Журнал "Information Security/ Информационная безопасность" #4, 2022

Наиболее опасной угро- зой для любого бизнеса являются квалифицирован- ные злоумышленники, вла- деющие различными мето- дами взлома, способные реализовать сложные кибератаки. Необходимо выявлять кибератаки на ранних этапах развития и своевременно реагировать на инциденты. Примером реализации технологии однонаправлен- ной передачи данных могут выступать "диоды", выпус- каемые компанией АМТ- ГРУП под брендом InfoDiode. InfoDiode имеет заявле- ния о совместимости прак- тически со всеми решения- ми отечественных компаний в области ИБ. Наиболее опасной угрозой для любого биз- неса являются квалифи- цированные злоумышленники, владеющие различными мето- дами взлома, способные реа- лизовать сложные кибератаки. Нарушение целостности или конфиденциальности данных, потеря доступности сетевой инфраструктуры могут поста- вить под угрозу достижение целей компании и нанести ей непоправимый репутационный и экономический ущербы. Поэтому необходимо выявлять кибератаки на ранних этапах развития и своевременно реа- гировать на инциденты. SOC (Security Operations Cen- ter), или ситуационный центр информационной безопасности, уже стал неотъемлемой частью ИТ-инфраструктуры организа- ций. Технической основой SOC является система управления событиями информационной безопасности – SIEM (Security Information and Event Manage- ment). Обычно она встраивается в ИТ-ландшафт корпоративных сетевых сегментов, а в послед- нее время все активнее прихо- дит и в сегменты АСУ ТП. Зачастую защищенный сег- мент логически и технологически отделен от остальных корпора- тивных и внешних сетей. Он может представлять собой сле- пую или полуслепую зону для инженеров SOC и специалистов ИБ. Более того, могут существо- вать законодательные и органи- зационные ограничения для сопряжения критических сегмен- тов КИИ с другими сегментами КИИ и сегментами вне КИИ. Для анализа информации, поступающей от различных устройств сегмента АСУ ТП, подключенных к SIEM, и даль- нейшего выявления возникаю- щих инцидентов необходимо обеспечить надежный канал связи. Этот канал используется для доставки событий сегмента АСУ ТП в центр сбора, анализа и принятия решений SOC. Соот- ветственно, внедрение SIEM априори предполагает исклю- чение полной изоляции (типа воздушного зазора) защищае- мых сегментов сети. Таким образом, возникает противоречие между необхо- димостью передать данные, то есть обеспечить сетевую связность с менее доверен- ными сегментами, где уста- новлена SIEM, и непрогнози- руемым влиянием стороннего программного обеспечения (той же SIEM) на технологиче- ские процессы и сегмент АСУ ТП. Сам канал связи и кана- лообразующее оборудование между защищаемым сегмен- том и SOC в этом случае могут представлять собой потенци- альную брешь для компроме- тации объекта защиты, снижая уровень его защищенности. Это противоречие усиливается тем, что программное обес- печение SIEM, как правило, создается для выполнения иных задач и не проверяется на совместимость с система- ми, которые установлены в АСУ ТП и являются техноло- гическими. Для преодоления этого про- тиворечия можно использовать технологии однонаправленной передачи данных, основанные на принципах физической изо- ляции одного сетевого сегмента от другого, но обеспечивающие возможность передачи данных из закрытого контура во внеш- ние сети – только в одну сторо- ну. Такие технологии гаранти- руют целостность и доступность данных в защищенном сегмен- те, а также полностью исклю- чают риски передачи каких- либо сигналов в обратном направлении – внутрь защи- щаемого сегмента. Примером реализации техно- логии однонаправленной пере- дачи данных могут выступать "диоды", выпускаемые компа- нией АМТ-ГРУП под брендом InfoDiode. Они позволяют пере- давать такие виды трафика, как Syslog, Netflow, данные от аген- тов мониторинга, Winlog, SPAN- трафик, файлы и другую инфор- мацию. С целью расширения применимости "диодов", исполь- зуемых для сбора данных в SIEM, InfoDiode имеет заявления о совместимости практически со всеми решениями отече- ственных компаний в области ИБ, например с продуктами Positive Technologies (MaxPatrol SIEM и PT ISIM), "Лаборатории Касперского" (KICS for Networks, KPSN), СПБ (СКЗИ "Квазар"), CyberLympha (CL DATAPK), INFOWATCH (IW ARMA INDU- STRIAL FIREWALL, IW ARMA MANAGEMENT CONSOLE) и др. Важным аспектом примене- ния "диодов" в контексте SIEM- систем является тот факт, что и сам "диод" должен переда- вать данные о своем функцио- нировании в SIEM. То есть, 24 • СПЕЦПРОЕКТ Тренды развития SIEM-решений в России бор и анализ событий информационной безопасности необходим не только для своевременного обнаружения и пресечения кибератак, но и для выявления наиболее уязвимых точек ИТ-инфраструктуры. Эти задачи особенно актуальны в отношении объектов КИИ: недостаток проактивных действий по их защите может привести к катастрофическим последствиям. Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в этой статье. С Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП