Как грамотно организовать мониторинг промышленных объектов (АСУ ТП) и оценить уровень их информационной безопасности? Как поможет и какую роль сыграет центр мониторинга и оперативного реагирования на инциденты в информационной безопасности (SOC — Security Operations Center)? Введение Проблемы современных промышленных предприятий Грамотный подход к защите АСУ ТП Роль мониторинга в обеспечении информационной безопасности АСУ ТП При этом новые, недавно прошедшие модернизацию автоматизированные системы управления технологическими процессами (АСУ ТП) легко могут соседствовать с такими, которые не обновлялись годами или даже десятилетиями. Не стоит также забывать, что любые модернизации объекта мониторинга (АСУ ТП) неминуемо потребуют адаптации и самого средства мониторинга к этим изменениям, так что упомянутая выше гибкость важна и с точки зрения недопущения пропусков в мониторинге по причинам, например, отсутствия поддержки обновлённой версии прошивки ПЛК. Грамотный подход к защите АСУ ТП При этом в АСУ ТП по объективным причинам нет возможности реализовать оперативную установку обновлений или внесение изменений в конфигурации. В силу приоритета непрерывности технологических процессов и существенного ущерба, который может быть нанесён из-за технических сбоев в программном обеспечении, любые изменения в технологических сегментах мало того что должны быть тщательно предварительно протестированы, но и реализованы могут быть в подавляющем большинстве случаев исключительно в рамках сервисных обслуживаний (технологических остановов). Патч операционной системы, требующий обязательной перезагрузки узла АСУ ТП, может быть применён исключительно тогда, когда такая перезагрузка не приведёт ко сбою самого технологического процесса. В то же время сам по себе технологический останов изначально проводится в первую очередь всё же для сервисного обслуживания компонентов АСУ ТП с целью повышения их производственной эффективности и продления срока службы, а на решение вопросов информационной безопасности может остаться ничтожно мало времени. Средство мониторинга, «отъедающее» полезную полосу пропускания от продуктивной работы самой АСУ ТП (что особенно важно для удалённых площадок), вряд ли будет положительно воспринято подразделениями ответственными за технологический процесс. Позитивным же аспектом более высокой сегментации является, например, возможность оперативной принудительной изоляции отдельных производств от остальной сети в случае выявления атаки. С учётом рассмотренных особенностей АСУ ТП как объекта защиты для своевременного и правильного выбора способа реагирования нужно одновременно собирать разнородную информацию (сетевой трафик, события от смежных средств защиты информации и на самих компонентах АСУ ТП, конфигурации и текущие состояния программного и аппаратного обеспечения) от существенного числа источников, а затем оперативно и адекватно их оценивать, принимая во внимание в том числе и информацию от внешних по отношению к объекту защиты источников — таких как индикаторы компрометации, различные базы данных угроз и уязвимостей, общий новостной поток и т. п. Разумным представляется вынесение задач координации всех процессов — от непрерывного мониторинга до выявления, отработки и постанализа инцидентов — на выделенное внутреннее либо внешнее подразделение, реализующее функции оперативного управления информационной безопасностью: такие подразделения традиционно называют Security Operations Center (SOC).Anti-Malware.ru