Разведка киберугроз для промышленных предприятий

Антон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского»

Тематика разведки киберугроз для информационных систем активно обсуждается специалистами по ИБ. Что собой представляет такая разведка, и какую помощь она может оказать промышленным предприятиям?

Цели любой разведки – как можно раньше обнаружить признаки угрозы конкретному объекту (государству, компании, человеку) и предоставить соответствующую информацию для принятия оперативных и стратегических решений по обеспечению безопасности. Это же справедливо в отношении разведки киберугроз для промышленных систем.

Внутренняя и внешняя разведка

Киберугрозы могут возникать на разном удалении во времени и пространстве от целевых систем. И чем раньше удастся обнаружить такую угрозу, тем будет больше шансов предотвратить связанные с нею потери и лишние затраты.

Один из рубежей разведки должен находиться непосредственно внутри объектов. Внутренняя разведка заключается в непрерывном всестороннем мониторинге активности в промышленных сетях и системах с целью обнаружения актуальных угроз.

Учитывая специфику промышленных сетей, следует использовать механизмы мониторинга, не создающие проблем для производительности и устойчивости контролируемых систем. Это могут быть специализированные решения по мониторингу аномалий в промышленных протоколах, сетевой активности и атак, системы обнаружения уязвимостей, управления событиями безопасности и др. Исследования, опросы и результаты аудитов показывают, что сейчас промышленные сети редко находятся под контролем такого мониторинга.

Внутренняя разведка угроз, безусловно, очень важна, но это – не единственное направление работы. Необходимо как можно раньше получать информации извне о возникновении и распространении угроз, направленных на конкретный объект или отрасль. Внутренним службам безопасности обычно не под силу самостоятельно искать и анализировать такую информацию, поскольку для обработки огромного объема новых данных требуется высокий уровень автоматизации. Однако получать информацию извне вполне возможно.

Сервисы разведки угроз

Источниками информации для корпоративных служб безопасности могут стать специализированные сервисы разведки угроз Threat Intelligence, уделяющие большое внимание промышленным объектам. Процесс разведки состоит из трех этапов:

  • - сбор данных об угрозах с внешних источников;
  • - обработка и анализ данных;
  • - подготовка релевантных результатов.

Можно ли создать в цифровом мире реально работающую правоохранительную систему, которая гарантирует такую же неотвратимость наказания, и достичь высокого уровня культуры общества, защищающего от противоправных действий лучше полиции? Можно. Вряд ли этого удастся добиться быстро, но работать в данном направлении, безусловно, необходимо.

Внешними источниками данных об угрозах для промышленных систем могут быть:

  • IRC-каналы;
  • Threat-фиды других сервисов;
  • репозитории кода (GitHub, Exploit-db и др.);
  • хакерские форумы (например, deep, dark web);
  • репутационные базы/сервисы (например, Kaspersky Security Network);
  • публичные сервисы (социальные сети, новостные ресурсы и др.);
  • специальные поисковые системы (Shodan, Сensys, Vulners и др.);
  • базы уязвимостей (например, ICS-CERT, CVE);
  • сенсоры, honeypots (Conpot, GasPot, GridPot и др.).

Консолидированная информация с внешних источников должна комплексно характеризовать угрозу, ее источник и объект атаки (в том числе намерения, возможности). После обработки с учетом характеристик, указанных клиентами сервиса, полученная информация непрерывно предоставляется в нескольких формах с разным уровнем детализации, например:

  • глобальные/индустриальные тренды;
  • новые уязвимости в АСУ ТП;
  • новые уязвимости в смежных системах;
  • новые инструменты атак;
  • «вид» организации снаружи;
  • рекомендации по повышению уровня защищенности;
  • рекомендации по новым инструментам защиты;
  • информация об обновлениях промышленных систем;
  • индикаторы компрометации (IOC).

Эта информация не только позволяет оперативно реагировать на угрозы (путем настройки средств защиты), но и может использоваться для стратегического планирования, моделирования угроз, оценки финансирования мер по ИБ.

Обмен информацией

Другим важным источником внешней информации могут стать инициативы по обмену промышленными компаниями информацией об угрозах, инцидентах, эффективных мерах защиты. В России такие инициативы пока не очень распространены, причинами чего являются отсутствие у предприятий доверия, мотивации и боязнь наказаний. Специалисты начнут делиться сведениями, только если обмен информацией:

  • - не будет создавать проблем для их систем (технические детали должны обезличиваться);
  • - не будет порождать угрозу наказания специалистов, а желательно – и станет поощряться регуляторами;
  • - начнет обеспечивать оперативную помощь, например в процессе атаки;
  • - будет приносить информации больше, чем отдается;
  • - станет осуществляться в удобной и понятной электронной форме;
  • - будет реально помогать другим предприятиям, отрасли, государству.

При правильном использовании инструментов разведки угроз, таких как системы мониторинга активности промышленных систем, сервисы разведки угроз и обмен информацией об угрозах, можно всегда быть в курсе потенциальных киберугроз и своевременно на них реагировать.

Тэги: 
Оцените материал:
Total votes: 16

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Название оказалось интереснее содержания. В принципе все логично, но в реале - очередное фентези (замыслы, которые может и будут реализованы но в далеком будущем).

Одновременно расстроил сильно "узкий и однобокий" взгляд на закявленную проблему.

Хотя чему удивляться - очередное подтверждение того, что проблемами ИБ занимаются ит-ки. Реальным потребителям на это попадаться не стоит - пока это путь в тупик.

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.