Промышленные решения выделены в отдельный сегмент, поскольку требуют особого подхода к организации безопасности. Чем отличается промышленная сеть от других типов:
- Использует промышленные протоколы (Modbus TCP, BACnet IP, EtherCAT, PROFIBUS, CAN и прочие). Как и любые другие протоколы, они имеют свои специфические уязвимости и могут подвергаться воздействию вредоносного ПО и нелегитимному воздействию.
- Накладывает ограничения на обслуживание. Скорее всего, быстро и неинвазивно обновить софт не получится, поскольку потребуется остановка и перезапуск оборудования. Обычно патчи и обновления загружают во время планового обслуживания по заранее определенному графику.
- Требует высокую отказоустойчивость оборудования и ПО. Современные производственные системы часто состоят из множества взаимосвязанных компонентов. Сбой в одной части системы может вызвать каскадные сбои в других частях, что делает отказоустойчивость критически важной.
Можно ли использовать «обычные» межсетевые экраны в промышленных сетях?
Короткий ответ – нельзя.
Несмотря на популярное мнение о том, что промышленная сеть является изолированной и никак не связана с внешним Интернетом и его опасностями, редко встречаются ситуации когда это действительно так.
Вот несколько примеров:
- линия в корпоративную сеть, используемая системным администратором для удаленного управления серверами (особенно актуально для географически распределенных филиалов сети)
- выход в Интернет с рабочего места через USB-модем для личных целей сотрудников производства
- подключение различных внешних участников: вендоров и подрядчиков, обновляющих или анализирующих относящиеся к ним системы
- тот факт, что многие производства существуют 20-30 лет. Ошибки в построении сети и ее документировании так или иначе появляются из-за человеческого фактора.
Полностью изолированных систем в современной промышленности практически не бывает. Поэтому безопасный вариант – это специализированный фаерволл типа «Д», работающий с промышленными протоколами. В том числе, это требование прописано в методичках ФСТЭК России, касающихся межсетевых экранов.
Классификация межсетевых экранов ФСТЭК России
Рассмотрим чуть подробнее классификацию средств защиты промышленных сетей.
Разделением МЭ на типы и классы занимается Федеральная служба по техническому и экспортному контролю России. Регулятор определяет характеристики, которые подтверждают безопасность и качество решения. Межсетевые экраны различаются по типам и классам.
Тип экрана определяется тем, на каком участке сети и с какой целью он применяется. ФСТЭК России выделяет пять типов фаерволлов:
| Функция | Расположение | Реализация | |
|---|---|---|---|
| Тип А | Контроль сетевого трафика, блокировка нежелательных соединений, фильтрация пакетов данных | Уровень физически сегментированной сети | ПАК |
| Тип Б | Контроль сетевого трафика, блокировка нежелательных соединений, продвинутая фильтрация пакетов данных | Уровень логически сегментированной сети | ПАК или ПО |
| Тип В | Защита отдельного устройства (например, компьютера или сервера) от угроз | Уровень отдельного узла системы | ПО |
| Тип Г | Контроль и фильтрация HTTP-трафика | Уровень приложений и серверов, обслуживающих приложения и сервисы | ПАК или ПО |
| Тип Д | Контроль и фильтрация промышленных протоколов | Уровень технологической сети (АСУ ТП) | ПАК или ПО |
Второй важный параметр – класс защиты. Выделяют шесть классов (первый – самый высокий, шестой – самый низкий). Присвоенный класс обозначает уровень секретности информации, которую защищает межсетевой экран: чем секретность выше, тем выше класс.
Например, государственная тайна охраняется решениями класса 1-3, а для защиты промышленных сетей достаточно 4-6 классов – эта информация не является секретной. Поэтому экранам типа «Д» присваивают от четвертого до шестого класса.
Функции межсетевого экрана типа «Д»
Функции экрана типа «Д» включают в себя:
- Фильтрацию трафика по промышленным протоколам на транспортном, сетевом и прикладном уровнях.
- Сетевые функции: поддержку статической маршрутизации, сокрытие инфраструктуры и кластеризацию высокой доступности (Active/Passive).
- Обеспечение безопасности через обнаружение атак, анализ промышленных протоколов, офлайн-обновление правил, детектирование по сигнатурам SNORT, эвристический анализ и настройку правил для выявления аномалий.
При внедрении промышленного межсетевого экрана вместе с платформой для защиты АСУ ТП UDV DATAPK Industrial Kit формирует единую платформу обеспечения безопасности и ИТ-мониторинга для промышленных предприятий.
