Как защищать «поумневшие» промышленные сети: «Синоникс» на страже безопасного объединения изолированных сетей
Промышленные сети могут подвергнуться серьезной хакерской атаке, посредством которой злоумышленники будут способны вывести из строя технологическое оборудование и нанести вред как отдельному предприятию, так и экономике всей страны. Для минимизации рисков подобных действий регуляторы рекомендуют отделять промышленные сети от интернета и корпоративной сети, ограничивая возможности киберпреступников по проникновению в критические для предприятия сегменты сети – так называемые объекты критической информационной инфраструктуры (КИИ). Для этого можно использовать как полностью однонаправленную передачу данных – диоды данных – так и более сложные технологии с контролем передаваемой информации, к которым относится «Синоникс», созданный отечественной компанией «АйТи Бастион». Она специализируется на разработке средств контроля доступа, сегментации сетей и контролируемых коммуникациях для обеспечения безопасного доступа между сетями и их сегментами, в том числе для критически важных.
Содержание |
На место «воздушного зазора»
В большинстве случаев технологическое оборудование выносится в отдельный сегмент сети, у которого нет подключения к другим, создавая тем самым так называемый «воздушный зазор». Но по мере использования в промышленности высокоинтеллектуального оборудования и датчиков, а также с применением разного рода систем учета и аналитики возникла потребность в получении данных из технологической сети, чтобы на их основе принимать оперативные решения. Однако, чтобы не нарушить работу внутренней сети и конечного оборудования, предлагалось использовать диод данных, который физически блокирует передачу данных в обратную сторону. Для этого применяли оптический интерфейс с одной парой передатчика и приемника. Диоды данных позволяли получать информацию из технологических сетей, но дистанционное воздействие на промышленный сегмент блокировали.
С появлением в технологических сегментах интеллектуального оборудования, такого как роботы, лазерная резка и другие станки с числовым программным управление управлением (ЧПУ), для которых нужны программы и обновления, возникла необходимость не только получать, но и передавать данные в технологические сети. Вариантов решения этой задачи несколько. К примеру, построение двух раздельных технологических сегмента: в одном будут только датчики и другие источники информации, а в другом – только интеллектуальные исполнители. И для их защиты достаточно будет закрыть их с помощью соответствующих диодов данных. Или же реализация через последовательную цепочку нескольких межсетевых экранов. Однако такие конфигурации достаточно сложны в реализации и эксплуатации, а в конечном счете сильно завязаны на самое уязвимое звено любой безопасности – человека. Скажем, ситуации, когда какой-нибудь несознательный ИТ-администратор установит в систему в нарушение требований информационной безопасности мобильный модем и фактически свяжет изолированный контур с всеобщей сетью Интернет.
Одним из альтернативных и современных методов организации контролируемого взаимодействия с технологической сетью как раз и является «Синоникс» – программно-аппаратный комплекс, разработанный компанией «АйТи Бастион». Его ключевой концепцией является принцип разделения зон ответственности между двумя изолируемыми сегментами и людьми, которые за них отвечают. А заложенное в него технологическое решение позволяет организовывать передачу данных и файлов в направленном режиме в конкретную информационную систему, обеспечивая при этом изолированность и сокрытие информации об объектах, а также самой архитектуре защищаемых сетей. В отличии от диодов, «Синоникс» способен работать не только в режиме однонаправленной передачи данных, но и контролируемой двунаправленной, поддерживая протоколы, требующие установки и поддержания соединения. Это и позволяет использовать его не только для защиты технологических сегментов сетей, но и решать другие задачи любого бизнеса, связанные с безопасной передачей данных, которые требуют повышенного контроля со стороны службы безопасности компании. Например, такая ситуация может возникнуть при удаленном техническом обслуживании интеллектуального оборудования со стороны его производителя, организации процесса обновления ПО из внешнего контура или автоматизированной передачи данных с подтверждением источника путем проверки ЭЦП.
| «Синоникс» – цифровой шлюз безопасной передачи данных между изолированными сетями. Система позволяет организовать безопасный обмен информацией между узлами одной сети или разными сетями, предотвращая распространение киберугроз и вредоносного взаимодействия между ними. |
Возможности «Синоникса»
«Синоникс» основан на использовании технологии электронной передачи пакетов данных с применением разрешающих правил, установленных в явном виде. Они обеспечивают безопасный обмен данных и файлов в условиях физической изолированности сетей или сегментов одной сети.
Архитектурная структура решения вместе с системой встречного согласования политик передачи информации является его ключевой особенностью. Устройство состоит из трех электронных плат: Узел А, Узел В и Ядро (рис.1). «Синоникс» подключается к каждому сегменту сети отдельным сетевым интерфейсом, предназначенным только для передачи данных. Каждый интерфейс связан со своей материнской платой (Узел А и Узел В), которая изолирована от другой через центральную плату – Ядро.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Правила задаются на каждом из двух Узлов устройства независимо и согласованно для выбранного канала передачи данных и файлов. Если для одного из Узлов правила не заданы, то данные переданы не будут. За конфигурацию Узла и сегмента отвечает отдельный специалист в своей сети тем самым обеспечивая разделение зон ответственности и безопасности каждой сети, а определение разрешенного канала передачи данных задаётся как IP источника, порт для приема пакетов и IP назначения, порт назначения.
Таким образом исключается прямое соединение между сетями. Если передача разрешена, то на одном из Узлов происходит удаление транспортного уровня, данные на уровне приложений передаются в Ядро. Далее из Ядра происходит передача данных на второй Узел, где транспортный уровень восстанавливается. Таким образом, при передаче информации из одного сегмента в другой система «переупаковывает» информацию по аналогии с тем, как служба доставки запаковывает ваш груз в свою упаковку.
«Синоникс» может использоваться совместно с межсетевым экраном (МЭ) на физической границе сетей с разным уровнем доверия или сегментов с разным уровнем доступа в рамках одной сети.
Конфигурация устройства осуществляется через физически изолированные интерфейсы управления соответствующего Узла. Управление может реализовываться как удаленно по сети, так и исключительно локально через интерфейс RS-232.
Изменение конфигурации центральной платы (Ядра) возможно только при наличии физического доступа к ней и вскрытии защитных пломб. А изменение конфигурации одного Узла со стороны другого технологически и конструкционно неосуществимо. Дополнительный контроль обеспечивается с помощью физических пусковых ключей, разделяемых между сотрудниками, каждый из которых ответственен за свою сеть. Ключи разрешают или блокируют передачу данных через Синоникс путем полного отключения питания Ядра. При повороте одного из них центральная плата отключается.
Поэтому ключевыми особенностями «Синоникса» можно назвать: изоляцию сетей, разграничение зон ответственности, нейтрализацию сетевых атак, противодействие 0-day, обеспечение проверки файлов перед передачей, поддержку контентной фильтрации.
| «Синоникс» способен обеспечивать безопасность различного рода сетей и их сегментов вне зависимости от специфики бизнеса, одинаково хорошо выполняя задачи шлюза объединения изолированных сетей как в промышленном, добывающем или же финансовом секторе. |
Сценарии использования
«Синоникс» может применяться, например, для повышения производительности и непрерывности обмена данными между изолированными сегментами сети (Рис. 2), которая может потребоваться при внедрении интеллектуального оборудования или IoT-решения, при этом обеспечивая безопасность как самого обмена данных, так и устройств в обеих сетях.
В этом случае решение используется в сочетании с межсетевым экраном (МЭ), который обеспечивает базовую защиту каждой сети, в том числе на уровне контроля приложений. «Синоникс» размещается перед МЭ со стороны общей сети или со стороны канала связи между сегментами и полностью перестраивает транспортную составляющую пакета (1-4 уровень модели OSI). Так исключаются атаки транспортного уровня на межсетевой экран и защищаемую инфраструктуру. Устройство полностью скрывает реальную структуру защищаемого объекта, предоставляя только заранее определенный канал для обмена информацией между двумя точками.
Другой сценарий использования решения – обеспечение связи между корпоративной инфраструктурой и внешними компаниями (MSS-провайдерами, SOC и т.п.) путем предоставления доступа только к необходимым данным (Рис. 3). В этом случае компании нужно организовать передачу данных третьей стороне, не подвергая при этом собственную инфраструктуру угрозам со стороны: как подрядчиков, так и открытых сетей.
Здесь «Синоникс» формирует безопасный контролируемый канал до внешней стороны, которым может выступать регулятор и внешние центры реагирования (внешний и коммерческий SOC, ГосСОПКА и др.). Также могут защищаться и коммуникации с внешними компаниями, которые, например, обеспечивают работу ИТ-подразделений и ИБ-служб от атак через подрядчика в цепочке поставок (Supply Chain).
Система интегрируется с другими решениями информационной безопасности, позволяя не только проводить антивирусную проверку файлов, но и фиксировать их перемещения между сегментами средствами DLP.
Еще одним сценарием использования «Синоникс» могут выступать задачи повышения производительности и надежности процесса обновления промышленных объектов, таких как роботы или станки с числовым управлением (Рис. 4). В этом случае возникает задача построения надежной и высокозащищенной системы обмена файлами с технологической сетью. Решение выполняет роль контролирующего посредника: пользователь из одной сети подключается по SFTP-протоколу передачи файлов к шлюзу «Синоникса», передает на устройство свой файл и ожидает его перемещения на сторону промышленной сети.
Перед передачей файла пользователь размещает его в каталоге для отправки и ожидает перемещения на сторону другой сети. Это происходит после заданных проверок. Фактически решения становится автоматизированным безопасным шлюзом передачи информации между сегментами сети без участия «человека с флешкой».
Вместо заключения
Контролируемая на уровне транспортных протоколов передача данных становится сейчас более востребована, поскольку все чаще приходится ограничивать внутренние коммуникации в корпоративной инфраструктуре и защищать критические для бизнеса сегменты: промышленные, финансовые или персональные данные.
Требование сегментирования сетей по уровню критичности возникло достаточно давно, но только сейчас появляются решения, которые позволяют сделать такую сегментацию удобной и универсальной, при сохранении надежности защиты и соблюдения законодательных требований. Использование подобных инструментов является важным элементом современных информационных технологий, которые необходимо обязательно учитывать при цифровизации отечественных предприятий.
