
  • Подпишитесь на рассылку исправлений от поставщика программного обеспечения и следите за ними для обеспечения совместимости исправлений
  • Получайте исправления и новые версии программного обеспечения непосредственно от поставщика
  • Перед повсеместным применением проводите предварительную проверку всех исправлений на нерабочих системах, не являющихся критически важными
  • Планируйте установку исправлений и обновлений версий, а также составьте план действий на случай непредвиденных обстоятельств

Безопасностью приложений называется процесс применения приложений промышленных систем управления для обеспечения безопасности. Сюда входят применение передовых методов, таких как использование системы управления доступом на основе ролей для осуществления принципа минимального использования или минимальных полномочий для блокирования доступа к функциям критически важных процессов, принудительное использование имени пользователя/пароля для входа в систему и их сочетание. Такая детализация применительно к приложениям промышленных систем управления повышает общий уровень безопасности среды, позволяя сократить количество отклонений. Результатом является более стабильная и защищенная система.

Повышение защищенности устройств включает изменение стандартной конфигурации встроенного устройства, заданной по умолчанию, для повышения его защищенности. Среди прочего, к таким встроенным устройствам относятся программируемые контроллеры автоматизации (PAC), маршрутизаторы, управляемые коммутаторы и брандмауэры. Их стандартный уровень защищенности различается в зависимости от класса и типа устройства, что впоследствии будет влиять на количество работы, необходимой для повышения уровня защищенности конкретного устройства.

Стратегия эшелонированной защиты для аппаратного обеспечения


Когда дело касается выбора правильных товаров и услуг, некоторые владельцы активов спрашивают у своего поставщика средств автоматизации, соответствует ли тот или иной продукт требованиям определенного стандарта. Хотя стандарты безопасности важны, большинство из них применяется к системе, а не к конкретным продуктам. От продуктов может требоваться (или не требоваться) соответствие отдельным положениям стандартов, но соответствие всему набору положений необходимо редко. Следует сосредоточиться на системе и применять к выбираемым продуктам стратегию эшелонированной защиты. Этот процесс начинается с активации функций защиты от несанкционированного доступа, которая встроена во многие продукты. Сюда входят установка переключателя с ключом на контроллер для обеспечения физической безопасности, использование замков на центральном процессоре для предотвращения несанкционированного доступа, применение меток чтения/записи и закрытие доступа пользователей к функциональным блокам главного контроллера. В некоторых контроллерах можно также заблокировать задание дополнительных инструкций (AOI).

Следует также подтверждать подлинность встроенного программного обеспечения с помощью цифровых подписей. Дополнительные средства контроля могут включать внедрение функций безопасности инфраструктуры и приложений; использование служб каталогов Microsoft Active Directory; ограничение доступа компьютеров к приложениям, сетям, а также к конфигурациям и данным в устройствах автоматизации с помощью соответствующих настроек брандмауэра и использование систем обнаружения вторжений. Для управления доступом пользователей можно использовать списки контроля доступа (ACL) 3 уровня.

Это реально


Суровая реальность нашего единого цифрового мира заключается в том, что абсолютной безопасности не бывает. Однако это ни в коем случае не означает, что борьба не имеет смысла. Сети проектируются людьми с добрыми намерениями, чтобы упростить связь и защитить то, что нуждается в защите. Передовые методы и рекомендации помогут вам активно управлять рисками безопасности как сегодня, так и в будущем. [МЕТКА КОНЦА]

Используйте принцип эшелонированной защиты, создающий барьер между зоной производства и зоной предприятия, позволяющий безопасно обмениваться данными и сервисами.

О компании Rockwell Automation


Rockwell Automation, Inc. (NYSE: ROK), крупнейшая в мире компания в сфере промышленной автоматизации и информатизации, повышает производительность своих заказчиков и способствует устойчивому развитию в мире. Головной офис Rockwell Automation находится в Милуоки, шт. Висконсин США, штат сотрудников составляет приблизительно 22 000 человек, которые работают с заказчиками более чем в 80 странах мира.

Для получения дополнительной информации, пожалуйста, свяжитесь с пресс-центром.

Внимание: материалы, размещенные на данной странице, могут быть использованы для публикаций.