На рынке промышленной кибербезопасности до сих пор действует установка: чем дороже решение для защиты АСУ ТП, тем оно эффективнее. Но сегодня российские предприятия понимают, что переплачивают не столько за реальную защиту, сколько за имя и сложную архитектуру
Автор: Владислав Ганжа, директор Лаборатории кибербезопасности UDV Group
Для промышленного предприятия ключевой вопрос звучит вполне практично: способно ли решение обеспечить непрерывность производственных процессов и высокую доступность, а также своевременно выявлять кибератаки, предоставляя команде удобный инструмент управления безопасностью? Наравне с дорогими продуктами доступны более рациональные по стоимости российские решения для защиты АСУ ТП, надежно закрывающие критически важные задачи без лишней финансовой нагрузки.
– Какие задачи решение для защиты АСУ ТП должно закрывать в первую очередь, чтобы действительно влиять на устойчивость производства?
– Здесь логика довольно простая: в приоритете всегда непрерывность технологического процесса. Высокая доступность, раннее выявление атак, полная видимость инфраструктуры, выполнение регуляторных требований – все это в конечном счете работает именно на эту задачу. Средства ИБ в АСУ ТП нужны для того, чтобы закрывать те киберриски, от которых сам технологический контур изначально не защищен, помогая тем самым производству сохранять устойчивость. Поэтому и регуляторные требования здесь не существуют отдельно от практики. Они, по сути, отражают ту же самую последовательность: если киберзащиты нет, то рано или поздно под угрозой оказывается сам техпроцесс. Именно на таком подходе строится UDV DATAPK Industrial Kit [1]. Решение, которое помогает не формально закрывать требования, а поддерживать устойчивость и управляемость АСУ ТП на практике.
– Как бы вы описали UDV DATAPK Industrial Kit российским предприятиям, которым нужно не самое дорогое и нетяжелое, но надежное и рабочее, решение для защиты АСУ ТП?
– Я бы описал его как комплексное решение для российских предприятий, которым важно быстро выстроить практическую кибербезопасность АСУ ТП без избыточной сложности и переплаты за набор разрозненных продуктов. Оно подходит предприятиям с любым уровнем зрелости в ИБ, особенно когда в сжатые сроки нужно закрыть сразу несколько базовых задач. В одном продукте UDV DATAPK Industrial Kit объединяет анализ промышленного сетевого трафика, сбор и контроль конфигураций, выявление уязвимостей, анализ событий и контроль версий проектов ПЛК. За счет этого предприятие получает не отдельный инструмент под одну функцию, а целостную основу для защиты АСУ ТП, которую можно развивать поэтапно.Начать стоит с тех модулей, которые нужны сейчас, и затем расширять контур по мере зрелости задач. В этом, собственно, и состоит его главное практическое преимущество: это рабочий, гибко масштабируемый и экономически рациональный продукт, который позволяет быстро перейти к реальной защите без долгой и дорогой интеграции специализированных решений между собой.
– Один из ключевых тезисов продукта – полная видимость ландшафта АСУ ТП. Что это означает на практике?
– На практике это означает, что специалисты получают не разрозненные данные от нескольких источников, а целостную картину происходящего в АСУ ТП. Одного только анализа трафика, как правило, недостаточно для принятия решения. Важно понимать, какие в этот момент были события, в каком состоянии находилась конфигурация, были ли изменения в проектах, есть ли отклонения в работе оборудования. UDV DATAPK Industrial Kit помогает собрать эти данные в одном решении и сопоставить их между собой, чтобы службы ИБ, ИТ, а также специалисты по эксплуатации могли быстрее находить слабые места и потенциальные угрозы. Решение дает персоналу фактуру для своевременного анализа и принятия решений.
– Для промышленного предприятия критично не только выявлять инциденты, но и не создавать дополнительных рисков для технологического процесса. Как в UDV DATAPK Industrial Kit решается эта задача?
– Продукт не вмешивается в сам технологический процесс, а работает в режиме неинвазивного мониторинга и своевременного уведомления. Решение гибко настраивается под особенности конкретной АСУ ТП: можно вводить поэтапно, начиная с отдельного участка, задавать нужную периодичность опроса и работать только с тем набором данных, который действительно важен для производственной среды.
Плюс продукт использует безагентный подход – не требует установки дополнительных компонентов на узлы, а получает необходимую информацию через встроенные механизмы и штатные промышленные протоколы. За счет этого предприятие может контролировать состояние инфраструктуры, выявлять отклонения и потенциальные угрозы без дополнительной нагрузки на технологический контур и без риска повлиять на устойчивость производства.
– В составе UDV DATAPK Industrial Kit есть модуль анализа промышленного сетевого трафика, где используются технологии машинного обучения. Какие задачи такой подход помогает решать в АСУ ТП? И почему сейчас все больше внимания уделяется анализу отклонений на уровне ПЛК и самого технологического процесса?
– В промышленной среде трафик – один из самых удобных источников информации, потому что его можно анализировать через зеркалирование, без вмешательства в сам технологический контур. Уже этого достаточно, чтобы видеть новые узлы, сетевые взаимодействия, используемые протоколы, управляющие команды и признаки известных атак. Но одной сигнатурной логики здесь недостаточно: в АСУ ТП слишком много специфики, и заранее описать все возможные отклонения невозможно. Поэтому машинное обучение выступает как дополнительный механизм анализа – помогает находить поведенческие аномалии и скрытые угрозы, которые трудно заметить классическими методами. Например, речь может идти о нетипичной сетевой активности или о признаках туннелирования.
Если говорить про уровень ПЛК и самого технологического процесса, то здесь задача еще шире: нужно увидеть не просто факт обмена данными, а изменения в поведении системы. Условно говоря, внешне все может выглядеть штатно: те же узлы, те же протоколы, те же команды, параметры не выходят за допустимые границы. Но сама логика процесса уже меняется, например иначе развивается отдельный этап или меняется динамика технологических параметров. Это может говорить о скрытом воздействии, ошибке настройки или начинающейся неисправности. Такой поведенческий анализ позволяет заметить проблему раньше – еще до того, как она скажется на устойчивости производства.
– Для промышленного предприятия важно по какой логике в реальности работает ПЛК, какие изменения в нее вносились и можно ли при необходимости быстро восстановить рабочую конфигурацию. Насколько эта задача значима для эксплуатации и ИБ? Может ли UDV DATAPK Industrial Kit помочь ее решить?
– Действительно, это одна из ключевых задач для АСУ ТП. Здесь сходятся сразу два базовых требования: целостность и доступность. Предприятию необходимо точно понимать, какая версия проекта ПЛК является эталонной и по какой логике в данный момент реально работает технологический процесс. Это вопрос целостности – нужно быть уверенными, что в контуре используется именно согласованная версия, а не какая-либо сторонняя или несанкционированно измененная.
Вторая задача – доступность. Если ПЛК по какой-то причине выходит из строя и его нужно быстро заменить, то без эталонной версии проекта сделать это оперативно и корректно крайне сложно. Поэтому централизованный контроль версий напрямую помогает обеспечивать непрерывность техпроцесса – дает возможность хранить актуальные версии, учесть изменения и быстро восстановить рабочую конфигурацию.
Для эксплуатации это вопрос управляемости и надежности, а для кибербезопасности – еще и вопрос контроля изменений. Даже если специалисты ИБ не анализируют саму логику техпроцесса так глубоко, как команда эксплуатации, то, как минимум, они могут видеть изменения, время их внесения и то, были они санкционированы или нет. Если изменение появилось вне штатного порядка, то это уже повод разобраться: идет ли речь об ошибке, несогласованной доработке или потенциальном киберинциденте.
– Недавно вышла новая версия 3.1 продукта UDV DATAPK Industrial Kit. Что в ней изменилось прежде всего?
– В версии 3.1 три группы изменений, но основной акцент сделан на двух модулях, которые сильнее всего влияют именно на практическую работу.
Первая – это развитие модуля анализа промышленного сетевого трафика. Мы расширили разбор промышленных протоколов; добавили возможность быстрее подключать специфические протоколы, если на предприятии используется редкое или отраслевое ПО; усилили детектирование отдельных аномальных сценариев, в том числе связанных с туннелированием. Серьезно доработали карту сети – она стала нагляднее за счет цветовой индикации соединений, выбора количества отображаемых узлов и связки с карточкой инцидента (когда специалист может сразу перейти в тот участок сети, где выявлена проблема). Появился импорт трафика для ретроспективного анализа – это полезно для расследований и для повторной проверки по обновленным базам маркеров угроз.
Вторая большая группа модификации касается модуля Version Control. Если раньше речь в большей степени шла о контроле самого факта изменений, то теперь система позволяет сравнивать проекты гораздо глубже – видеть, какие именно блоки и теги были изменены. Важный момент в том, что мы не просто фиксируем изменение конфигурации, а сопоставляем ее с проектом и можем понять, действительно ли на ПЛК загружена именно та версия, которая считается эталонной. Для промышленного предприятия это уже вопрос не только удобства, но и целостности, управляемости изменений и уверенности в том, по какой логике реально работает техпроцесс.
Третья группа изменений связана с удобством внедрения и экономикой использования. В версии 3.1 появился автоматический установщик, за счет чего стало меньше ручных действий, снизился порог входа и ускорилось внедрение. Кроме того, отдельные модули теперь можно устанавливать независимо друг от друга – под конкретные задачи организации. Это важно для предприятий, которые хотят развивать защиту поэтапно, не покупая сразу весь функциональный контур, если на текущем этапе он им не нужен.
Есть и улучшения, связанные с внутренней оптимизацией системы – хранением событий, контролем нагрузки на сенсоры, общей управляемостью ресурсов. Но самые значимые для практики изменения – развитие анализа трафика, углубление контроля версий проектов ПЛК и снижение трудозатрат на внедрение.
– В чем главное преимущество UDV DATAPK Industrial Kit?
– UDV DATAPK Industrial Kit – это российское решение для предприятий, которые хотят перейти от формального выполнения требований к реальному мониторингу защищенности АСУ ТП. Сегодня для многих предприятий задача уже не сводится только к категорированию и подготовке документов. Они начинают выстраивать практическую безопасность, чтобы видеть, что происходит в технологическом контуре, своевременно выявлять отклонения и получать основу для принятия решений.
В этом смысле UDV DATAPK Industrial Kit позволяет в одном продукте закрыть сразу несколько ключевых задач: анализировать промышленный трафик, собирать конфигурации, работать с событиями, контролировать изменения в проектах ПЛК. За счет этого предприятия получают не формально установленный инструмент для галочки, а рабочую систему, которая действительно помогает мониторить состояние АСУ ТП и выявлять потенциальные угрозы.
При этом решение экономически рационально – многим предприятиям проще и выгоднее освоить один комплексный продукт, чем внедрять и связывать между собой несколько дорогих тяжелых специализированных систем. UDV DATAPK Industrial Kit – это разумный баланс между функциональностью, стоимостью и скоростью получения практического результата.
Реклама: ООО "Сайберлимфа". ИНН 7731331522. Erid: 2SDnjeTUH94