Забудьте о подходах IT-безопасности для защиты промышленных систем

В этом интервью для Help Net Security Эйона Пречи, руководитель группы информационной безопасности в Lindal Group, обсуждает специфические проблемы кибербезопасности в производственной среде. Беседа затрагивает причины, по которым стандартные практики ИТ-безопасности не работают в цехах, где ПЛК и прошивки десятилетней давности изначально не проектировались для работы в сети.

Она объясняет, как государственные злоумышленники незаметно обосновываются в промышленных сетях, используя неиспользуемые учётные записи и скомпрометированные рабочие станции для изучения окружения, не вызывая срабатывания сигнализаций. Она рассматривает управление обновлениями в ОТ, где производственные линии нельзя просто отключить, и описывает, как команды безопасности используют компенсирующие меры контроля для управления рисками, не нарушая рабочие процессы. Интервью также затрагивает, как добавление датчиков и телеметрии создаёт информационный шум, маскирующий реальные угрозы, и как конвейеры данных с ИИ, связывающие ИТ и ОТ-системы, формируют новые векторы атак.

Традиционная кибербезопасность предполагает, что системы спроектированы для частого обновления, перезагрузки при необходимости и управления с помощью современных инструментов контроля идентификации и конечных точек. Это предположение не работает в производственном цехе. Многие промышленные системы создавались для надёжности и безопасности задолго до того, как кибербезопасность стала приоритетом. Например, ПЛК и промышленные контроллеры могут работать годами без остановки. Некоторые прошивки старше десяти лет и не могут быть легко обновлены без воздействия на производственную среду.

Именно здесь традиционный подход к безопасности даёт сбой. В ИТ-среде простой неудобен. В производстве простой парализует бизнес, иногда полностью. Поэтому стратегии безопасности не могут полагаться на постоянное обновление или агрессивное усиление защиты систем. Вместо этого фокус должен сместиться на архитектуру. Строгая сегментация сети, концепция нулевого доверия, жёсткий контроль удалённого доступа и разделение между информационными и операционными технологиями становятся основой безопасности. В промышленных средах контроль маршрутов передачи данных часто важнее контроля отдельных устройств.

Государственные злоумышленники прекрасно понимают, что производственные компании находятся в центре критически важных цепочек поставок. Их цель — оставаться незаметными в организации, чтобы активировать что-либо в будущем. Они получают информацию о бизнес-процессах, сетевом трафике, интеллектуальной собственности, отношениях с поставщиками и так далее.

Устойчивость в таких средах может выглядеть удивительно обыденно. Всё может начаться с фишинговой ссылки для конечного пользователя, скомпрометированной инженерной рабочей станции или устаревшей учётной записи для обслуживания, которая всё ещё имеет доступ к производственной сети. Попав внутрь, сложные злоумышленники действуют тихо и редко вызывают срабатывание сигнализаций. Они двигаются медленно, наблюдают за поведением системы, составляют карту окружения и пытаются совершать горизонтальные перемещения и повышать привилегии.

Эту активность трудно обнаружить, потому что операционные сети созданы для стабильности. Паттерны трафика предсказуемы и редко меняются. На многих заводах (исторически) возможности ведения журналов и мониторинга ограничены. Злоумышленник, который вписывается в нормальную промышленную коммуникацию, может оставаться незамеченным в течение долгого времени. Именно поэтому повышение прозрачности сети, внедрение SASE и мониторинг в операционных средах стали главным приоритетом для команд киберзащиты в производстве.

Установка обновлений в операционных средах кардинально отличается от этого процесса в ИТ-инфраструктуре. Производственные линии не всегда можно остановить для применения обновлений. Некоторые системы требуют длительных циклов перезапуска или сложных процессов повторной валидации.

Поэтому большинство команд киберзащиты в производстве решают эту задачу с помощью дисциплины, а не нереалистичных ожиданий. Они согласовывают действия по обновлению с вендорами и планируют окна технического обслуживания далеко вперёд. Они тестируют обновления в тестовых средах перед развёртыванием на производственных системах. Что важнее всего, они расставляют приоритеты для уязвимостей на основе оценки рисков.

Когда немедленная установка исправлений невозможна, следует внедрять компенсирующие меры контроля. Сегментация сети, нулевое доверие, строгое управление доступом и мониторинг могут значительно снизить уровень угроз. Зрелость безопасности в OT заключается в умном управлении рисками, не нарушая бизнес-процессы.

Прозрачность необходима для безопасности. Без неё мы действуем вслепую. Однако добавление датчиков и инструментов мониторинга без чёткой цели может привести к излишней сложности и появлению новых точек интеграции, которые могут быть использованы злоумышленниками.

Правильный баланс заключается в фокусе на значимых данных. Командам безопасности следует в первую очередь отслеживать сигналы, которые указывают на реальный риск, такие как сетевое взаимодействие между зонами, изменения в конфигурациях контроллеров, сеансы удалённого доступа и активность на привилегированных учётных записях.

Сбор всех возможных данных не гарантирует повышения безопасности. Напротив, избыток информации может перегрузить команды безопасности, создать лишний шум и скрыть важные сигналы. Эффективный мониторинг концентрируется на операционных процессах.

Искусственный интеллект добавляет новый уровень уязвимостей к уже хрупкой среде. Раньше в производстве нас волновали в основном ПЛК, человеко-машинные интерфейсы, удалённый доступ и граница между ИТ и АСУ ТП. Теперь же необходимо также защищать каналы передачи данных, результаты работы моделей, датчики, механизмы логического вывода, API, облачные подключения и многое другое. Это серьёзный сдвиг!

Системы ИИ сильно зависят от данных. Эти данные необходимо собирать, обрабатывать и анализировать, часто в рамках нескольких систем. Каждое такое соединение создаёт потенциальную точку атаки. Если злоумышленники манипулируют данными, питающими модели, они могут влиять на принимаемые решения. Например, отравление наборов данных может исказить модели прогнозного обслуживания или скрыть ранние признаки неисправностей оборудования. Исследования показывают, что даже всего 0.001% испорченных данных может привести к некорректной работе модели.

Ещё одна растущая проблема — усиливающаяся интеграция между ИТ-аналитическими платформами и платформами АСУ ТП. По мере того как конвейеры ИИ глубже проникают в производственную среду, граница между ИТ и АСУ ТП усложняется. Если эта интеграция не защищена должным образом, она может стать точкой входа для угроз в критически важные системы.

Как только ИИ начинает влиять на операционные решения, злоумышленники могут атаковать саму модель через её отравление, обход, инъекцию промптов или злоупотребление процессами дообучения. В производстве это серьёзно, потому что результат — не просто отчёт на панели управления. Он может влиять на сроки технического обслуживания, настройку процессов или даже на действия оператора. Рамочная система управления рисками ИИ от NIST подчёркивает, что риски ИИ не ограничиваются конфиденциальностью; такие аспекты, как целостность, достоверность и надёжность, становятся критически важными. Если ИИ может влиять на время безотказной работы, качество, безопасность или решения по обслуживанию, он уже является частью вашей критической среды. Отрасли необходимо серьёзно отнестись к этим рискам и быстро принять меры по их снижению, чтобы пережить волну внедрения ИИ.