Infowatch arma руководство

  1. Введение
  2. Архитектура и функциональные возможности InfoWatch ARMA
    1. 2.1. InfoWatch ARMA Industrial Firewall
    2. 2.2. InfoWatch ARMA Industrial Endpoint
    3. 2.3. InfoWatch ARMA Management Console
  3. Сценарии использования InfoWatch ARMA
    1. 3.1. Защита промышленной сети на границе с корпоративным сегментом
    2. 3.2. Защита промышленной сети и канала связи при доступе технической поддержки
    3. 3.3. Разграничение и защита нескольких сегментов АСУ ТП
    4. 3.4. Защита сети между сегментами SCADA и ПЛК
    5. 3.5. Мониторинг трафика непосредственно внутри сегмента АСУ ТП
    6. 3.6. Защищённое VPN-соединение site-to-site
  4. Варианты поставки и лицензирование InfoWatch ARMA
  5. Работа с системой InfoWatch ARMA
    1. 5.1. InfoWatch ARMA Industrial Firewall
    2. 5.2. InfoWatch ARMA Management Console
  6. Детектирование и отражение атак с помощью InfoWatch ARMA в режиме реального времени
    1. 6.1. Блокировка атаки на ПЛК по протоколу IEC104
    2. 6.2. Выявление сканирования SCADA и автоматическая блокировка злоумышленника
  7. Соответствие нормативным требованиям и сертификация
  8. Реальные кейсы применения InfoWatch ARMA
  9. Выводы

Введение

Пожалуй, всерьёз о теме промышленной кибербезопасности во всём мире заговорили после громкого инцидента с атакой вируса Stuxnet на объекты иранской ядерной программы в 2008 году. Кроме этого, в разные годы по вине киберпреступников происходили массовые отключения электричества в отдельных странах (например, Украине, Венесуэле), остановки производств и нарушения работы транспортной инфраструктуры. В качестве знаковых ИБ-инцидентов последнего времени с подтверждённым ущербом стоит отметить перебои в работе Norsk Hydro (убытки — 40 млн долларов США, 2019 г.), Rheinmetall (убытки — 30 млн долларов, 2019 г.), Demant (убытки — 100 млн долларов, 2019 г.) и, конечно, компании Garmin, заплатившей хакерам многомиллионный выкуп за расшифровку данных на своих онлайн-сервисах, пусть её и трудно отнести к числу индустриальных.

Технологическая трансформация порождает новые проблемные задачи для безопасности, тем более с учётом событий 2020 года. Всё ещё популярный тезис некоторых предприятий о том, что «наши площадки отключены от интернета», теперь уже точно не имеет права на жизнь. Даже ФСТЭК России в своих рекомендациях от 25.03.2020 официально «дала добро» на удалённое подключение к объектам критической информационной инфраструктуры (КИИ) с соблюдением определённых мер безопасности. На момент написания статьи (ноябрь 2020 года), по данным сервиса shodan.io, через интернет доступно почти 14 000 промышленных устройств, использующих популярный протокол Modbus, и ещё 2 700 применяющих не менее распространённый Siemens S7.

Рисунок 1. Онлайн-карта доступных через интернет устройств АСУ ТП, shodan.io

Онлайн-карта доступных через интернет устройств АСУ ТП, shodan.io

Согласно отчёту «Лаборатории Касперского» за второе полугодие 2019 года «Ландшафт угроз для систем промышленной автоматизации», в 2019 году Kaspersky ICS CERT выявила 103 уязвимости в промышленных и IoT / IIoT-системах, при этом многие типы вредоносных программ, не будучи заблокированными на компьютерах АСУ, представляли бы серьёзную опасность для работы предприятия. Аналитики отмечают, что количество угроз растёт год от года.

Рисунок 2. Количество уязвимостей в разных компонентах АСУ ТП, опубликованных на сайте US ICS-CERT, данные «Лаборатории Касперского»

Количество уязвимостей в разных компонентах АСУ ТП, опубликованных на сайте US ICS-CERT, данные «Лаборатории Касперского»

Таким образом, развитие индустрии 4.0 в целом приводит к тому, что традиционные модели киберугроз (включая отсутствие таковых) для промышленных сегментов пополняются новыми способами атак через уязвимости офисных сетей, рабочих станций и серверов. До сих пор обеспечение информационной безопасности АСУ ТП зачастую сводилось к точечной установке средств защиты без учёта специфики OT, их слабой интеграции между собой при отсутствии единого центра мониторинга и управления.

Рисунок 3. Угрозы информационной безопасности для сегментов АСУ ТП

Угрозы информационной безопасности для сегментов АСУ ТП

Реализация хотя бы одной из нескольких указанных угроз может привести к реальным инцидентам, среди которых — потеря контроля за режимом работы оборудования, несанкционированное управление оборудованием, отсутствие срабатывания защиты в случае инцидента, изменение показаний ПЛК (программируемых логических контроллеров) промышленных систем.

Чтобы максимально снизить вероятность совершения кибератак на промышленное предприятие и при этом повысить эффективность службы ИБ, необходимо решить, в частности, следующие задачи:

  • Создать замкнутую (с точки зрения информационных потоков и политик ИБ) защищённую среду.
  • Уменьшить количество ложных срабатываний промышленных средств ИБ с учётом специфики АСУ ТП.
  • Ввести в эксплуатацию столько средств ИБ для обеспечения адекватной защиты, чтобы выполнить требования регуляторов, но при этом иметь достаточное количество ресурсов для обслуживания этих средств.
  • Адаптировать систему ИБ под нужды конкретного предприятия таким образом, чтобы она помогала выстраивать процесс мониторинга и реагирования на актуальные инциденты и была интегрирована с существующей инфраструктурой, в том числе с системами диспетчерского управления.

Опираясь на конкретные задачи промышленной кибербезопасности и запросы рынка, отечественная компания «Инфовотч» разработала комплекс решений для защиты АСУ ТП InfoWatch ARMA, который представляет собой систему из трёх продуктов:

  • Industrial Firewall — промышленный межсетевой экран нового поколения (NGFW).
  • Industrial Endpoint — средство защиты рабочих станций и серверов SCADA.
  • Management Console — инструмент для автоматического реагирования на инциденты и централизованного управления средствами защиты.

Рисунок 4. Состав компонентов InfoWatch ARMA

Состав компонентов InfoWatch ARMA

Такой подход позволяет снизить затраты на внедрение системы безопасности и ускорить его, выстроить по-настоящему многоуровневую защиту, а также выполнить до 90 % технических требований из приказа ФСТЭК № 239, который устанавливает конкретный перечень мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ).

«Инфовотч» активно работает с известными отечественными и зарубежными производителями систем промышленной автоматизации с целью обеспечить как можно более плотную интеграцию с ними продуктов InfoWatch ARMA «из коробки». О том, как всё работает на практике, мы подробно расскажем далее.

Основная идея при разработке InfoWatch ARMA — обеспечение комплексной кибербезопасности с защитой максимального возможного числа элементов инфраструктуры АСУ ТП.

Рисунок 5. Защита сегмента АСУ ТП с помощью системы InfoWatch ARMA

Защита сегмента АСУ ТП с помощью системы InfoWatch ARMA

В комплексе InfoWatch ARMA все продукты интегрированы между собой. Специалисты по ИБ могут управлять каждым компонентом по отдельности или расследовать инциденты в едином интерфейсе, а при необходимости — автоматизировать реагирование по заранее согласованным сценариям. Рассмотрим возможности каждого из компонентов более подробно.

InfoWatch ARMA Industrial Firewall

InfoWatch ARMA Industrial Firewall является основным компонентом всей системы и согласно названию позволяет обнаруживать и блокировать атаки на промышленные сети, а также защитить последние от несанкционированного доступа.

Рисунок 6. Панель мониторинга InfoWatch ARMA Industrial Firewall

Панель мониторинга InfoWatch ARMA Industrial Firewall

Приставку «Next Generation» продукт получает благодаря тому, что в его составе можно выделить следующие четыре ключевые (с точки зрения сценариев применения) технологии:

  1. FW (Firewall) — межсетевой экран — контролирует доступ к сетевым ресурсам, защищает от несанкционированных действий в промышленной сети и фиксирует все информационные потоки. Позволяет ограничить использование сервисных функций промышленного трафика, например несанкционированную перепрошивку ПЛК или вредоносную запись данных. Кроме того, за счёт контроля отдельных команд протоколов и их значений можно блокировать неавторизованные действия и запрещать недопустимые операции с ПЛК, такие как подключение к сети АСУ ТП, доступ к любым параметрам ПЛК или управление контроллерами по сети.
  2. DPI (Deep Packet Inspection) — глубокая инспекция трафика — позволяет не только детектировать промышленные протоколы, но и разбирать конкретные команды самых распространённых из них. Это позволяет учитывать специфику АСУ ТП максимально гранулярно: например, блокировать недопустимые операции с ПЛК с учётом прав конкретных операторов.
  3. IDS / IPS (Intrusion Detection / Prevention System) — система обнаружения и предотвращения вторжений (СОВ) — детектирует и блокирует вредоносные программы, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровнях. Отдельно отметим поставляемую экспертной командой «Инфовотч» базу правил, которая обновляется ежедневно. Сигнатуры пишутся и аккумулируются коллегами самостоятельно исходя из опыта «боевых» внедрений. Кроме того, в комплект входят правила от мирового лидера в данной области — компании Emerging Threats (ET), подключаемые по сублицензии. В основе СОВ — ядро Suricata.
  4. VPN — встроенный в InfoWatch ARMA Industrial Firewall модуль организации виртуальной частной сети обеспечивает безопасное удалённое подключение к промышленному сегменту, например для работы технической поддержки или с целью объединения производственных площадок в одну сеть. Поддерживаются протоколы IPsec и OpenVPN; возможность шифрования согласно алгоритмам ГОСТ (и, соответственно, сертификация ФСБ России) на данный момент отсутствует. Разработчик сообщает о планах по внедрению отечественных алгоритмов шифрования в будущем.

В режиме фильтрации и разбора до уровня команд на текущий момент поддерживаются 8 протоколов (Modbus TCP, IEC 60870-5-104, S7 Communication, OPC UA, OPC DA, Modbus TCP x90 func. code (UMAS), IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE), а для обнаружения вторжений и мониторинга (без фильтрации) — дополнительно ещё 4: ENIP/CIP, Profinet, S7 Communication plus, DNP3. Список выглядит вполне логичным, он включает в себя большинство самых распространённых и популярных промышленных протоколов.

InfoWatch ARMA Industrial Endpoint

InfoWatch ARMA Industrial Endpoint представляет собой программный агент для рабочих станций и серверов, который защищает АСУ ТП от угроз на диспетчерском уровне.

Рисунок 7. Конфигурирование InfoWatch ARMA Industrial Endpoint

Конфигурирование InfoWatch ARMA Industrial Endpoint

Основные функциональные возможности — следующие:

  1. Контроль и блокировка подключения съёмных носителей. Ещё со времён Stuxnet мы помним, что заражение промышленных устройств с помощью флешек, телефонов и других подключаемых устройств — один из самых распространённых векторов атаки на АСУ ТП. InfoWatch ARMA Industrial Endpoint позволяет вести соответствующий учёт и предотвратить такого рода угрозы.
  2. Блокировка запуска приложений. На промышленных ПК должно функционировать только то ПО, которое предусмотрено производственным процессом. InfoWatch ARMA Industrial Endpoint позволяет создать безопасную замкнутую среду с помощью белого списка приложений и не допустить запуска файлов, которые в него не входят — в том числе вредоносных объектов и шифровальщиков. При этом агент в начале работы автоматически обучается и самостоятельно формирует белый список.
  3. Контроль целостности критически важных файлов и приложений. С помощью InfoWatch ARMA Industrial Endpoint выявляются любые нелегитимные изменения программной среды рабочей станции или сервера АСУ ТП.

Стоит отметить, что на текущий момент для работы InfoWatch ARMA Industrial Endpoint не предусмотрено самостоятельного графического интерфейса, управление продуктом осуществляется через InfoWatch ARMA Management Console.

Таким образом, InfoWatch ARMA Industrial Endpoint содержит часть функций классического антивируса и системы того класса, который мы в России привыкли называть «СЗИ от НСД». По заверениям вендора, продукт активно развивается в сторону полноценного решения класса EPP (Endpoint Protection Platform), включающего ядро сигнатурного анализа вирусов и другие технологии.

InfoWatch ARMA Management Console

Является, без преувеличения, «сердцем» всей системы InfoWatch ARMA, реализует централизованное управление подключёнными средствами защиты и позволяет автоматически реагировать на инциденты в сфере безопасности.

Рисунок 8. Сводка по инцидентам в InfoWatch ARMA Management Console

Сводка по инцидентам в InfoWatch ARMA Management Console

К ключевым функциональным возможностям консоли относятся:

  1. Централизованное управление средствами защиты InfoWatch ARMA Industrial Firewall и Industrial Endpoint, включая настройку баз промышленных сигнатур.
  2. Сбор и анализ данных, корреляция событий с возможностью отправки в SIEM или другие средства SOC.
  3. Отображение списка устройств в защищаемом сегменте и представление активов на карте сети с возможностью самостоятельной отрисовки.
  4. Автоматическая реакция, включая блокировку угроз по сценариям на средствах защиты, выполнение пользовательских скриптов и иных активных действий. Поддерживается также отправка команд непосредственно на пульт управления SCADA-системы.
  5. Расследование инцидентов по фактам зафиксированных событий из области безопасности, поступающих из промышленной сети и средств защиты.

Сценарии использования InfoWatch ARMA

Рассмотрим сценарии использования центрального продукта всей системы — InfoWatch ARMA Industrial Firewall — более подробно. В зависимости от приоритетных задач, поставленных при каждом конкретном внедрении, InfoWatch ARMA Industrial Firewall может быть развёрнут одним из шести способов (или всеми одновременно).

Защита промышленной сети на границе с корпоративным сегментом

Классический вариант, при котором промышленный сегмент защищается от угроз, возникающих со стороны корпоративной сети, таких как фишинг, заражение вредоносными программами, эксплуатация уязвимостей.

Рисунок 9. Пример вектора информационного воздействия со стороны корпоративного сегмента

Пример вектора информационного воздействия со стороны корпоративного сегмента

В этом случае установка InfoWatch ARMA Industrial Firewall на границе сетей поможет защититься от подобных угроз.

Рисунок 10. Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети на границе с корпоративным сегментом

Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети на границе с корпоративным сегментом

Защита промышленной сети и канала связи при доступе технической поддержки

Канал технической поддержки без дополнительного усиленного контроля может способствовать проникновению вредоносных программ или неумышленно предоставить атакующим удалённый доступ к промышленной сети.

Рисунок 11. Пример вектора информационного воздействия через канал технической поддержки

Пример вектора информационного воздействия через канал технической поддержки

При такой схеме InfoWatch ARMA Industrial Firewall будет полезен не только для защиты от угроз со стороны корпоративного сегмента, но и в качестве средства безопасности при оказании технической поддержки. Он позволит заблокировать неразрешённые действия по установленным заранее правилам и настроенным правам пользователей, а также зафиксировать всю активность.

Рисунок 12. Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети при доступе технической поддержки

Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети при доступе технической поддержки

Разграничение и защита нескольких сегментов АСУ ТП

Нередко случается так, что несколько сегментов АСУ ТП связаны друг с другом на уровне SCADA-систем или даже ПЛК (например, для синхронизации времени по протоколу NTP). Если злоумышленник атаковал одну систему управления через уязвимости ПЛК её уровня, он может получить доступ к смежной АСУ через корпоративный сегмент или смежный уровень логических контроллеров.

Рисунок 13. Пример вектора информационного воздействия на одну АСУ через смежную с ней другую

Пример вектора информационного воздействия на одну АСУ через смежную с ней другую

Чтобы минимизировать риски от воздействий такого типа, в InfoWatch ARMA Industrial Firewall необходимо настроить правила и политики взаимодействия АСУ (в том числе в случае разного уровня их защищённости, например по причине подключения одной из АСУ к внешним сетям), а также ограничить сетевой трафик внутри них.

Рисунок 14. Схема установки InfoWatch ARMA Industrial Firewall для защиты при взаимодействии разных АСУ

Схема установки InfoWatch ARMA Industrial Firewall для защиты при взаимодействии разных АСУ

Защита сети между сегментами SCADA и ПЛК

Современные SCADA-системы с каждым годом дополняются всё новыми функциональными возможностями. Это зачастую превращает их из специализированных устройств в полноценные компьютеры — со всеми вытекающими отсюда рисками не только для самих SCADA, но и для связанных с ними ПЛК. К этим рискам относятся проникновение вирусов, несанкционированное подключение устройств, намеренные или неумышленные деструктивные действия операторов.

Рисунок 15. Пример вектора информационного воздействия на ПЛК со стороны SCADA

Пример вектора информационного воздействия на ПЛК со стороны SCADA

Чтобы минимизировать вероятность воздействия злоумышленника на ПЛК со стороны SCADA-систем, необходимо установить InfoWatch ARMA Industrial Firewall между ними. Это позволит построить дополнительный эшелон защиты и разделить права пользователей.

Рисунок 16. Схема установки InfoWatch ARMA Industrial Firewall для защиты сети между SCADA и ПЛК

Схема установки InfoWatch ARMA Industrial Firewall для защиты сети между SCADA и ПЛК

Мониторинг трафика непосредственно внутри сегмента АСУ ТП

Если по каким-либо причинам установка InfoWatch ARMA Industrial Firewall в режиме обеспечения маршрутизации трафика и блокировки невозможна, то подойдёт пассивная схема внедрения (подключение к зеркалирующим портам SPAN), при которой осуществляется мониторинг сети с получением информации об угрозах и подозрительных действиях пользователей.

Рисунок 17. Схема установки InfoWatch ARMA Industrial Firewall в режиме пассивного мониторинга

Схема установки InfoWatch ARMA Industrial Firewall в режиме пассивного мониторинга

Защищённое VPN-соединение site-to-site

Наконец, устройства InfoWatch ARMA Industrial Firewall могут выступать в качестве образующих VPN-канал шлюзов — при объединении в общую сеть разрозненных производственных площадок или филиалов предприятия, удалённом подключении к ним и т. п.

Рисунок 18. Схема установки InfoWatch ARMA Industrial Firewall для организации защищённого канала между площадками

Схема установки InfoWatch ARMA Industrial Firewall для организации защищённого канала между площадками

Варианты поставки и лицензирование InfoWatch ARMA

Основной и самый «тяжёлый» во всех смыслах компонент системы — InfoWatch ARMA Industrial Firewall — поставляется как в виде программно-аппаратного комплекса, так и в варианте ПО для виртуальной машины (virtual appliance), который поддерживает самые популярные среды: VMware, Oracle VirtualBox, Microsoft Hyper-V, KVM, Bhyve. Поскольку «Инфовотч» не является производителем оборудования, InfoWatch ARMA Industrial Firewall в исполнении ПАК доступен на следующих аппаратных платформах (табл. 1).

Таблица 1. Аппаратные платформы для ПАК InfoWatch ARMA Industrial Firewall

Отметим широкую вариативность типов оборудования (все — без движущихся частей), что является актуальным для клиентов — промышленных компаний. Серверы доступны под три типа монтажа: 19-дюймовая стойка, DIN-рейка и промышленное BOX-исполнение. Гарантийный срок на всё оборудование — 1 год, с возможностью расширения до 5 лет. Независимо от типа поставки InfoWatch ARMA Industrial Firewall поддерживает работу в режиме отказоустойчивого кластера при объединении нескольких нод в режиме «active-passive». Весь трафик в кластере обрабатывает ведущее устройство, а резервное непрерывно синхронизирует с ним свою конфигурацию и берёт на себя функцию обработки трафика в том случае, если ведущее выйдет из строя.

InfoWatch ARMA Industrial Firewall лицензируется максимально прозрачно, исходя из включённого набора функций:

  1. Межсетевой экран и VPN.
  2. Система обнаружения вторжений.
  3. Межсетевой экран, VPN и система обнаружения вторжений (в сумме — тот самый NGFW).

При этом конечная стоимость для заказчика определяется указанным набором функций и выбранной аппаратной платформой, вследствие чего не зависит от объёма трафика, количества пользователей, конечных защищаемых устройств, сетевых сегментов и менее значительной функциональности. Само собой, лицензия гибко расширяется в любой момент при необходимости.

InfoWatch ARMA Industrial Endpoint, представляя собой агент для защиты рабочих станций и серверов, логичным образом лицензируется по количеству конечных устройств. Агенты могут работать на ОС семейства Windows старше версии 7; минимальные системные требования для установки — 500 МБ свободного места на жёстком диске, процессор Intel Pentium 1 ГГц (или совместимый аналог), 2 ГБ оперативной памяти.

Схема лицензирования InfoWatch ARMA Management Console также крайне проста: по числу экземпляров Industrial Firewall и Industrial Endpoint, подключаемых для управления. Для её установки необходимо развернуть ПО на «железном» сервере либо виртуальной машине со следующими параметрами:

  • ОЗУ — не менее 16 ГБ (рекомендовано 32 ГБ),
  • ПЗУ — не менее 80 ГБ,
  • процессор — Intel 2 ГГц или лучше, желательно не менее двух ядер процессора.

Работа с системой InfoWatch ARMA

Для целей тестирования вендор предоставил нам доступ к специальному стенду, в рамках которого развёрнуты все 3 продукта системы InfoWatch ARMA.

Рисунок 19. Схема стенда InfoWatch ARMA для работы с системой и тестирования защиты от атак

Схема стенда InfoWatch ARMA для работы с системой и тестирования защиты от атак

InfoWatch ARMA Industrial Firewall

Для первоначальной конфигурации InfoWatch ARMA Industrial Firewall, как и всех продуктов подобного класса, необходимо задать базовые настройки (IP-адреса, подсети, административные учётные записи, адрес веб-интерфейса и т. п.) через консоль.

Рисунок 20. Инициализация и базовая настройка InfoWatch ARMA Industrial Firewall

Инициализация и базовая настройка InfoWatch ARMA Industrial Firewall

Для дальнейшей настройки InfoWatch ARMA Industrial Firewall воспользуемся привычным веб-интерфейсом. Система поддерживает ролевую модель доступа пользователей, а также авторизацию любым удобным способом (в частности, есть синхронизация с LDAP, поддержка протокола RADIUS и сертификатов, в том числе для VPN). Для дополнительного усиления мер безопасности осуществляется контроль целостности прошивки, также можно вернуться к любой предыдущей конфигурации (они сохраняются), визуально сравнив изменения. На инструментальной панели выводится общая сводка по системной информации, запущенным службам, активным шлюзам.

Рисунок 21. Инструментальная панель InfoWatch ARMA Industrial Firewall

Инструментальная панель InfoWatch ARMA Industrial Firewall

Сразу бросается в глаза обилие всевозможных настроек, что говорит об очень важном аспекте: разрабатывая индустриальный межсетевой экран, вендор в первую очередь качественно сделал обычный, со всеми классическими модулями и необходимыми для маршрутизации и фильтрации трафика настройками. В качестве примера приведём конфигурирование раздела «Межсетевой экран», где для удобства можно использовать метки (названия) для разных подсетей. Кроме ожидаемых правил уровня L4, осуществляется настройка NAT, шейпинга трафика, групп интерфейсов, виртуальных адресов CARP (не во всех обычных МЭ это есть!), можно посмотреть журналы и т. п.

Рисунок 22. Настройка правил межсетевого экрана L2 в InfoWatch ARMA Industrial Firewall

Настройка правил межсетевого экрана L2 в InfoWatch ARMA Industrial Firewall

Помимо стандартного режима маршрутизации на уровне L3 (в том числе доступны популярные динамические протоколы OSPF и RIP) есть поддержка создания неограниченного числа виртуальных интерфейсов для организации сетевого моста в прозрачном режиме (L2). В этом случае он работает как система обнаружения и предотвращения вторжений с возможностью блокировки вредоносных пакетов между сетями одного адресного пространства.

Наибольший интерес для нас, безусловно, представляет раздел «Обнаружение вторжений». Здесь уже начинается специфика АСУ ТП и настраиваются правила контроля на уровне L7 (приложений).

Рисунок 23. Настройка контроля на уровне приложений (L7) в InfoWatch ARMA Industrial Firewall

Настройка контроля на уровне приложений (L7) в InfoWatch ARMA Industrial Firewall

Напомним, что InfoWatch ARMA Industrial Firewall разбирает большинство из самых популярных промышленных протоколов до уровня команд. Благодаря этому при настройке правила, например, для S7 Communication можно задать срабатывания не только по стандартным портам и IP-адресам, но также и по специфическим командам (в нашем случае — команда остановки контроллера, PLCSTOP).

Рисунок 24. Задание правила для контроля команд АСУ ТП в InfoWatch ARMA Industrial Firewall

Задание правила для контроля команд АСУ ТП в InfoWatch ARMA Industrial Firewall

Добавим, что сигнатуры поставляются в систему в стандартизованном формате .rules, есть возможность импортировать свой набор правил. Крайне важной является функция обнаружения устройств в сети и работы с ними (раздел «Сеть»).

Рисунок 25. Обнаружение и регистрация хостов в InfoWatch ARMA Industrial Firewall

Обнаружение и регистрация хостов в InfoWatch ARMA Industrial Firewall

Система автоматически регистрирует новые хосты в контролируемых подсетях (распределяет по интерфейсам), определяет их параметры (IP- и MAC-адреса, тип, производитель и т. п.). Это актуально для сегментов АСУ ТП, поскольку даже просто появление нового неизвестного устройства в технологической сети — это уже инцидент. При необходимости в этом же разделе осуществляются работа с «сырым» трафиком, который записывается по расписанию (формат PCAP), и изучение интересующих потоков напрямую в интерфейсе (инструментарий на базе Tshark).

Рисунок 26. Работа с «сырым» трафиком в InfoWatch ARMA Industrial Firewall

Работа с «сырым» трафиком в InfoWatch ARMA Industrial Firewall

А вот поведенческий анализ трафика / устройств и автоматическое детектирование аномалий на данный момент в продукте не реализованы. Из приятных дополнений — InfoWatch ARMA Industrial Firewall позволяет подключать и запускать различные службы: в том числе, к примеру, можно поднять перехватывающий портал (captive portal) для гостевой аутентификации. В стандартный комплект также входит сервис веб-проксирования на базе популярного ядра Squid.

InfoWatch ARMA Management Console

Любая система централизованного управления и анализа начинается… нет, не с вешалки, но с обзорной панели и индикаторов («дашборда»). Здесь помимо статусной информации отображаются сводки по инцидентам и временная шкала.

Рисунок 27. Мониторинг текущего состояния InfoWatch ARMA Management Console

Мониторинг текущего состояния InfoWatch ARMA Management Console

Для работы с продуктом доступны два лаконичных раздела «Активы» и «Журналы», но, как мы увидим далее, этого вполне достаточно для решения большинства задач. В первом из них автоматически фиксируется и отображается перечень устройств (в том числе промышленных — ПЛК и т. п.), рабочих станций, серверов и подключённых модулей InfoWatch ARMA Industrial Firewall / Endpoint.

Рисунок 28. Работа с активами и устройствами в InfoWatch ARMA Management Console

Работа с активами и устройствами в InfoWatch ARMA Management Console

Чтобы отредактировать информацию по активу, нужно перейти в его карточку. Помимо основных данных, в ней подсвечиваются связанные инциденты, в которые также можно «провалиться».

Рисунок 29. Редактирование инцидента в InfoWatch ARMA Management Console

Редактирование инцидента в InfoWatch ARMA Management Console

Для удобства визуального анализа все активы отображаются на карте сети. Она полностью интерактивна, размечена цветами, пользователь может самостоятельно добавлять свои элементы и связи, группировать их. Для полноты восприятия есть возможность в качестве фона подгрузить графическую схему помещений здания и располагать элементы на карте в привязке к ней.

Рисунок 30. Построение карты активов в сети в InfoWatch ARMA Management Console

Построение карты активов в сети в InfoWatch ARMA Management Console

Система позволяет централизованно управлять средствами защиты InfoWatch ARMA Industrial Firewall и Endpoint. И если первые настраиваются из собственного интерфейса (здесь, в Management Console, параметров не так много, в основном они связаны с менеджментом конфигураций), то для вторых это — основной инструмент администрирования. Также доступно групповое конфигурирование.

Рисунок 31. Управление подключёнными экземплярами Industrial Endpoint в InfoWatch ARMA Management Console

Управление подключёнными экземплярами Industrial Endpoint в InfoWatch ARMA Management Console

Здесь для каждого из агентов настраиваются базовые опции, файлы для контроля целостности, белый список приложений, права доступа для подключения и записи на внешние устройства. Изменённые политики «прилетают» на агенты весьма быстро — в пределах 10 секунд при исправно работающем сетевом доступе.

Рисунок 32. Настройка параметров выбранного экземпляра Industrial Endpoint в InfoWatch ARMA Management Console

Настройка параметров выбранного экземпляра Industrial Endpoint в InfoWatch ARMA Management Console

Переходим к самому интересному — настройке правил корреляции и управлению инцидентами. Для этого предусмотрен соответствующий раздел, где отображается перечень текущих правил.

Рисунок 33. Работа с правилами корреляции в InfoWatch ARMA Management Console

Работа с правилами корреляции в InfoWatch ARMA Management Console

Например, одно из самых распространённых правил — сканирование сети. Принцип его настройки напоминает классический интерфейс SIEM-систем. Помимо базовых параметров и условий срабатывания задаются один или несколько сценариев реагирования (отправка по Syslog, HTTP-запрос, создание инцидента, запуск bash-скрипта, запуск исполняемого файла, создание нового актива, создание правила межсетевого экрана). Указанное ниже в примере правило предполагает создание запрещающего правила на МЭ (Reject).

Рисунок 34. Настройка реагирования в рамках правила в InfoWatch ARMA Management Console

Настройка реагирования в рамках правила в InfoWatch ARMA Management Console

Отдельно задаются параметры самого инцидента (важность, категория, описание с переменными, назначение и т. п.), а также рекомендации из списка, отображаемые в случае его наступления оператору SCADA или сотруднику ИБ — например, перевести АСУ ТП в ручной режим.

Рисунок 35. Задание параметров и рекомендаций по инциденту в InfoWatch ARMA Management Console

Задание параметров и рекомендаций по инциденту в InfoWatch ARMA Management Console

В случае возникновения инцидента последний попадает в соответствующий раздел с необходимыми первичными данными и визуальной индикацией.

Рисунок 36. Сводка по текущим инцидентам в InfoWatch ARMA Management Console

Сводка по текущим инцидентам в InfoWatch ARMA Management Console

Для подробного расследования нужно перейти в карточку инцидента. Работа с ней также интуитивна и привычна: можно назначать инцидент, менять категорию, оценить реакцию, закрыть инцидент.

Рисунок 37. Разбор деталей инцидента в InfoWatch ARMA Management Console

Разбор деталей инцидента в InfoWatch ARMA Management Console

Здесь же отображаются события, связанные с инцидентом, в каждое из которых можно «провалиться» при необходимости. В качестве источников событий пока доступны только собственные продукты из системы InfoWatch ARMA, однако вендор ведёт работу над возможностью подключения иных журналов (операционные системы, SCADA, другие источники).

Рисунок 38. Просмотр деталей события по инциденту в InfoWatch ARMA Management Console

Просмотр деталей события по инциденту в InfoWatch ARMA Management Console

Детектирование и отражение атак с помощью InfoWatch ARMA в режиме реального времени

Чтобы посмотреть, как InfoWatch ARMA справляется с атаками, мы подготовили и реализовали два сценария. О каждом из них — по порядку.

Блокировка атаки на ПЛК по протоколу IEC104

В данном сценарии злоумышленник пытается нарушить работу ПЛК путём отправки вредоносной команды «Запись: остановка» на него. Предварительно настроим правило обнаружения вторжений в InfoWatch ARMA Industrial Firewall, которое будет блокировать такую активность.

Рисунок 39. Настройка правила блокировки в InfoWatch ARMA Industrial Firewall

Настройка правила блокировки в InfoWatch ARMA Industrial Firewall

Для эмуляции промышленного трафика и имитации действий хакера мы воспользуемся двумя инструментами: Qtester104 и Snap7. Сначала запускаем промышленный трафик и «включаем ПЛК», затем с помощью Send Command пытаемся его остановить.

Рисунок 40. Запуск команды для остановки ПЛК

Запуск команды для остановки ПЛК

Замечаем, что команда не выполнилась. Переходим в InfoWatch ARMA Management Console, смотрим инциденты.

Рисунок 41. Зафиксированные инциденты в InfoWatch ARMA Management Console

Зафиксированные инциденты в InfoWatch ARMA Management Console

Далее проверим события, связанные с нашим инцидентом; они действительно говорят о попытке остановить ПЛК.

Рисунок 42. Карточка события по инциденту в InfoWatch ARMA Management

Карточка события по инциденту в InfoWatch ARMA Management

Дополнительно убедимся, что в InfoWatch ARMA Industrial Firewall автоматически отработало соответствующее правило.

Рисунок 43. Срабатывание по правилу в InfoWatch ARMA Industrial Firewall

Срабатывание по правилу в InfoWatch ARMA Industrial Firewall

На реальных объектах мониторинг и блокировка с помощью InfoWatch ARMA определённых команд, отправляемых по сети на промышленное оборудование, могут оказаться полезными не только для отражения атак внешних хакеров. Иногда подобные деструктивные действия случайно выполняются сотрудниками.

Выявление сканирования SCADA и автоматическая блокировка злоумышленника

В данном сценарии хакер при подготовке атаки производит стандартное действие: сканирует хосты на предмет открытых портов, доступных сервисов и наличия уязвимостей. Убедимся, что в InfoWatch ARMA Industrial Firewall настроено правило детектирования попыток сканирования по сети.

Рисунок 44. Настроенное правило в InfoWatch ARMA Industrial Firewall

Настроенное правило в InfoWatch ARMA Industrial Firewall

Для автоматической реакции на подобные инциденты настроим в InfoWatch ARMA Management Console правило, по которому на межсетевом экране будет добавляться новое запрещающее правило для вредоносного источника.

Рисунок 45. Правило корреляции в InfoWatch ARMA Management Console

Правило корреляции в InfoWatch ARMA Management Console

Для эмуляции действий злоумышленника воспользуемся инструментарием из набора Kali Linux и запустим сканирование SCADA-сервера.

Рисунок 46. Запуск сканирования SCADA

Запуск сканирования SCADA

Отмечаем, что сканирование в итоге завершилось неудовлетворительным для хакера результатом. Теперь проверяем срабатывания в InfoWatch ARMA Management Console и убеждаемся, что наш инцидент действительно зафиксирован системой.

Рисунок 47. Инциденты в InfoWatch ARMA Management Console

Инциденты в InfoWatch ARMA Management Console

Наконец, смотрим, действительно ли в InfoWatch ARMA Industrial Firewall в разделе «Межсетевой экран» автоматически создалось правило с блокировкой IP-адреса именно нашей условной «хакерской машины».

Рисунок 48. Созданное автоматически правило блокировки в InfoWatch ARMA Industrial Firewall

Созданное автоматически правило блокировки в InfoWatch ARMA Industrial Firewall

В данном примере продемонстрирована автоматизация, благодаря которой можно обойтись без постоянного ручного занесения IP-адресов в блок-лист. InfoWatch ARMA как раз и призвана максимально упростить рутинные операции, предоставляя вполне широкий инструментарий для реагирования на инциденты.

Соответствие нормативным требованиям и сертификация

Соответствие нормативным требованиям и сертификация Ужесточение условий применения средств защиты информации (да и всего программного обеспечения) в России диктует всё новые требования для компаний практически изо всех отраслей экономики, а не только для государственного сектора, как ранее. К таким требованиям относятся положения 187-ФЗ «О безопасности критической информационной инфраструктуры» и подзаконных актов. Напомним, что комплекс продуктов InfoWatch ARMA позволяет закрывать до 90 % технических мер из приказа ФСТЭК России № 239. Чтобы получить полный список закрываемых требований, необходимо обратиться к вендору напрямую.

Продукты компании «Инфовотч» регулярно проходят процедуру сертификации в системе ФСТЭК России. InfoWatch ARMA Industrial Firewall — не исключение — имеет сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия — решение может применяться на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно. Сертификат подтверждает, что InfoWatch ARMA Industrial Firewall является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющей государственную тайну, реализующим функции СОВ и МЭ, соответствует требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3) и задании по безопасности.

InfoWatch ARMA Industrial Firewall включён в реестр отечественного ПО (регистрационный номер 5937). Кроме того, в 2021 году вендор намерен запустить сертификацию InfoWatch ARMA Industrial Endpoint на соответствие требованиям УД-4 и профиля защиты для СКН и САВЗ (4 класс защиты).

Реальные кейсы применения InfoWatch ARMA

Отдельно стоит остановиться на некоторых историях успешного применения InfoWatch ARMA на практике, собранных из опыта внедрения системы в рамках реализации реальных проектов по защите АСУ ТП.

  1. Проектирование системы защиты в соответствии с выполнением требований 187-ФЗ для компании из энергетического сектора

Благодаря включению в проект отечественного продукта InfoWatch ARMA Industrial Firewall в дополнение к иным базовым средствам защиты (антивирусная защита, резервное копирование и т. п.) удалось закрыть большинство технических мер согласно приказу ФСТЭК России № 239. Кроме этого, с помощью InfoWatch ARMA Industrial Firewall была обеспечена защита от существенной части актуальных угроз из их модели, что позволило сократить общий бюджет проекта.

  1. Обеспечение защиты от атак на АСУ ТП для электрораспределительной компании

Задача заключалась в проведении аудита информационной безопасности АСУ ТП с применением перечня разрешённых команд ряда промышленных протоколов (IEC 60870 5 104, IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE). InfoWatch ARMA Industrial Firewall был установлен на порт зеркалирования трафика промышленного сегмента. В ходе проекта были выявлены уязвимости, случаи вредоносного воздействия и нерегламентированные информационные потоки. В итоге все найденные недостатки были устранены.

  1. Выявление причин сбоев и защита удалённого доступа к газоперерабатывающей подстанции

На объекте фиксировались перебои в работе АСУ ТП, периодически отключались различные агрегаты. На их восстановление требовалось длительное время — более 3 часов. Внедрение InfoWatch ARMA Industrial Firewall позволило детально протоколировать действия технической поддержки, которые теперь осуществлялись по защищённому каналу связи (физически организованному через сеть общего пользования).

Выводы

В ходе изучения и тестирования InfoWatch ARMA мы отметили удобство, продуманность и привычность интерфейса, а также весьма высокий уровень зрелости самих продуктов. Все запланированные сценарии отработали корректно. Важно, что вендор предлагает не только технологии, но и готовые сценарии их применения, решающие вполне конкретные задачи в области киберзащиты АСУ ТП. Для этого коллеги дорабатывают свои продукты, постоянно контактируя с заказчиками и выделяя следующие ключевые и во многом нерешённые проблемы:

  • Большое количество средств защиты может оказаться дорого и трудоёмко размещать на каждом отдельном небольшом сегменте АСУ ТП.
  • Основная задача — снизить вероятность (и негативные последствия) реализации атак, а уже потом улучшать качество их детектирования.
  • У специалистов по информационной безопасности АСУ ТП нет времени и физической возможности заниматься непрерывным мониторингом и «тюнингом» средств защиты.
  • Если инцидент уже развивается, то необходимо как можно оперативнее его локализовать и предотвратить дальнейшее распространение — а использовать для этого разрозненные, не интегрированные между собой средства защиты слишком затратно по времени.

В целом появление новых отечественных решений на этом рынке и усиление конкуренции будут благотворны для заказчиков. Несмотря на заметный рост интереса к теме киберзащиты АСУ ТП за последние годы, решения в этой области развиваются, пожалуй, медленнее, чем отрасль ИБ суммарно. Во-первых, это связано со сложностью внедрения наложенных средств безопасности как таковых, поскольку всё, что связано с технологическим процессом, весьма чувствительно к изменениям. Во-вторых, для успешной разработки и внедрения защитных решений необходима глубокая экспертиза в узких, а иногда и вообще экзотических областях промышленной автоматики. Компания «Инфовотч» фундаментально подходит к данному вопросу, для чего активно работает с производителями таких систем и планирует расширять сотрудничество. В качестве дополнительных точек роста для своих продуктов по киберзащите АСУ ТП вендор отмечает:

  • Наращивание опыта и квалификации в предметной области, обогащение «коробочных» продуктов предустановленной базой знаний, в том числе в разрезе конкретных отраслей промышленности: энергетика, нефтегаз, металлургия и т. п.
  • Улучшение автоматизации, расширение возможных сценариев реагирования и помощи в выстраивании процесса инцидент-менеджмента в области киберзащиты АСУ ТП в целом.
  • Пополнение базы обнаружения целевых для АСУ ТП вторжений как собственными силами, так и в партнёрстве с другими компаниями.
  • Разработка дополнительных функциональных ядер, таких как механизм выявления поведенческих аномалий.

На текущий момент активно развиваются как вся концепция и экосистема киберзащиты АСУ ТП InfoWatch ARMA, так и отдельные продукты в её составе. Много интересных новинок клиенты увидят ещё до конца 2020 года, а почти все выявленные «шероховатости» уже запланированы к доработке в 2021-м.

Достоинства:

  • Большое для рынка число парсеров промышленных протоколов с разбором до уровня команд, что позволяет решать действительно актуальные задачи для обеспечения информационной безопасности АСУ ТП.
  • Концепция экосистемы с единым центром мониторинга и управления, решение большинства задач киберзащиты АСУ ТП «под ключ».
  • Хороший выбор аппаратных платформ, в том числе в промышленном исполнении.
  • Простая политика лицензирования.
  • Большое для промышленного межсетевого экрана число настроек из области «обычного офисного маршрутизатора».
  • Сертификат ФСТЭК России по 4 уровню доверия на соответствие требованиям к межсетевым экранам типа «Д» 4 класса защиты (ИТ.МЭ.Д4.ПЗ) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.ПЗ).

Недостатки:

  • Нет механизма выявления поведенческих аномалий.
  • Для виртуального исполнения нет поддержки некоторых сред (Citrix Xen, Proxmox, Virtuozzo).

Промышленная кибербезопасность благодаря видимости сети

Видимость промышленной сети открывает больше возможностей для защиты АСУ ТП и дает больше данных для своевременного обнаружения и реагирования на кибератаку. Высокая скорость обнаружения сетевых атак, быстрая реакция на инцидент, точная локализация источника угрозы ИБ — все это становится возможным для компаний с высокой видимостью сети и влияет на зрелость процессов кибербезопасности АСУ ТП.

На этом мероприятии будет разобрано, как эти возможности реализуют промышленные межсетевые экраны, например, InfoWatch ARMA Industrial Firewall. Подробно будет рассказано про разбор промышленных протоколов, как можно контролировать сетевой трафик с ИТ- и ОТ-систем, чтобы построить систему ИБ АСУ ТП передового уровня. Цель – кибербезопасность АСУ ТП без нарушения непрерывности производственных процессов.

Кроме того, будет рассмотрены следующие вопросы:

  • Промышленная кибербезопасность на практических кейсах. Как повысить видимость сетей, используя разбор протоколов до конкретных команд, запретить любые действия с ПЛК и даже настроить автоматическую блокировку вредоносных пакетов в трафике от источника угрозы.
  • Какие требования 239 Приказа ФСТЭК России и как закрывает InfoWatch ARMA Industrial Firewall в части сетевой защиты на примере мер: ИАФ, УПД, АУД, СОВ и др.

Сегодняшнее мероприятие проведет Елена Викулина, менеджер по продукту InfoWatch ARMA. И начала она свое выступление с тех вызовов, с которыми приходится сталкиваться вендору – компании InfoWatch и заказчикам, которым нужна защита от разнообразных атак.

Многие компании столкнулись с размытием периметра, когда ИТ- и ОТ-сети проникают друг в друга, и обмен информацией становится все более оживленным. Это происходит и в классических случаях, когда информация собирается с программируемых контроллеров и передается на уровень SCADA, далее в виде агрегированной отчетности это передается в управленческие бизнес-системы, которые находятся в корпоративном сегменте. И также при организации некой связи через ИТ в ОТ, когда надо дать доступ удаленным сотрудникам, каналу технической поддержки и т.д.

При этом целью атаки злоумышленников может быть как некий объект в ИТ-сети, из которого он может перейти в ОТ-сеть, и наоборот.

Теперь об ограниченности видимости сети. На площадках, в корпоративном секторе и на производстве зачастую существует разношерстный парк средств защиты информации (СЗИ) и в некоторых случаях системы управления этим парком СЗИ. Поэтому ИБ-специалистам приходится заходить в каждую систему отдельно, анализировать происходящие там события, перенастраивают систему. Это своего рода лоскутное одеяло. Нет видимости того сегмента, который защищается. Нет возможности быстро понять, где какие уязвимости, и как быстро отреагировать на возникший инцидент. 

Как и везде в ИТ, в этой области также ощущается недостаток квалифицированных кадров. Зачастую один сотрудник работает за десятерых.

В то же время все сильнее ужесточаются требования регуляторов. Это как уточнение требований 239-го приказа, так и выход 76-го приказа и т.д.

АСУ ТП системы могут быть разного размера. Это может быть большая АСУ ТП система, в которой может быть несколько производственных линий с диспетчерским управлением, а может быть небольшая АСУ ТП система, в которой несколько ПЛК и рабочая станция оператора.

К обеим этим системам АСУ ТП предъявляются одинаково строгие требования по ее защите. Также требуется постоянный мониторинг СЗИ, поскольку систем защиты много, но не все они умеют общаться между собой. Зайти в каждую ИБ-систему – на это надо много времени, особенно в случае нехватки ИБ-специалистов. Третий момент – задача снижения возможности реализации атаки. Необходимо создавать эшелонированную систему защиты информации, создавать максимальное количество препятствий для злоумышленника на пути его прохождения к цели, максимально усложнить ему эту задачу, и, в конце концов, сделать так, чтобы он не смог достичь своей цели. Имеется в виду и защита с точки зрения сетевого периметрового оборудования, и защита конечных точек (серверов и рабочих станций). Т.е. необходимо создать максимальное количество препятствий для злоумышленников.

Четвертый момент говорит о том, что, к сожалению, не все атаки можно предотвратить. Есть случаи, когда действует скоординированная группировка профессионалов, которая очень долго готовит свою атаку, обследует объект атаки, комбинирует сложный сценарий с использованием средств социальной инженерии и в то же время технических средств для проникновения и реализации атаки. В этом случае, если атака всё-таки удалась, то первостепенной задачей становится максимально быстрое обнаружение этого проникновения и локализация этой атаки для того, чтобы вредоносное воздействие не распространилось дальше по сети. 

Также с точки зрения АСУ ТП систем, если компьютерная атака совершилась, то необходимо максимально быстро передать инструкции диспетчеру на производственную площадку для того, чтобы он мог принять необходимые меры, например перевел систему на ручное управление. Именно для того, чтобы компьютерная атака не повлекла за собой физический ущерб на производстве. 

Что показал 2020 год? Росло количество атак на промышленный сектор. Особенно когда во время пандемии потребовалось организовывать удаленное подключение к промышленным площадкам. К сожалению, далеко не все сети были готовы к этому. Не везде должным образом была организована защита промышленных сетей. Что и привело к такому показателю, как более 40 кибератак в мире на промышленные системы. 

В свете объединения IT- и OT-сетей для создания эффективной защиты промышленных сетей, необходимо учитывать ряд особенностей промышленных объектов. Попытки устранить риски путем развертывания обычных средств защиты, таких, как обычные межсетевые экраны и т.п., в OT-сетях могут привести к нарушению корректной работы производственных АСУ ТП систем. 

Сами средства защиты на таких площадках должны специально разрабатываться с учетом промышленных протоколов, коммуникаций и служб, которые являются проприетарными для этих производственных сред. Для того, чтобы средство защиты охватывало всю OT-сеть, а не состояло из разрозненных решений, необходимо проектировать защиту на самых базовых уровнях промышленной сети. Один из таких подходов, это создание комплексной сегментированной и многоуровневой системы безопасности. Система должно обеспечивать видимость всех устройств в том сегменте, который мы защищаем, должна предоставлять оперативную аналитику в реальном времени для того, чтобы офицеры ИБ могли принимать своевременные решения. Должна позволять управлять правилами и политиками безопасности, которые будут гарантировать целостность устройств или систем, которые необходимо защитить, и в то же время защищать критические компоненты технологической сети. Исходя из всего вышесказанного, компания InfoWatch и построила программный комплекс InfoWatch ARMA, который призван защищать АСУ ТП системы.

В левой части вышеприведенного слайда можно увидеть схематичное изображение этого комплекса. В самом его фундаменте находится первый компонент — система защиты InfoWatch ARMA Industrial Firewall. Она является межсетевым экраном нового поколения, и призвана защищать на сетевом уровне. Ей следует выполнять как функции межсетевого экрана, так и обнаруживать вторжения и осуществлять мониторинг, когда это необходимо.

Следующая часть (посередине «дома») это продукт InfoWatch ARMA Industrial Endpoint. Это новый продукт. Он был выпущен в 2020 году и призван защищать рабочие станции и сервера, конечные устройства. 

И третий продукт (крыша «дома»), выпущенный в 2020 году, носит название InfoWatch ARMA Management Console. Он позволяет объединять продукты InfoWatch ARMA в единую систему и организовывать единый центр реагирования и управления инцидентами. Все это вместе и позволяет построить эшелонированную защиту с единым центром управления, выполнить большое количество требований регулятора, а также снизить стоимость владения и ресурсов на сопровождение этой системы.

На этом слайде представлена общая схема, которая показывает, как могла бы выглядеть инсталляция, когда используются все средства защиты InfoWatch ARMA. На левой части слайда можно видеть значки InfoWatch ARMA Industrial Firewall. Это межсетевой экран для промышленных сетей, который может ставиться в нескольких вариантах. Например, он может отделять корпоративный сегмент от промышленной сети, и контролировать доступы в промышленную сеть и передачу данных между этими сетями. Он также может стоять на границе подключения техподдержки на площадку с АСУ ТП системой. Допустим, если кому-то из вендоров АСУ ТП необходимо иметь доступ к самой производственной площадке. Здесь ARMA Industrial Firewall может как раз контролировать подключение внешних пользователей, распределять между ними права, устанавливать различные правила, в том числе, что они могут делать, а что не должны. 

В третьем варианте ARMA Industrial Firewall может стоять внутри технологической сети, и проводить так называемую микросегментацию. Отделяя друг от друга смежные АСУ ТП системы, либо распределяя права пользователей внутри нее. 

Следующий компонент InfoWatch ARMA Industrial Endpoint может ставиться на конечные устройства. На слайде представлена в качестве примера установка InfoWatch ARMA Industrial Endpoint на сервер SCADA. 

И отдельно, третий компонент InfoWatch ARMA — это Management Console, который представлен в левой части слайда. Она собирает события с подключенных к ней систем защиты, объединяет их по определенным правилам в инциденты, позволяет назначить автоматизированные и автоматические реакции на эти инциденты, уведомлять ИБ-сотрудников и инженеров на технологических площадках, и позволять видеть всю сеть, управлять подключенными СЗ и т.д. Т.е. это комплексная система, которая позволяет закрыть больше количество задач защиты промышленных сетей, и в то же время обеспечить высокую видимость защищаемой сети и событий, которые в ней происходят.

Как можно использовать систему InfoWatch ARMA. С ее помощью можно организовать эшелонированную защиту информации. Вторая концепция, когда замкнута защищенная среда, значит обеспечивается защита конечных устройств. Т.е. средства защиты настраиваются таким образом, чтобы злоумышленник не смог попасть на оконечные устройства, либо, даже если какой-то некий вредонос туда попадет, чтобы он не смог запуститься и выполнить свою задачу.

Третья концепция — полная видимость событий. Когда мы видим сеть, видим подключенные средства защиты, видим события, и можем оперативно на них реагировать. И, когда мы организуем взаимодействие службы ИБ и службы диспетчеров на производстве с точки зрения слаженных действий по обработке возникающих инцидентов.

Четвертая концепция — это автоматизация работы с инцидентами, это автоматические реакции. Это интеграция с внешними системами.

Почему так важна видимость событий? К сожалению, большинство атак в настоящее время реализуется через получение доступа из Интернета. И, если мы не видим всех устройств в защищаемой сети, и не видим, что к чему подключено, и каким именно образом, и что где-то есть доступ в Интернет, который должным образом не защищен, то, мы не можем обеспечить защиту объекта на должном уровне. Теперь про ложные срабатывания. К сожалению, большинство средств защиты дает большое количество как истинных срабатываний, так и ложных. И поэтому, если есть некий центр управления, который позволяет акцентировать внимание специалистов только на истинных срабатываниях, которые представляют собой наибольшую важность, и позволяют работать сними оперативно и своевременно, это значительно повышает общий уровень защищенности АСУ ТП системы. Атаки не случаются мгновенно. Примерно от трех до шести месяц занимает разведка у киберпреступников, нацеленных на АСУ ТП. И, если мы добавляем некую слепоту систем защиты, или добавляем действия по неким нестандартным портам, то высока вероятность реализации такой атаки.

InfoWatch ARMA

Первое средство защиты, которое находится в базисе — это промышленный межсетевой экран нового поколения InfoWatch ARMA Industrial Firewall. 

Он сейчас проходит сертификацию ФСТЭК России по профилю защиты межсетевые экраны типа «Д» по 4-му уровню доверия, и также он включает в себя систему обнаружения вторжений, которая также проходит сертификацию по профилю системы обнаружения вторжений по 4-му уровню доверия. И в свою очередь Industrial Firewall уже включен в реестр российского ПО, и находится на сайте Минкомсвязи.

Какие задачи призван решать межсетевой экран Industrial Firewall? Прежде всего это глубокая инспекция промышленных протоколов, которые используются непосредственно в промышленных сетях, причем InfoWatch умеет анализировать не только заголовки пакетов, но также разбирать их по полям. И здесь можно увидеть, какие конкретно функции пытается задействовать злоумышленник в своей атаке. Следующая часть — это межсетевое экранирование для промышленных объектов, в том числе блокировка неких недопустимых действий злоумышленников. Допустим, это блокировка неприемлемых действий с ПЛК, когда злоумышленник пытается остановить ПЛК. Или подключение к АСУ ТП сети, которая невозможна для того или иного пользователя. Или же это попытки управления по сети некими устройствами. Все это мы можем увидеть. Также мы можем разделять доступы внутри АСУ ТП сети между различными пользователями. Например, инженерам давать права на чтение и запись некоторой информации, а операторам давать только на чтение некоей информации. И также сегментировать смежные АСУ ТП системы, и разделять корпоративную и производственную сети.

Теперь несколько слов об одной из функций межсетевого экрана – о системе обнаружения вторжений (СОВ). Эта система позволяет обнаруживать не только попытки эксплуатации так называемых классических уязвимостей. (Имеется ввиду уязвимости ОС, базы данных, сканирования сети и т.д.) Но и обнаруживать попытки проникновения в АСУ ТП системы. СОВ содержит у себя на борту преднастроенные правила обнаружения вторжений, которые выглядят как обычные уязвимости, так и уязвимости АСУ ТП системы. В то же время система позволяет добавлять свои собственные правила обнаружения вторжений. Кроме того, компания InfoWatch предоставляет подписку на получение обновлений по базе правил обнаружения вторжений.

Четвертая функция межсетевого экрана — это организация безопасного удаленного подключения. К примеру, если инженеру необходимо подключиться на площадку с АСУ ТП системой, когда неожиданно возникла некая непредвиденная ситуация, и, допустим, уже закончился его рабочий день, либо необходимо подключение внешних пользователей техподдержки площадки АСУ ТП. Все это можно решать за счет организацией VPN канала на InforWatch Industrial Firewall с назначением определенных прав этим пользователям и управление этими правами и т.д.

Теперь чуть более подробно об организации глубокой инспекции промышленных протоколов. На слайде представлены два списка. Более полный список позволяет обнаруживать вторжения по перечисленным протоколам, а список, который чуть поменьше, позволяет производить фильтрацию по полям этих протоколов, и даже обнаруживать те функции, которые пытаются задействовать злоумышленники. Эти два списка не являются конечными, вендор постоянно работает над тем, чтобы расширить список анализируемых полей протоколов, добавлять новые протоколы. Вендор готов обсуждать с заказчиками и партнерами внесение дополнительных протоколов в этот с список.

Что можно сделать с помощью Industrial Firewall с точки зрения сценариев защиты АСУ ТП систем посредством фильтрации протоколов? Прежде всего, это глубокая инспекция пакетов промышленного трафика, которая позволит повысить видимость промышленной сети, увидеть несанкционированные действия, увидеть, что конкретно злоумышленники хотят использовать, какие функции они пытаются запустить, и не только видеть, но и ограничивать промышленный трафик на уровне конкретных промышленных протоколов.

Единый центр управления системой защиты InfoWatch ARMA

Следующая система защиты — это единый центр управления защитой Manager Console, который призван реализовать централизованное управление и управление теми средствами защиты InfoWatch ARMA, которые к нему подключены. Инциденты гораздо удобнее обрабатывать, когда они поступают в единую консоль. 

И Manager Console собирает все события ИБ с подключенных к ней СЗИ, объединяет их в инциденты и показывает в виде взаимосвязанной цепочки. Уже предобработанные инциденты система может передавать в вышестоящие системы, либо можно работать с ними непосредственно в Manager Console. Сама Manager Console и ее функционал позволяет не только управлять инцидентами и расследовать их, но и реагировать на них. Как говорилось выше, она позволяет настроить автоматические реакции. Например, в результате возникновения некоего инцидента в автоматическом режиме может создастся правило для межсетевых экранов и распространиться по всем подключенным Industrial Firewall, может быть автоматически отправлено сообщение с инструкциями к действию специалисту ИБ, а также инженеру на производственной площадке, чтобы он мог оперативно предпринять действия по предотвращению физической аварии на производстве. Manager Console дает полную картину безопасности на производстве: какие подключены устройства, как они взаимосвязаны друг с другом, какие события происходят, какие имеются уязвимости и т.д.

На слайде представлен один из сценариев, о котором немного упоминалось ранее. На один из межсетевых экранов поступает вредоносное воздействие. Система его видит и регистрирует событие — сообщение о кибератаке. Направляет это событие в Manager Console. В свою очередь Manager Console обрабатывает это событие в соответствии с правилами, которые на ней настроены, создает инцидент, в результате обработки этого инцидента создает автоматические правила блокировки, которые распространяет по всем подключенным межсетевым экранам. На слайде подсвечен межсетевой экран, который, к примеру, может находиться где-то в филиале и направлять соответствующие уведомление и инструкции специалистам ИБ, диспетчерам АСУ ТП системы.

Что касается интеграции, то важно чтобы система защиты информации была способна общаться с другими системами защиты, передавать и получать информацию, обмениваться ею. Программный комплекс InfoWatch ARMA позволяет интегрироваться с внешними системами по общим протоколам взаимодействия.

В свою очередь InfoWatch ARMA может интегрироваться с внешними системами, когда Manager Console уже предобработала события, собрала их в инциденты и они через Manager Console отправляются в вышестоящие системы. Так в свою очередь и каждый из продуктов комплекса InfoWatch ARMA может сам интегрироваться с внешними системами, и обмениваться информацией, используя общий протокол  и открытое API.

InfoWatch ARMA позволяет закрыть очень большое количество требований ТЭК. 

Допустим, в приказе №239 не указано, с помощью каких конкретно мер организационных или технических должны выполняться сами требования приказа. Также не указано с помощью чего эти меры могут выполняться. Сотрудники InfoWatch взяли приказ №239, , оценили, какие меры с помощью каких классов средств защиты могут быть выполнены. Для самых распространенных 2-й и 3-й категорий мы оценили, какие меры могут быть выполнены с помощью наших продуктов. И мы получили число, очень близкое к 90%, и собрали результаты в виде аналитической таблицы, где представлены требования приказа, меры, классы СЗИ и применимость наших систем для выполнения требований приказа. На слайде представлена краткая информация, где вы можете увидеть, что у нас остаются открытыми только раздел 10, который относится к физической безопасности, и разделы с 14 по 17, которые касаются организационных мер. Все остальные разделы мы закрываем нашими продуктами. И только раздел 6, который относится к требованиям по антивирусной защите, находится в разработке. В скором времени и этот раздел тоже будет закрыт. 

Сейчас на главной

В статье рассмотрены угрозы информационной безопасности АСУ ТП (автоматизированных систем управления технологическим процессом) и способы защиты с помощью InfoWatch ARMA ― отечественной системы для обеспечения кибербезопасности на промышленных предприятиях.

Автор: Савинов Кирилл, главный системный архитектор отдела ИБ компании «РАССЭ» (ГК «АйТеко»).

Актуальное состояние кибербезопасности АСУ ТП

В 2020 году заметно выросло количество атак на промышленные предприятия: на 60% больше, чем в 2019 г., следует из аналитического отчета Positive Technologies за 2020 г.

Резкий всплеск наблюдается и в количестве уязвимостей, найденных в оборудовании АСУ ТП. Всего в 2020 году обнаружено почти на 25% больше уязвимостей АСУ ТП, чем в 2019 г., по данным отчета компании Claroty («О рисках уязвимостей систем промышленного контроля: 2-е полугодие 2020 года»). Обнаруженные уязвимости АСУ ТП, в основном, затрагивают сектора промышленного производства, энергетики и водоснабжения. По сравнению с первым полугодием 2019 г., в первом полугодии 2020 г. количество уязвимостей в секторе водоснабжения выросло на 122%, в энергетическом секторе — на 58,9%, в сфере промышленности — на 87,3%.

Также нельзя забывать и о таких последствиях пандемии, как удалённая работа и поддержка удалённых рабочих мест, которые создают дополнительные каналы доступа к сетям предприятий, что увеличивает шансы возникновения инцидентов информационной безопасности.

Векторы атаки

Как отмечают многие отраслевые исследователи, повысить возможность злоумышленнику провести кибератаку дает наличие подключения промышленной сети к корпоративной.

Результаты исследования компании Positive Technologies показали, что проникнуть в технологическую сеть из корпоративной удается в 55% случаев. Злоумышленники используют такие недостатки безопасности, как например незащищенные каналы администрирования и недостаточно эффективная сегментация. В некоторых случаях технологические системы вообще не сегментированы и представляют собой «плоские» сети.

Какие классы решений для защиты выбрать и почему?

Система защиты АСУ ТП от кибератак

Компания InfoWatch в 2020 году представила систему защиты информации в АСУ ТП – InfoWatch ARMА, которая позволяет защитить АСУ ТП как на уровне сетевого трафика, так и конечных узлов, а также предоставляет возможность централизованного управления всей системой защиты. InfoWatch ARMA Industrial Firewall (входит в состав системы InfoWatch ARMA) имеет сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия – решение может применяться на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно. Сертификат подтверждает, что InfoWatch ARMA Industrial Firewall является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющей государственную тайну, реализующим функции СОВ и МЭ, соответствует требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3) и задании по безопасности. InfoWatch ARMA Industrial Firewall включён в реестр отечественного ПО (регистрационный номер 5937). В целом, как заявляют разработчики, система позволяет выполнить до 90% технических мер Приказа №239 ФСТЭК России.

На данный момент InfoWatch ARMA состоит из трёх продуктов:

  • InfoWatch ARMA Industrial Firewall – промышленный межсетевой экран нового поколения (NGFW). Сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия, соответствие требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3). Включен в Единый реестр российского ПО Минкомсвязи РФ.
  • InfoWatch ARMA Industrial Endpoint – средство защиты промышленных АРМ и серверов АСУ ТП;
  • InfoWatch ARMA Management Console – средство централизованного управления системой защиты InfoWatch ARMA.

Предусмотрена интеграция системы InfoWatch ARMA в существующую инфраструктуру предприятия, в том числе с SIEM-системой (через syslog), антивирусным средством защиты или DLP (по ICAP) для повышения прозрачности промышленной сети и большей наблюдаемости событий информационной безопасности.

Почему в InfoWatch ARMA именно такой набор средств защиты?

Система InfoWatch ARMA проектировалась с учетом подхода эшелонированной (многоступенчатой) защиты с целью предотвращения или сдерживания атаки. InfoWatch ARMA позволяет выстроить эшелоны защиты на уровнях и сети, и оконечных устройств. Благодаря тому, что продукты системы InfoWatch ARMA интегрированы между собой, сотрудник ИБ АСУ ТП видит картину ИБ целиком, опираясь на данные от всех средств защиты информации. Это позволяет своевременно локализовать атаку и предотвратить ее распространение.

В конце 2021 года также планируется добавление модулей Sandbox (анализ файлов в антивирусной песочнице) и Honeypot – сенсор для имитации оборудования с целью выявить вредоносную активность злоумышленника.

Рассмотрим функциональность InfoWatch ARMA детально.

Возможности продукта InfoWatch ARMA Industrial Firewall

1. Маршрутизация и межсетевое экранирование

InfoWatch ARMA Industrial Firewall поддерживает стандартные функции межсетевого экрана (фильтрация трафика на L3, проксирование) и маршрутизатора (NAT, статическая и динамическая маршрутизация). Отдельно можно отметить функции для создания VPN-туннелей. Они позволят создать защищённую распределённую сеть АСУ ТП.

Функции межсетевого экрана можно использовать для сегментации корпоративных и промышленных сетей, а также реализации задачи микросегментации внутри технологической сети – например, отделения смежных АСУ ТП разной категории значимости и контроля передаваемой между ними информации.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение на границе с корпоративным сегментом

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для обеспечения безопасной связи со смежными АСУ ТП

2. DPI (глубокая инспекция пакетов) промышленного трафика c функцией фильтрации до уровня команд, адресов и значений

InfoWatch ARMA Industrial Firewall разбирает передаваемый трафик, определяя по заголовкам и содержимому IP-пакета тип протокола. Более того, для значительной части промышленных протоколов возможно определение конкретной команды, посылаемой на оборудование, а также внутренних адресов протокола и передаваемых значений.

Установка InfoWatch ARMA Industrial Firewall возможна на уровне SCADA-систем или между SCADA и ПЛК. Такая топология нужна предприятиям не всех отраслей, но в отдельных случаях даёт возможность обнаруживать и блокировать опасные для технологического процесса команды.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для мониторинга внутри АСУ ТП

DPI возможен для следующих протоколов:

  • Modbus TCP;
  • Modbus TCP x90 func. code (UMAS);
  • S7 Communication;
  • OPC DA | OPC UA;
  • IEC 60870-5-104;
  • IEC 61850-8-1 MMS;
  • IEC 61850-8-1 GOOSE.

Данный список постоянно дополняется новыми протоколами и полями протоколов.

3. Обнаружение и предотвращение вторжений

Система обнаружения вторжений (СОВ) InfoWatch ARMA Industrial Firewall позволяет находить вредоносную активность, направленную на промышленные объекты, благодаря специально разработанным базам правил и механизмам с учетом промышленной специфики. СОВ может работать как в режиме обнаружения вторжений (IDS), так и в режиме предотвращения вторжений (IPS).

СОВ поставляется с базой решающих правил, включающих реагирование на эксплуатацию уязвимостей корпоративной инфраструктуры и АСУ ТП.

Для пользователей существует возможность добавления собственных решающих правил, а также приобретение подписки на обновление правил от вендора систем защиты информации.

По каждому срабатыванию правила СОВ предоставляется информация о предполагаемом злоумышленнике, объекте атаки, вредоносном воздействии, статусе (пакет заблокирован или пропущен – в зависимости от настроек).

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс просмотра срабатываний правил СОВ

Список протоколов, разбираемых СОВ, шире, чем для DPI, и включает в себя:

  • Modbus TCP;
  • Modbus TCP x90 func. code (UMAS);
  • S7 Communication | S7 Communication plus;
  • OPC DA | OPC UA;
  • IEC 60870-5-104;
  • IEC 61850-8-1 MMS;
  • IEC 61850-8-1 GOOSE;
  • ENIP / CIP;
  • PROFINET;
  • DNP3.

4. Портал авторизации

InfoWatch ARMA Industrial Firewall обладает функциональностью аутентификации и разграничения прав внешних пользователей при подключении в защищаемую сеть. Аутентификация производится с использованием портала авторизации в соответствии с учетными записями (локальными или LDAP).

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс портала автоматизации

Таким образом, можно контролировать подключение удаленных пользователей к площадке или организовать доступ технической поддержки производителя АСУ ТП.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Применение для обеспечения безопасной связи с технической поддержкой

Возможности InfoWatch ARMA Industrial Endpoint

1. Создание замкнутой программной среды с встроенными функциями обучения

Одна из задач, решаемых InfoWatch ARMA Industrial Endpoint, – создание замкнутой защищенной среды, когда на конечном устройстве запускается только доверенное программное обеспечение из белого списка. В таком случае нет необходимости проверять каждый файл и нагружать оборудование, как это делает антивирусное средство защиты. Вредоносное программное обеспечение не сможет повлиять на систему даже при загрузке на рабочую станцию.

InfoWatch ARMA Industrial Endpoint обладает встроенными функциями обучения, благодаря которым система изучает запущенные программы и формирует «белый список» программного обеспечения.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления белыми списками ПО

2. Контроль съёмных носителей

InfoWatch ARMA Industrial Endpoint позволяет защитить конечные устройства, ограничив права на использование съемных носителей (USB, диски, портативные устройства и т.д.) для уменьшения возможностей заражения рабочей станции или утечки информации с неё.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления съемными носителями

3. Контроль целостности файлов

Дополнительная возможность – контроль целостности файлов и директорий. Это позволяет отслеживать любые изменения в файлах и директориях, избегая риска внесения вредоносных изменений в файлы или подмены файлов.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс управления контролем целостности

Возможности InfoWatch ARMA Management Console

1. Централизованное управление

InfoWatch ARMA Management Console является единым центром управления системой защиты InfoWatch ARMA. Система агрегирует информацию с подключенных средств защиты и позволяет оперативно оценить текущую защищенность объектов.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Обзорная панель InfoWatch ARMA Management Console

Возможно централизованно осуществлять настройку конфигураций средств защиты, входящих в состав системы InfoWatch ARMA, обновлять базы решающих правил СОВ и гибко применять единую конфигурацию к нескольким межсетевым экранам. Всё это сокращает время на администрирование системы ИБ.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Управление системами защиты InfoWatch ARMA

2. Расследование инцидентов и настройка правил автоматического реагирования на них

Одна из важных задач, которую позволяет решить InfoWatch ARMA Management Console – повышение качества и скорости реагирования на событие ИБ.

События безопасности, поступающие от подключенных средств защиты информации системы InfoWatch ARMA, анализируются и при обнаружении вредоносных действий формируются в инцидент ИБ.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс работы с инцидентами

Для оперативного реагирования на инциденты ИБ возможна настройка правил реагирования. Это позволит снизить нагрузку на штат сотрудников ИБ в условиях кадрового дефицита.

К примеру, можно настроить условия формирования инцидента ИБ с автоматической отправкой рекомендаций по решению инцидента сотрудникам ИБ и операторам на производстве. Таким образом, максимально повышается скорость реагирования по устранению несанкционированного доступа к конфиденциальной информации и несанкционированных действий в АСУ ТП.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс настройки правил корреляции, создание инцидента

Кроме того, возможна настройка автоматического формирования правила блокировки на межсетевом экране, которое распространится по всем указанным InfoWatch ARMA Industrial Firewall.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс карточки инцидентов

InfoWatch ARMA Management Console обладает полным инструментарием для управления жизненным циклом инцидента ИБ при его расследовании. Кроме того, информацию об инциденте ИБ можно отправить во внешние системы SIEM или SOC.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс просмотра и управления инцидентами

3. Визуализация сети

InfoWatch ARMA Management Console предоставляет функциональность построения карты сети, учета активов и средств защиты. Это позволит лучше видеть взаимосвязь событий безопасности как единого целого, найти уязвимые места сети.

Карта сети позволяет наглядно определить, на каких устройствах был выявлен инцидент. В случае, если инцидентов несколько, можно получить доступ к их перечню тут же на экране карты сети.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Интерфейс карты сети

Сценарии внедрения

InfoWatch ARMA Industrial Firewall предусматривает установку в сеть в одном из четырех вариантов (режимов работы). Режим работы определяется настройками сетевых интерфейсов и количеством устройств:

  1. режим маршрутизации;
  2. режим прозрачного моста;
  3. режим sniffing mode (обнаружение вторжений путем анализа копии сетевого трафика, снятого со SPAN порта);
  4. режим отказоустойчивого кластера.
  1. Маршрутизация

В режиме маршрутизации InfoWatch ARMA Industrial Firewall – межсетевой экран с функциями обнаружения и предотвращения вторжений, обеспечивающий защиту информации на уровне L3.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим маршрутизации

2. Прозрачный мост

В режиме прозрачного моста InfoWatch ARMA Industrial Firewall функционирует как система обнаружения и предотвращения вторжений в прозрачном режиме с возможностью блокировки вредоносных пакетов. Интерфейсы при этом соединены в сетевой мост.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим прозрачного моста

3. Sniffing mode

В режиме sniffing mode (мониторинга) InfoWatch ARMA Industrial Firewall анализирует копию сетевого трафика со SPAN портов сетевых устройств и выявляет атаки в сети.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим sniffing mode (мониторинга)

4. Отказоустойчивый кластер

В режиме отказоустойчивого кластера несколько InfoWatch ARMA Industrial Firewall объединяются в единый кластер в режиме active-passive. При выходе из строя одного из InfoWatch ARMA Industrial Firewall сетевую доступность обеспечивает оставшееся устройство.

InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

Режим отказоустойчивого кластера

InfoWatch ARMA Industrial Endpoint – модуль защиты конечных устройств устанавливается на промышленный сервер или рабочую станцию, настраивается синхронизация с InfoWatch ARMA Management Console, за счет чего возможно централизованное конфигурирование всех подключенных InfoWatch ARMA Industrial Endpoint и сбора с них события безопасности.

InfoWatch ARMA Management Console – компонент управления, выполненный в виде виртуальной машины или самостоятельного устройства. Он может быть установлен в любую зону промышленной сети или DMZ, при единственном условии ― наличие сетевой связности с управляемыми модулями.

Лицензирование и варианты поставки

InfoWatch ARMA – комплексная система защиты информации в АСУ ТП. При этом лицензии на составляющие его продукты могут приобретаться независимо друг от друга.

  • InfoWatch ARMA Management Console лицензируется по количеству подключаемых к консоли управления объектов InfoWatch ARMA, лицензия бессрочная;
  • InfoWatch ARMA Industrial Endpoint лицензируется поштучно, лицензия на год;
  • InfoWatch ARMA Industrial Firewall лицензируется по объему пропускаемого трафика. При этом отдельно лицензируются компоненты DPI и СОВ.

Варианты поставки также могут комбинироваться. Типовым вариантом является установка аппаратных межсетевых экранов с подключением их к консоли управления, которая может функционировать на сервере виртуализации.

  1. InfoWatch ARMA Management Console поставляется в виде ПАК либо готового образа для среды виртуализации.

Системные требования:

  • Процессор 2,0 ГГц, 2 ядра;
  • ОЗУ 16 ГБ;
  • Жёсткий диск от 120 ГБ.
  • InfoWatch ARMA Industrial Endpoint выполнен в виде msi-файла для установки на целевую систему. Системные требования: ОС Windows 10.
  • InfoWatch ARMA Industrial Firewall может быть поставлен в виде ПАК или в виде образа для установки на физическую или виртуальную машину. Виды ПАК и их характеристики перечислены ниже. Для использования установочного образа нужны следующие минимальные требования:
  • процессор 2,0 ГГц, 2 ядра;
  • ОЗУ 8 ГБ;
  • жёсткий диск 120 ГБ, SSD;
  • 2 Ethernet 10/100/1000 Мбит/сек.

Машина обеспечит защиту 150 Мбит/с трафика. Если же потребуется увеличить пропускную способность, то можно масштабировать ресурсы.

Поставляемые ПАК InfoWatch ARMA Industrial Firewall:

  ARMAIF-RUGRACK
ARMAIF19RACK ARMAIF-DIN
ARMAIF-BOX
Исполнение 1 Unit исполнение для монтажа в стойку. Промышленное исполнение, без движущихся частей 1 Unit исполнение для монтажа в стойку. Серверное исполнение Для монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частей Для монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частей
Пассивное охлаждение Да Нет Да Да
Общая пропускная способность всего устройства с включенным модулем МЭ До 4 Гб/с До 6 Гб/с До 1 Гб/с  До 2 Гб/с
Общая пропускная способность всего устройства с включенными модулями МЭ DPI и СОВ До 500 Мб/с До 500 Мб/с До 80 Мб/с До 180 Мб/с
Межсетевой экран, количество одновременных соединений (сессий) До 2 000 000 До 8 500 000 До 250 000 До 1 000 000

Выводы

Защита информации промышленной сети является необходимостью. Практика показывает, что даже при наличии «воздушного зазора» между корпоративной и промышленной сетью киберпреступники могут достигать своих целей. Поэтому необходимо защищать АСУ ТП, контролировать информационные потоки с помощью средств защиты информации.

InfoWatch ARMA – комплексное решение для обеспечения защиты АСУ ТП с единым центром управления. Благодаря интегрированности всех продуктов между собой и гибкой политике лицензирования возможно защитить даже небольшое производство, установив сначала средство защиты на хостах или промышленный межсетевой экран нового поколения в режиме СОВ. Внедрение InfoWatch ARMA не потребует значительных ресурсов. Для больших промышленных производств  InfoWatch ARMA предлагает возможность глубокой сегментации сети, защищённое объединение географически разнесённых АСУ ТП. Автоматизация создания инцидентов ИБ и реагирования на них позволит повысить эффективность существующего штата ИБ.   

Специалисты компании «РАССЭ» (ГК «АйТеко») внедряют системы защиты промышленных сетей. Мы работаем как с интеллектуальными системами, использующими искусственный интеллект для контроля аномалий, так и с простыми межсетевыми экранами. InfoWatch ARMA хотя и не содержит в себе нейронных сетей, но является актуальным решением, предназначенными для обеспечения безопасности АСУ ТП. Это надёжная система, хорошо зарекомендовавшая себя у заказчиков «РАССЭ».

Подводя итоги, можно рекомендовать к использованию InfoWatch ARMA в качестве решения для защиты АСУ ТП.

The main articles are:

  • Firewall
  • Security Information and Event Management (SIEM)

InfoWatch ARMA is a domestic system for information protection in, APCS which includes industrial firewall to identify and block attacks at the network, transport and application levels.

2022

Compatibility of InfoWatch ARMA Industrial Firewall and ARIES controller PLK210

Companies InfoWatch ARMA and LLC «» ARIES conducted compatibility tests for firewall InfoWatch ARMA Industrial and, Firewall ARIES CONTROLLER PLK210 which is widely used at various industrial facilities to control automation systems. This was announced by InfoWatch on December 27, 2022.

As a result, it was found that InfoWatch ARMA Industrial Firewall can be used in conjunction with ARIES devices for efficient protection industrial infrastructures from unauthorized access attacks malefactors and as an industrial firewall, which is especially important in 2022, with the current increase in threats. cyber security

File:Aquote1.png

It is important to replace foreign equipment for, and industrial automation the company is glad to see that market there are confident players on this. It was important to adapt the InfoWatch ARMA Industrial Firewall for PLK210 and ensure compatibility of complexes. In time compatibility tests, the products showed steady performance. This enables customers to use this end-to-end solution to provide, safety

told Igor Soul, Director of Product Development InfoWatch ARMA.

File:Aquote2.png

File:Aquote1.png

The instruments support basic industrial and application protocols. The main communication interface of ARIES is PLK210 Ethernet. The controller has 4 Ethernet ports, 3 of which are combined into a controlled switch, allowing you to work as a gateway between an industrial network and an enterprise network. All devices of the company undergo comprehensive testing and have supporting certificates, including an industrial safety certificate. The company is pleased to discover other opportunities to protect automation objects from unauthorized intrusion in conjunction with InfoWatch ARMA,

noted Stepan Bondarev, product manager of PO ARIES LLC.

File:Aquote2.png

The emergence of InfoWatch ARMA Industrial Firewall collaboration capabilities with the PLK210 controller will expand the usability of a firewall that can effectively repel hacker attacks and ensure the safe operation of information systems using Industry 4.0 elements.

Installation with Trinities Servers

InfoWatch ARMA has begun cooperation with Trinities in terms of expanding the line of used hardware platforms and providing the market with secure software and hardware complexes (PAC) of Russian production. The company Trinities announced this on December 2, 2022. Read more here.

Compatibility InfoWatch ARMA Industrial Firewall version 3.5 and DPA

InfoWatch ARMA, part of InfoWatch Group of Companies and Yaviar Engineering, a Russian engineering company, announced on October 25, 2022 the compatibility of the next generation of industrial network screen InfoWatch ARMA Industrial Firewall version 3.5 and IT solutions DPA (Digital Process Automation).

The study testings confirmed the compatibility and possibility of using InfoWatch ARMA Industrial Firewall as a firewall and intrusion detection system for production monitoring and management systems offered by Yaviar Engineering.

DPA industrial equipment monitoring and diagnostics systems enable large industrial enterprises to get an accurate and complete picture of production in real time, time necessary for effective management of important production processes; Prevent numerical control (CNC) machine malfunctions in advance determine the degree of workload of production equipment and correctly build the entire production process. Production line management with DPA is automated, saving employees time and effort.

File:Aquote1.png

The efficiency of any production is determined by the state of the equipment and control over the parameters of technical processes. This is only possible if each of the elements of the production line is continuously monitored for the most important characteristics, and the monitoring system quickly finds and transmits primary signals about upcoming failures. The safety of a large manufacturing plant is based on the same principles: the main thing here is to determine in advance and prevent the possibility of intrusion, shutdown of production and causing significant damage from large-scale downtime or failure. If such solutions work together and are domestic as in this case, then it can be considered that production processes are extremely reliably protected,

noted the head of the DPA «Yaviar Engineering,» Alexey Oreshkin.

File:Aquote2.png

File:Aquote1.png

Protection industrial enterprises countries from constant cyber threats and external intrusions, the complexity and preparedness of which is constantly growing, has become one of the most important tasks. In fact, she got to the level state. At the same time, technologies in production are almost all foreign, technologies use different protocols, architecture ON and, depending on, and industries INFORMATION SECURITY local specialists do not always understand the nature and changed dynamics of cyber threats well. To overcome all these problems and solve the problem of protecting large industrial enterprises, comprehensive information security systems are required that work as efficiently as possible in conjunction with domestic production automation systems. Their joint work will allow large enterprises of the country to avoid downtime, expensive failures in production processes in the event computer attacks and damage from external intrusions,

File:Aquote2.png

The InfoWatch ARMA complex, which includes InfoWatch ARMA Industrial Firewall, includes three software products that provide comprehensive protection APCS at the network and dispatch levels. In addition to the industrial firewall, industrial customers receive up-to-date means of protection workstations servers and APCS, as well as a single security management center that provides the ability to detect and prevent complex and well-prepared computer attacks in advance. The key difference between InfoWatch ARMA and foreign counterparts is that the product delves deeper into the demanded industrial protocols (IEC 60870-5-104, IEC 61850 (MMS, GOOSE), Modbus TCP, OPC DA), allowing much better and more reliable protection of critical parts of the network. In particular, this is due to a more accurate adaptation of filtration rules and complex security policies large industrial enterprises. InfoWatch ARMA Industrial Firewall meets certificate FSTEC of Russia 4 levels of trust.

Compatibility with Prostor software

InfoWatch ARMA and LLC Prostor Laboratory announced the compatibility of their products on July 15, 2022.

As a result of testing, it was found that the solutions are compatible, and InfoWatch ARMA Industrial Firewall can be used to protect information as a firewall and/or intrusion detection system for Prostor software. Read more here.

InfoWatch received a grant of 60 million rubles to bring its product closer to imported ones in terms of functionality

Infovotch Arma, part of InfoWatch, won a grant from the Russian IT Development Fund (RFRIT) for the InfoWatch ARMA Industrial Suite product development project. She became one of the winners of the competition for grants for the development of domestic software products. Funds within the framework of this initiative are allocated by the Ministry of Digital Development within the framework of the federal project «Digital Technologies,» the head of which is Deputy Minister Maxim Parshin.

As TAdviser explained in InfoWatch in mid-July, within the framework of InfoWatch ARMA Industrial Suite, the company is finalizing the functions that users need based on the results of the introduction of its InfoWatch ARMA product, as well as as as a result of the massive refusal of foreign vendors to protect information from deliveries to Russia.

File:Aquote1.png

In other words, with the money of the grant, we are implementing functionality that was previously implemented by foreign manufacturers and was in great demand, and now it cannot be implemented by Russian products, since it is difficult and expensive to implement it, — said TAdviser in InfoWatch.

File:Aquote2.png

With the help of the grant «Infovotch Arma» covers only a part of all the costs of creating a full-fledged analogue of foreign solutions used in Russia «(photo — boevaphoto.ru)»

At the same time, «the amount of the grant for such an ambitious task will definitely not be enough,» the company added. With the help of funds received from the state, the developer covers only a part of all the costs of creating a full-fledged analogue of foreign solutions used in Russia.

InfoWatch ARMA is a domestic system for providing. cyber security APCS According to the developers, it protects critical information infrastructure against threats that arise when mixing IT and OT (operating technologies) loops, and comes from both internal and external violators. This is the company’s new product. Under its development in 2021, she has already received a grant of 68 million. rubles

The catalog on the ARPP «Domestic Software» website states that InfoWatch ARMA software complexes are designed to replace, among other things, information protection tools from such vendors as Fortinet, Cisco, Palo Alto Networks, FireEye, Check Point and others.

InfoWatch clarified that the following functions are implemented as part of the improvements:

1. Improve the system for detecting computer attacks and implement features that are absent compared to foreign firewalls.

2. Automate some of the tasks of a specialist to identify threats to information security and simplify the process of detecting computer attacks:

  • checking correlation rules before applying them;
  • Translation of query language for correlator rules into Query string
  • Filtering on the correlator rules page
  • direct transition between the incident card and the correlation rule that created it.

3. Prepare a deployment automation system to reduce deployment and deployment times.

4. Improving the traffic control system within the industrial segment of the network and improving the systems for detecting attacks using industrial protocols.

5. Introduction of new rules of expertise.

In June, Infovatch Arma said that its product is needed not only in Russia, but also in the markets of the Middle East, Southeast Asia and Latin America, because in a number of countries in these regions it is difficult to purchase Western solutions. The company plans to enter foreign markets, noting that this requires significant investments[1].

InfoWatch ARMA Industrial Firewall 3.7 Update

On June 28, 2022, InfoWatch ARMA, part of the Civil Code, InfoWatch announced the release of an updated version of the industrial firewall InfoWatch ARMA Industrial Firewall. In the functionality of InfoWatch ARMA Industrial Firewall version 3.7, support OpenVPN for -GOST was added, the list of supported industrial ones was expanded protocols and it became more convenient to work with log logs.

The updates included in this version of the product are dictated by the requirements of the regulator (Orders No. 17, No. 31, No. 239 of the FSTEC of Russia and industry standards on the organization of secure remote access). As well as attention to customer requests, such as increased usability and added protocol support. In particular, we are talking about organizing secure communication channels between geographically distributed branches and industrial sites of CII facilities, increasing the number of analyzed industrial protocols, as well as expanding the functionality of log collection and processing modules.

InfoWatch ARMA Industrial Firewall version 3.7 has these features built in:

  • Support for OpenVPN-GOST has been added, which allows the user to enable enciphering communication channels based on certified. FSB of Russia CIPF The user can independently select and configure the preferred type of encryption of OpenVPN or OpenVPN-GOST communication channels, and in the log filter logs by VPN type. Also, the ability to export settings of the selected type is implemented. VPN
  • In order to expand the inspected protocols, support has been added for the industrial KRUG protocol used in controllers and SCADA systems manufactured by NPF KRUG, which allows users to create rules and filter traffic by this type of protocol. In addition, the rule creation interface for the KRUG and GOOSE protocols has added tooltips to the fields to be filled, allowing the user to correctly set parameters when creating rules for these protocols. Additionally, for the GOOSE protocol, the ability to configure the filtering rule by time has been added.
  • Syslog has added the ability to upload the entire log at once with one click of a button. In the log of the «Intrusion Detection» section, an extended ability to filter logs has been added, which allows the user to work with recorded events.

File:Aquote1.png

«ARMA Industrial Firewall 3.7 in accordance with the Company’s product development plan continues its continuous development: functionality appears, types of industrial protocols are added for inspection, tests are carried out for compatibility with information security solutions of other vendors, etc. But the main goal of all additions remains the same — to help our customers ensure the uninterrupted operation of enterprises and to fulfill the technical measures of Order No. 239 of the FSTEC of Russia when automating routine information security processes, «

File:Aquote2.png

Compatibility of InfoWatch ARMA Management Console 1.1.2 with OSnova

The companies InfoWatch ARMA (part of the GC) InfoWatch and JSC «» NPPCT signed an official statement on the compatibility of their products: the Unified Control Center InfoWatch ARMA Management Console 1.1.2 Operating system and the general purpose «,» Basis respectively. InfoWatch announced this on June 22, 2022. More. here

QTECH QSRV Server Platform Compatibility

The QTECH QSRV server platform and the InfoWatch Industrial Firewall software package received a compatibility certificate. This was announced on April 29, 2022 by QTECH. Read more here.

InfoWatch ARMA Industrial Firewall 3.6.1, InfoWatch ARMA Industrial Endpoint 2.5 and InfoWatch ARMA Management Console with module for State system of detection, prevention and elimination of consequences of computer attacks

On April 21, 2022, InfoWatch introduced updated versions of software products: InfoWatch ARMA Industrial Firewall, InfoWatch ARMA Management Console, InfoWatch ARMA Industrial Endpoint.

The growth of cyber attacks on industrial enterprises, anti-Russian sanctions and, as a result, the departure of foreign vendors requires quick and verified solutions from the domestic IT industry. One of the priority tasks is to reduce information security risks. The Russian market for information security development is quite competitive and allows you to close the tasks of preventing attacks. One example is the comprehensive InfoWatch ARMA system, which consists of three components to create layered protection for the technological network of enterprises that have received important updates.

The latest generation certified industrial firewall (NGFW) InfoWatch ARMA Industrial Firewall has been updated to version 3.6.1, the main development of which was the streaming antivirus module. The installation of antivirus databases takes place automatically when the system is implemented, in further operation, the databases are updated manually by downloading the file. The updated version simplifies the procedure for creating a failover cluster. The InfoWatch ARMA Industrial Firewall web interface has the ability to activate the license after installing the system and then updating it. In addition, the NAT (Network Address Translation) event logging and user actions feature has been added to this version.

InfoWatch ARMA Management Console — a single control center for the InfoWatch ARMA protection system version 1.3 is enriched with an interaction module with State system of detection, prevention and elimination of consequences of computer attacks. The function is implemented through integration with the personal account of the NCCCI portal (National Coordination Center for Computer Incidents). A single interface allows you to send notifications to the NCCC about information security incidents, vulnerabilities and computer attacks, receive notification processing statuses from the Center, and conduct correspondence with its employees, including to maintain a history of each information security incident. The bilateral exchange of information with the State system of detection, prevention and elimination of consequences of computer attacks center helps to quickly learn about current information security threats and receive bulletins to protect the infrastructure from them. In the updated version, the role model of users has changed, predefined groups of users with fixed rights have appeared.

New features have appeared in the software protecting APCS from threats at the level of InfoWatch ARMA Industrial EndPoint v2.5 dispatch control, of which the antivirus file scanning function is key. Anti-virus protection can be controlled both from the software product itself and from the InfoWatch ARMA Management Console interface — delete infected files or inform about them, update anti-virus databases, etc.

File:Aquote1.png

The use of our products in enterprises with critical infrastructure creates serious barriers for attackers to penetrate the technological network of the enterprise and the conditions under which the implementation of a cyber attack becomes almost impossible. In addition to complex safety, industrial enterprises have the opportunity to fulfill 90%, mandatory for enterprises with CII facilities, technical measures of Order No. 239 of the FSTEC of Russia,

said the technical director of InfoWatch ARMA Igor Soul.

File:Aquote2.png

2021

Finalize RFRIT Grant

On November 23, 2021, InfoWatch ARMA completed the second, final stage of the development of its InfoWatch ARMA solution under the RFRIT grant.

In early 2021, the company received a grant from the Russian Information Technology Development Fund (RFRIT), created to support the development and promotion of Russian software in ICT, in the amount of more than 68 million rubles. The grant was allocated for the development and testing of additional functions of the domestic system to protect critical information infrastructure (CII) objects from cyber threats.

File:Aquote1.png

With the support of RFRIT during the second stage of the project, we implemented software improvements and piloting of the company’s developments. Within the framework of this stage, the convenience of visual analysis of security events and incident investigation was increased, the function of receiving user events was added, the incident response system was expanded and improved, the modules for analyzing industrial protocols were improved, and support for operating systems for protecting workstations and servers was expanded, «said Igor Soul, CTO InfoWatch ARMA.

File:Aquote2.png

The main result of the first stage of development was the introduction of the InfoWatch ARMA Industrial Firewall, InfoWatch ARMA Industrial Endpoint and InfoWatch ARMA Management Console software products developed by InfoWatch ARMA into the Unified Register of Russian Programs for Electronic Computers and Databases (ERRPO).

In addition, the company «InfoWatch ARMA» received a certificate of compliance of the InfoWatch ARMA Industrial Firewall software complex with the requirements of the FSTEC of Russia in 4 levels of trust — the solution can be used at significant CII facilities: APCS, GIS up to 1 class of security inclusive and IE up to 1 level of security inclusive, according to the recommendations of the FSTEC of Russia. The certification confirmed that InfoWatch ARMA Industrial Firewall is a Class 4 «D» firewall and a Class 4 network layer intrusion detection system.

Шаблон:Quote ‘author = said Dmitry Anosov, General Director of ARMA InfoWatch.

Compatibility with AMT APC InfoDiode

On November 10, 2021 InfoWatch ARMA (part of the GC) InfoWatch and the company «» AMT GROUP signed an official statement on the compatibility of the unidirectional transmission hardware and software complex «» data and InfoDiode AMT InfoWatch ARMA products — software InfoWatch ARMA Industrial Firewall (certified industrial firewall with the intrusion detection system) and InfoWatch ARMA Management Console (unified incident management center INFORMATION SECURITY and protection system InfoWatch ARMA).

InfoWatch ARMA Industrial Firewall and the AMT InfoDiode hardware and software complex ― Russian software products certified by the FSTEC of Russia that ensure that the subjects of the CII comply with the provisions of Federal Law No. -187 «On the Safety of CII» in conditions of import substitution.

Based on the results of the compatibility test, it was found that these products are compatible and can be used together to protect information in APCS in critical information systems of any level of security and data confidentiality.

File:Aquote1.png

CII subjects who perform segmentation of their technology networks using InfoWatch ARMA Industrial Firewall can be supplemented with «InfoDiode AMT» unidirectional data transmission devices in those segments where interfacing with open and corporate networks occurs. Thus, by obtaining layered protection of the technological network, CII subjects significantly increase their security, excluding the possibility of computer attacks and the spread of viral activity from open networks and the Internet. AMT InfoDiode complements the InfoWatch ARMA Industrial Firewall, ensuring reliable and secure integration of technological and corporate networks,

File:Aquote2.png

Ensuring compliance with the provisions of Federal Law No. -187 «On Safety of CII» is guaranteed by the certificate of compliance of the InfoWatch ARMA Industrial Firewall software complex with the requirements of the FSTEC of Russia for level 4 of trust, requirements for firewalls of type «D» of class 4 of protection (IT.ME.D4.PZ) and SOV of level 4 of protection network (IT.SOV.C.4.PZ)), as well as the compliance of the APC «AMT InfoDiode» with the requirements of trust of level 4 of the Federal of Russia.

File:Aquote1.png

In the context of the merger of IT and OT segments, which complicate cyber threats and the rapid digitalization of industrial enterprises, information security solutions, which are part of layered protection, implement the tasks of segmentation and microsegmentation of networks. The joint use of InfoWatch ARMA and AMT GROUP products allows CII entities to significantly strengthen the security of isolated industrial networks of APCS in critical industries. And adding a centralized management module — make it easier to manage incidents and the basic tasks of an information protection specialist,

noted the technical director of InfoWatch ARMA Igor Soul.

File:Aquote2.png

InfoDiode is a certified FSTEC of Russia in level 4 of trust in a domestic unidirectional data transfer system that provides a high level of isolation of critical information systems, while maintaining the required level of their functionality for interaction with adjacent information systems.

InfoWatch ARMA Industrial Firewall is a certified FSTEC of Russia (No. 4429 with a validity period until July 27, 2026) on the 4th level of trust, the next generation domestic industrial firewall (NGFW). Allows you to timely detect and block attacks on APCS, attempts to exploit vulnerabilities, as well as protect against unauthorized actions in the industrial network. Included in the unified register Russian ON the Ministry of Digital Development, Communications and Mass Media of the Russian Federation.

InfoWatch ARMA Management Console is a single control center for the InfoWatch ARMA security system. Allows you to centrally update and manage your InfoWatch ARMA security products and significantly increase the speed of cyber threat detection and incident investigation.

Compatibility with CAS «Kvant-CHEAZ»

On August 24, 2021, InfoWatch ARMA (part of InfoWatch Group of Companies) announced that, together with CHEAZ JSC, they signed an official statement on the compatibility of the APCS software and hardware complex of KVANT-CHEAZ digital substations (KVANT-CHEAZ CAS) and the software and hardware complex (certified industrial network screen with intrusion detection system) InfoWatch 3.5 ARMA INDUSTRIAL. Read more here.

Integration with Krug-2000 CAS

On August 10, 2021, InfoWatch ARMA, which is part of InfoWatch Group of Companies, completed compatibility tests for the next-generation industrial network screen InfoWatch ARMA Industrial Firewall with automated process control systems based on the KRUG-2000 software and hardware complex (CAS KRUG-2000) developed by NPF Krug. The test confirmed the use of InfoWatch ARMA Industrial Firewall as a means of protecting information — a firewall with an intrusion detection and prevention system for APCS based on KRUG-2000 CAS.

The KRUG-2000 software and hardware complex is a tool for fast and high-quality development of APCS, based on many years of experience in creating automation systems for various industries. It is a 100% import-substituting product.

File:Aquote1.png

«In our work, we are guided by the principle of designing protected APCS at the initial stage, including for compliance with the import substitution rate. Our solutions are necessary for CII subjects with high categories of significance in industries that are strategically important for the state. For industrial enterprises, one of the main factors is the continuity of technological processes, therefore, for the effective functioning of enterprises, the most optimal way is the initial operation of domestic APCS with reliable protection against cyber attacks. This is more logical than reorganizing the work, looking for the technological windows of the planned inspection of the APCS, reinstalling the means of information protection, which, in turn, by this time should have already been tested for compatibility and be completely domestic. In view of the above, we are pleased to find a partner in InfoWatch ARMA to solve cybersecurity problems, «-


notes Alexander Ugrevatov, technical director of NPF Krug.

File:Aquote2.png

InfoWatch ARMA Industrial Firewall allows you to detect and block computer attacks on APCS in a timely manner, ensure a safe remote connection, while maintaining continuity of operation.

File:Aquote1.png

«By joining forces with our partners, we expect to provide the market with ready-made domestic solutions that have built-in mechanisms for protecting against computer attacks. On the one hand, industrial enterprises have the opportunity to use Russian automation tools for APCS, on the other hand, superimposed means of protecting information from a domestic vendor. Together, this approach meets the current import substitution policy and makes it possible to provide strategic industries with information protection tools to comply with Order of the FSTEC of Russia No. 239 and protect against current threats to information security, «-


says Igor Soul, CTO of InfoWatch ARMA.

File:Aquote2.png

Compliance with the requirements of FSTEC of Russia according to level 4 of trust

On August 3, 2021, the company InfoWatch announced that InfoWatch ARMA, which is part of it, received a certificate of compliance of the InfoWatch ARMA Industrial Firewall software complex with the requirements FSTEC of Russia for level 4 trust — the solution can be used at significant facilities:, CUES APCS GIS up to 1 security class inclusive and IE up to 1 security level inclusive.

The completion of the certification work confirmed that InfoWatch ARMA Industrial Firewall is a type «D» firewall of the fourth protection class and an intrusion detection system of the fourth protection class network layer. Complies with the documents «Requirements for firewalls,» «Protection profile of firewalls of type D of the fourth class of protection IT.ME.D4.PZ,» «Requirements for intrusion detection systems» (FSTEC of Russia 2011), «Security profile of intrusion detection systems of the fourth protection class network level IT.SOV.S4.PZ» (FSTEC of Russia 2012), «Information Security Requirements Establishing Levels of Trust in Information Security Tools and Information Technology Security Tools» (FSTEC of Russia 2018) according to level 4 of trust and Security Tasks submitted by the FSTEC of Russia to information protection means. The certificate is issued until July 27, 2026.

The domestic industrial firewall (NGFW) InfoWatch ARMA Industrial Firewall is a software and hardware tool for protecting information in APCS from computer attacks and unauthorized access to information and implements the functions of an industrial intrusion detection and prevention system. Included in the unified register of the Russian POMinkomsvyaz of the Russian Federation.

File:Aquote1.png

The certificate confirms that our product provides control and filtering of industrial data transfer protocols for enhanced protection of APCS against computer attacks. InfoWatch ARMA Industrial Firewall detects intrusions and allows you to filter network traffic to the level of commands and values ​ ​ of industrial protocols, which are common in strategically important sectors of the economy for the state. The inclusion of InfoWatch ARMA Industrial Firewall in the state register of certified information protection tools of the FSTEC of Russia is an important stage for us, testifying to the high level of information security provided by our solution. For many of our customers, the availability of the FSTEC certificate in Russia is a mandatory requirement and will allow, together with integrators, to build a turnkey system of protection against computer attacks,

said InfoWatch ARMA CEO Dmitry Anosov.

File:Aquote2.png

Compatibility with Kvint CAS

On July 13, 2021, InfoWatch announced the completion of compatibility tests of the InfoWatch ARMA Industrial Firewall with APCS based on the Kvint software and hardware complex developed by NII Teplopribor JSC. Read more here.

Compatibility with AdvantiX Industrial Software

On June 24, 2021, InfoWatch announced that InfoWatch ARMA and AdvantiX had tested the compatibility of their own products — the latest generation of industrial mesh screen InfoWatch ARMA Industrial Firewall and the AdvantiX industrial software complex. As a result of testing, full product compatibility was established: the AdvantiX PC can be used as a hardware platform for InfoWatch ARMA Industrial Firewall, which, in turn, acts as a means of protecting information for control systems in industry.

Aggressive industrial environments in oil-extracting refiners power and companies have high requirements for the reliability of industrial equipment and protective equipment. APCS The digitalization of industry affects growth, cyber threats including from, targeted attacks which continue to grow, this is confirmed by public news about cyber attacks, which are coming out more and more often. InfoWatch ARMA Industrial Firewall allows you to protect TP from ASU attacks computer and unauthorized actions in the industrial network, as well as the exploitation of vulnerabilities ON and equipment that remain leading cyber threats in the context of digitalization of the industry.

File:Aquote1.png

Together with AdvantiX, we have joined forces to create reliable and fault-tolerant APCS. Enterprises are seriously concerned about the search, on the one hand, for equipment to ensure reliable and uninterrupted operation of the APCS, and on the other, the choice of means of protection against cyber attacks, which can continuously operate in an aggressive industrial environment. It is critically important for industrial companies that cybersecurity equipment and solutions are compatible with each other, this guarantees conflict-free work as part of a single APCS, and in the complex — maintain the continuity of the technological process, — says Igor Dushova, technical director of InfoWatch ARMA .

File:Aquote2.png

According to the Federal Law «On the Security of the Critical Information Infrastructure of the Russian Federation» dated 26.07.2017 N 187-FZ, CIIs must be built and protected by domestic solutions. Therefore, companies that have begun building APCS and choose protective equipment need to pay attention to software and hardware complexes that provide protection against cyber attacks even in the event of a deliberate failure of equipment and a power outage.

File:Aquote1.png

Many AdvantiX customers are already preparing for the fact that they will have to switch to platforms that are secure in terms of information security and build solutions on a new architecture. We are ready to offer the industry domestic secure hardware platforms with compatible information protection tools . InfoWatch ARMA is an excellent example of when industrial systems have effective cyber protection, «said Dmitry Kabachnik, head of the AdvantiX industrial computer department .

File:Aquote2.png

Compatibility of InfoWatch ARMA Industrial Firewall with APCS from «Modular Tornado Systems»

InfoWatch ARMA, part of InfoWatch Group of Companies, on May 27, 2021 announced the confirmation of the compatibility of the InfoWatch ARMA Industrial Firewall software and hardware complex (PAC) for network protection of APCS against cyber attacks with APCS (automated production process control system) from the Russian manufacturer Modular Tornado Systems. As a result of compatibility tests, it was established that the use of the PAC of the domestic industrial firewall InfoWatch ARMA Industrial Firewall complies with all requirements for ensuring information security in the APCS and can be used in the APCS «Modular Tornado Systems» at critical facilities of industrial enterprises.

«Modular Tornado Systems» is a domestic developer of both software and hardware systems for APCS and turnkey APCS. APCS, with which compatibility tests were carried out, consist of, servers DB application server, AWS (automated workstation) operator and (PLC programmable logic controller).

File:Aquote1.png

According to Igor Dushov, Technical Director of InfoWatch ARMA, «ensuring the security of APCS at large industrial enterprises of the country is one of the priority tasks in the framework of the implementation of the 187-FZ» On the Security of the Critical Information Infrastructure of the Russian Federation » and the import substitution program . The compatibility of the products of two Russian vendors gives industrial enterprises two strong advantages at once: an effective and reliable solution to protect their industrial enterprises, as well as the ability to be one step ahead and implement protected domestic APCS, fulfilling the requirements and recommendations of Russian legislation. «

File:Aquote2.png

The InfoWatch ARMA Industrial Firewall allows you to timely detect and block attacks on APCS, attempts to exploit vulnerabilities, as well as protect against unauthorized actions in the industrial network. The product is included in the unified register of Russian software. As of May 28, it is being certified by the FSTEC of Russia (IT.SOV.S4.P3 and IT.ME.D4.P3 in the fourth level of trust).

ARMA Industrial Firewall 3.0 Compatibility with Phoenix Contact BL Rackmount 2U

On February 9, 2021, InfoWatch announced compatibility testing of the InfoWatch ARMA Industrial Firewall 3.0 industrial network cybersecurity software and industrial computer PHOENIX CONTACT BL RACKMOUNT 2U, which is used as part of APCS and is designed to solve a large range of tasks that require high reliability and performance of computing tools. Product integration allows you to create a single solution for building a reliable security system for CII objects.

As a result of compatibility testing of two products, it was established that they can be used within one hardware and software complex as part of the customer’s APCS to protect industrial networks from unauthorized access by people or malware. A high level of cybersecurity is achieved thanks to the latest generation industrial firewall with built-in intrusion detection and deep inspection of industrial traffic packets. Simple and secure remote maintenance is possible thanks to the ability to create a VPN connection. The license is growing in accordance with the customer’s needs: it is possible to choose the package of functions that is most suitable for specific information protection tasks.

File:Aquote1.png

InfoWatch ARMA’s technological partnership with Phoenix Contact RUS will allow InfoWatch ARMA customers to significantly reduce the time to implement information protection tools for those APCS that already operate PHOENIX CONTACT equipment and fulfill the technical requirements of FSTEC of Russia in accordance with Order No. 239.

approves InfoWatch ARMA CTO Igor Soul

File:Aquote2.png

File:Aquote1.png

PHOENIX CONTACT BL RACKMOUNT 2U industrial computers are designed for use as AWS or servers in APCS networks, are manufactured Russia in and verified by many years of experience in oil and gas power application in and domestic. industries Cooperation with InfoWatch ARMA, which developed the latest generation InfoWatch ARMA Industrial Firewall, will allow our customers to provide cyber security FSTEC-certified protection and Russia build high-tech layered APCS protection and a closed software environment through which an attacker will not penetrate, much less execute malicious. This ON comprehensive approach will ensure localization attacks and minimize risks from its implementation. This opens up additional prospects and opportunities for our customers in the fight against cyber threats.

said Denis Toivonen, head of Industrial Automation at Phoenix Contact RUS

File:Aquote2.png

Infowatch received two state grants worth 186 million rubles

In January 2021, the Russian Foundation for the Development of Information Technologies (RFRIT) reported that InfoWatch became one of the winners of the competition for grants for the development of domestic software products. Grants for the development of IT companies are allocated by the Ministry of Digital Development within the framework of the federal project «Digital Technologies,» the head of which is Deputy Minister Maxim Parshin.

In a press release, RFRIT indicated two grants to Infowatch — in the amount of 122.9 million and 69.5 million rubles. But later that month, RFRIT told TAdviser that the amounts of agreements concluded as a result with some winners of this competition differ from those previously indicated in the release — there were amounts for which the companies claimed. This also happened in the case of Infowatch. In fact, the company received grants of a slightly smaller volume than the one for which it claimed: about 118 million and 68 million rubles.

A grant of about 68 million rubles is intended to develop a new product of the company — a system for protecting critical information infrastructure (CII) objects from cyber threats InfoWatch ARMA.

The product consists of three software products for protection APCS at the network and dispatch levels: industrial, firewall means of protecting workstations and APCS servers, a single control center for the protection system.

Some of the modules by the beginning of 2021 have already been released and are being piloted at customer facilities, told TAdviser in Infowatch. By the end of 2021, the company will develop new functions for the current system modules and release new ones.

Infowatch also told TAdviser that the development of the new product took 5 years. As of the beginning of 2021, the system is fully ready for operation and is at the stage of piloting at the facilities of large corporate customers from the fields of power, transport, fuel and energy complex, industry.

File:Aquote1.png

The grant money will be used to develop and test new system functions in order to strengthen CII protection at Russian industrial enterprises, implement the requirements of key customers and increase compliance with the technical requirements of the FSTEC of Russia, TAdviser was specified in Infowatch.

File:Aquote2.png

The total amount of grants won by Infowatch supplies about 192.4 million rubles «(photo — Danil Ufimtsev)»

The company notes that the system is a set of information protection tools linked into a single complex, adapted for work in industrial automation systems. Speaking about the key differences between InfoWatch ARMA and competing products, Infowatch notes that the components of its solution allow building a full-fledged layered (multi-stage) APCS protection, taking into account the technical requirements of FSTEC.

Protection at the industrial network level is provided by the InfoWatch ARMA Industrial Firewall with an integrated intrusion detection system and an industrial signature base, which is updated daily. Computer attacks on APCS equipment prevent InfoWatch ARMA Industrial Endpoint by organizing a closed program environment. And the InfoWatch ARMA Management Console allows you to manage system-wide information protection updates, manage incidents, and configure automatic incident response.

The automated response to incidents and the ability to prevent computer attacks distinguishes InfoWatch ARMA from other domestic solutions for protecting APCS, TAdviser said in Infowatch. And compared to analogues, the system supports a deeper analysis of the industrial protocols IEC 60870-5-104, IEC 61850 (MMS, GOOSE), Modbus TCP, OPC DA.

The system development plans include the development and testing of new functions that allow customers to automate incident management as much as possible in order to ease the burden on the information security department staff.

File:Aquote1.png

In 2021, we are going to increase the level of automation of user actions and improve the capabilities of visual analytics, which will allow faster detection of incidents, increase the speed and quality of response, including by minimizing the impact of the human detection factor, — told TAdviser in Infowatch.

File:Aquote2.png

The second grant, which the company received, in the amount of about 118 million rubles, is intended for the development of InfoWatch Auto DLP — the new functionality of the InfoWatch Traffic Monitor DLP system. Infowatch told TAdviser that this is a next-generation DLP system that will help an information security officer identify gray areas uncovered by information security politicians and make decisions on whether they need to be monitored and how to do it.

The company says that the uniqueness of the development integrated into InfoWatch Traffic Monitor is that it will not only provide an opportunity to identify and study the «gray» areas of information circulation in the company, but also how information flows change over time. Based on a deep analysis of this data, the self-learning system will automatically collect all the necessary information, offer its categorization and form holistic information security policies that at any given time very accurately close all potentially dangerous areas through which confidential information can «leak.»

The declared date for the emergence of new functionality is 1 year.

File:Aquote1.png

We laid the prerequisites for the development of the system for a long time, in the form of such modules as, for example, an autolinguist, which we released on the market relatively recently. Initially, the general development was assessed by us at about three years and affected not only the study of «gray» areas, but also involved the study of the movement of these areas within the company and the automatic proposal of the formation of information security policies. If now we are making an «assistant» that will increase the efficiency and accuracy of the implementation, then in the future it will be a system that can implement itself, — told TAdviser in Infowatch.

File:Aquote2.png

2020

Integration of InfoWatch ARMA Industrial Firewall 3.0 with APCS of the «smart» building from Gradient Kilby

On December 25, 2020, the company, InfoWatch ARMA which is part of the GC, InfoWatch completed work on the integration latest firewall industrial generation InfoWatch ARMA Industrial 3.0 Firewall (part of the InfoWatch ARMA protection system automated control system) with the technological processes (APCS) of «smart» building of the Hybrid Institute power engineering specialists. Gradient Kilby More. here

Release of APCS cybersecurity solution

On November 5, 2020, the Civil Code InfoWatch announced the release of the comprehensive InfoWatch ARMA solution, which includes three products for providing (information security APCS automated process control systems), which can be both independent means and information protection be integrated among themselves. Thanks to the products — InfoWatch ARMA Industrial Endpoint and InfoWatch ARMA Management Console, as well as version 3.5 InfoWatch ARMA Industrial, Firewall a comprehensive solution allows you to build multi-stage protection of objects against. critical information infrastructure (CII) cyber threats The integration of all products ensures timely detection of threats and their prevention, as well as makes it possible to control the level of information security of the ASU TP of the facility CUES in the «one window» mode.

Industrial firewall InfoWatch ARMA Industrial Firewall with intrusion prevention function installed on all external I&C channels communications allows you to prevent network attacks from outside.

InfoWatch ARMA Industrial Endpoint is designed to prevent attacks using USB other removable media, and also limits the ability to launch without harmful ON loading the system with complex algorithms analysis. InfoWatch ARMA Management Console combines everything received from security tools information and provides industrial enterprises with the opportunity to automate response to incidents. Customizable response rules help you create information security incident response instructions that are understandable to dispatchers.

File:Aquote1.png

The main cyber attacks for industrial enterprises remain attacks through the corporate segment and malware delivery via USB. Due to the fragmented means of protection, many attacks go unnoticed, and the lack of qualified IB-personnel personnel deprives industrial enterprises of the opportunity to understand the huge amount of information coming from monitoring tools, «says Igor Soul, Director of Product Development for Information Protection at InfoWatch ARMA. — The release of the comprehensive InfoWatch ARMA solution allows industrial enterprises to build layered protection based on the completeness of data from all security tools. Integration of products makes it possible to combine information security events with information protection tools, build an incident management process and automate the response to them. The basic functions of the system, such as filtering at the application level of industrial protocols, limiting the running software and plug-in removable media, make it possible to create a closed environment for APCS operation and implement several levels of information protection. This seriously reduces the likelihood of attacks on industrial systems, ensuring their prompt detection at the incident level.

File:Aquote2.png

As digitalization accelerates at industrial enterprises, experts record an increase in the number of APCS vulnerabilities, and with it information security incidents. This indicates an increase in the risks of emergency situations, which could lead to a shutdown of key enterprises in the country and have catastrophic consequences for national security. Therefore, at the state level, the necessary security measures are taken, which are reflected in regulatory and legislative acts (No. 187-FZ, orders of the FSTEC of Russia No. 31, 235, 239). InfoWatch ARMA provides CII owners with tools that will allow them to fulfill up to 90% of the technical requirements of the FSTEC of Russia.

Compatibility InfoWatch ARMA Industrial Firewall 3.0 with AVSoft Athena

On October 8, 2020, the Civil Code InfoWatch announced testing for compatibility of the software and hardware complex for providing cyber security industrial networks InfoWatch ARMA Industrial 3.0 Firewall and — AVSoft Athena protection systems against targeted ones for attacks detection and analysis. harmful software Integration products allow you to create a single solution for building a reliable security system for objects, CUES taking into account the model of threats from two APCS types of attacks: mass and targeted. The solution includes all the necessary tools for this class of IPS: with deep firewall inspection of industrial traffic and a proxies function, an servers intrusion detection and prevention system (IPS) with a base of decisive rules for TP, streaming ASU and sandboxes. antiviruses

File:Aquote1.png

InfoWatch ARMA’s technological partnership with AB Software will allow InfoWatch ARMA customers to protect themselves from «zero-day threats» by adding non-signature sandbox malware detection technologies to the functions of our product. This comprehensive approach significantly saves implementation time and costs. Both solutions are domestic and correspond to the vector for import substitution of SSI in CII. And we believe that this is a very important step for the entire industry.

File:Aquote2.png

Inclusion in the National Technology Initiative

InfoWatch ARMA has become part of a national technology initiative — a program to create conditions for ensuring the leadership of Russian technology companies in various markets. InfoWatch announced this on July 14, 2020.

For development within the framework of NTI InfoWatch ARMA chose the Technet industry technology market, where its specialists can ensure the competitiveness of domestic companies in high-tech industries. industries The main goals of the company are the acquisition of promising partnerships and technological development of solutions.

File:Aquote1.png

The Technet roadmap, adopted in 2018 as part of the NTI, is aimed at using end-to-end technologies in production. It covers digital design and modeling, new materials, additive and hybrid technologies, robotics, industrial sensor technology, industrial Internet, big data, artificial intelligence, production management information systems, etc. Our company and its solutions can be useful for large and medium-sized Russian production enterprises in terms of ensuring the operation of automated systems and protecting information in them. Therefore, all the funds received under the program will be used to refine our solutions, according to the requests and needs of potential customers from the industrial sector, «says Dmitry Anosov, CEO of InfoWatch ARMA.

File:Aquote2.png

Obtaining the status of a resident of the Moscow Innovation Cluster

On June 26, 2020, InfoWatch announced that its ARMA product received the status of an innovative project and became part of the ecosystem of the Moscow Innovation Cluster. Now the means of protecting industrial information security using InfoWatch ARMA are available to residents of the ecosystem and their partners.

ARMA

InfoWatch ARMA is a domestic system for information security of industrial facilities of CII. The system includes an industrial firewall that not only detects unauthorized access to information in the industrial system, but also blocks malware, attacks and unwanted actions of users.

File:Aquote1.png

«We are grateful to independent experts for evaluating the innovation of our system and are pleased to join the domestic ecosystem of the Moscow Innovation Cluster. Given the specifics of our industry, we must constantly develop solutions that work to prevent threats of different complexity and to stay ahead of the actions of attackers. Every day our company works on the development of the InfoWatch ARMA system, complementing it with solutions and developing functionality. The MIC resident status confirms our commitment to creating innovative protection products against modern, complex and constantly evolving threats to information security.

File:Aquote2.png

File:Aquote1.png

We and our partners have repeatedly encountered the fact that Russian enterprises do not receive sufficient information about the protection systems of industrial networks, especially in terms of domestic solutions. Therefore, we expect from partnerships with the MIC the opportunity to convey to more information security professionals our protection practice using InfoWatch ARMA, and the support measures offered by the Moscow Government to residents will speed up this process, — comments Dmitry Anosov.

File:Aquote2.png

2019

Inclusion of InfoWatch ARMA Industrial Firewall in the Register of Domestic Software

On December 5, 2019, InfoWatch announced that the Russian InfoWatch ARMA Industrial Firewall solution, designed to protect information in automated process control systems, included the register of domestic software.

The company’s product for information security industrial objects is recognized by the expert council Ministry of Telecom and Mass Communications of russia as fully complying with the rules for the formation and maintenance of a single register Russian programs for electronic computers and. databases

InfoWatch ARMA Industrial Firewall is designed to work in an aggressive environment and, according to the developers, provides reliable operation combined with high functionality and performance. This is the first product in the InfoWatch information protection line in APCS, which is an industrial firewall with an intrusion detection and prevention function.

File:Aquote1.png

According to Igor Soulov, Head of Product Development at the InfoWatch APCS Protection Systems Development Department, «the inclusion of the InfoWatch ARMA Industrial Firewall system in the register of Russian software is a necessary step indicating the correctness and legal legitimacy of our decisions.»

File:Aquote2.png

InfoWatch ARMA Ecosystem Composition

As of December 2019, the InfoWatch ARMA ecosystem includes:

  • InfoWatch ARMA Console: Unified Incident Management and Response Center
  • InfoWatch ARMA EndPoint: Monitors the integrity of workstation and server software, running applications, and using removable media
  • InfoWatch ARMA HoneyPot: A solution that emulates APCS to detect attempts to penetrate the network
  • InfoWatch ARMA Sandbox: Virtual secure environment for running external files from unknown sources or removable media
  • InfoWatch ARMA Industrial Firewall: Industrial firewall with intrusion detection (IDS/IPS) and routing.
  • InfoWatch ARMA Expertise: APCS protection technology.

Notes

  1. ↑ of 20 questions to Igor Dushe, technical director of InfoWatch ARMA startup

«ИНФОВОТЧ АРМА»

Разработка программного продукта InfoWatch ARMA Industrial Suite

Общая стоимость

120,3 млн рублей

Исполнение проекта

март 2023 года

Сумма гранта

59,8 млн рублей

Класс ПО

Средства обеспечения информационной безопасности

и защиты данных

О КОМПАНИИ

ООО «Инфовотч Арма» — российский разработчик решений для обеспечения информационной безопасности промышленных объектов КИИ. Входит в состав ГК InfoWatch. 

О ПРОЕКТЕ

Система InfoWatch ARMA Industrial Suite представляет собой второе поколение решения по защите промышленных систем автоматизации и предлагает эшелонированную защиту для компаний, управляющих АСУ ТП, в том числе в области информационной безопасности объектов КИИ. В состав решения входят основные модули: Infowatch ARMA Industrial Firewall; Infowatch ARMA Industrial Endpoint; Infowatch ARMA Management Console; Infowatch ARMA Industrial Sensor. Компания дорабатывает функционал системы, автоматизирует процессы, упрощает установку и развертывание системы, улучшает подсистему выявления компьютерных атак.

ОЖИДАЕМЫЙ РЕЗУЛЬТАТ

Комплексный подход в реализации проекта позволит усилить реальную безопасность и выполнить требования законодательства, в частности 187-ФЗ. Основной результат — защита промышленных систем автоматизации на КИИ от кибератак и создание полноценной системы класса XDR для промышленных систем автоматизации, обеспечивающей автоматизированное реагирование на инциденты.

ПРОЕКТ ЗАВЕРШЕН. ВЕДЕТСЯ МОНИТОРИНГ

13.12.2022 |

В начале декабря 2022 года компания InfoWatch представила межсетевой экран нового поколения для защиты корпоративной сети InfoWatch ARMA NGFW, созданный с учетом своего опыта разработки промышленного межсетевого экрана для защиты АСУТП. Востребованность этого решения российскими заказчиками огромная: до сих пор подавляющую долю локального рынка NGFW имели зарубежные вендоры, которые сегодня прекратили деятельность на территории страны. InfoWatch развивает новый продукт в сотрудничестве с отечественными производителями аппаратного обеспечения и интеграторами.

Специалисты сходятся во мнении о том, что на рынке информационной безопасности российские разработчики преуспевают практически во всех направлениях. Но есть и ниши, которые пока слабо охвачены импортозамещенными решениями. Одна из них – это NGFW, межсетевые экраны нового поколения для глубокой фильтрации трафика со встроенным механизмом обнаружения и предотвращения вторжений.

Рынок межсетевых экранов: опыт InfoWatch, оценка регуляторов

Компания InfoWatch разрабатывает системы защиты автоматизированных систем управления технологическими процессами (АСУТП) уже более пяти лет. Результатом этой деятельности стал, в частности, промышленный межсетевой экран InfoWatch ARMA Industrial Firewall, который сегодня находит применение на средних и крупных производствах. Продукт, предназначенный для эшелонированной защиты промышленной инфраструктуры, в частности АСУ ТП, от вредоносного ПО и компьютерных атак, имеет ряд преимуществ: это, например, глубокая инспекция сетевого трафика промышленных протоколов DPI (Deep Packet Inspection), высокая пропускная способность. Файервол позволяет контролировать доступ к сетевым ресурсам, защищать промышленной сети от несанкционированного доступа и регистрировать информационные потоки.

Помимо него в линейку средств защиты информации АСУТП от InfoWatch входят единый центр управления системой защиты InfoWatch ARMA Management Console и средство защиты рабочих станций и серверов InfoWatch ARMA Industrial Endpoint. Все эти продукты в 2021 году были внесены в реестр отечественного ПО.

Наталья Касперская, президент ГК InfoWatch

Наталья Касперская, президент ГК InfoWatch

«Межсетевые экраны – это один из редких сегментов российского рынка информационной безопасности, которые до недавнего времени были у нас представлены в основном решениями иностранных производителей. В феврале-марте 2022 года, когда из страны ушли крупнейшие вендоры, такие, как Check Point, Cisco, Fortinet, – к нам стали поступать запросы на разработку корпоративного файервола. Мы начали вносить в наш продукт определенные изменения, тестировать его на корпоративных протоколах, и постепенно достигли успеха. Далее несколько месяцев мы подбирали необходимую конфигурацию «железа», потому что межсетевой экран – это всегда программно-аппаратный комплекс. Результатом этой работы стал наш новый продукт», – отметила на презентации InfoWatch ARMA NGFW президент InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская. По ее словам, корпоративный межсетевой экран, по сравнению с промышленным, требует большей производительности и скорости. Поэтому создание такого продукта стало перед индустрией серьезным вызовом. InfoWatch откликнулась на него одной из первых.

С такой оценкой рынка согласен и заместитель директора департамента обеспечения кибербезопасности Минцифры России Евгений Хасин. Он напомнил, что атаки, которые проводились на информационную инфраструктуру России, менялись и усложнялись начиная с февраля 2022 года. Если сначала это были в основном мощные DDoS-атаки, то сегодня действия киберпреступников усложняются, больше ориентируются на специфику отдельных атакуемых объектов. Межсетевые экраны играют огромную роль в процессе обнаружения и устранения инцидентов ИБ. Появление отечественных решений в этой области важно и с точки зрения требований к импортозамещению, закрепленных, в том числе, в Указах Президента РФ от 30 марта 2022 г. N 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» и от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Последний указ, например, предписывает до 2025 года осуществить замену средств защиты информации (СЗИ) на отечественные для защиты большого количества информационных систем.

Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности Минцифры России

Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности Минцифры России

«Межсетевые экраны в нашей стране существуют, но они другого класса. Межсетевые экраны следующего поколения (NGFW) создаются на стыке передовых решений как в области «железа», так и в области софта. При этом они не взаимозаменяемые, то есть сильно ориентированы на ту прикладную программную инфраструктуру, которую защищают. Для того, чтобы вместо одного решения поставить другое, требуется в том числе доработка самой инфраструктуры. Надо отдать должное, ряд ведущих отечественных производителей СЗИ принимают активное участие в создании таких решений. А отраслевой регулятор, ФСТЭК, разрабатывает специальные требования именно к данному классу межсетевых экранов в тесном взаимодействии с разработчиками, – заметил представитель Минцифры. – Специалисты InfoWatch в кратчайшие сроки создали необходимое решение с учетом специфики российского бизнеса и всех требований регуляторов, которые учитывают современные угрозы».

Директор департамента радиоэлектронной промышленности Минпромторга РФ Юрий Плясунов добавил, что его ведомство оценивает российский рынок телекоммуникационных систем в 700 млрд рублей, а весь рынок электронной продукции – в 3,2 триллиона рублей. При этом позиции отечественных производителей на этом рынке заметно укрепляются, для них открыто огромное окно возможностей. Меры, которые Минпромторг предпринимает для поддержки отрасли, кратно усилились: они охватили все этапы создания ИТ-продуктов, начиная с исследований, разработок средств производства, создания электронных компонентов, блоков, модулей – до производства конечной аппаратуры.

Директор по продуктам и технологиям компании «Тринити» Вадим Роженцов добавил, что российский рынок серверного оборудования по итогам 2021 года вырос на 34% относительно предыдущего периода, и его объем составил 1,35 млрд долларов (более 2 млрд долларов с учетом сегмента СХД). К концу 2021 года более 82% рынка занимали серверные решения на зарубежных процессорах и только 18% – на отечественных. 38% рынка занимали системы начального уровня, 43% – средние, 19% – высокопроизводительные решения.

InfoWatch ARMA NGFW – для защиты  крупных и средних предприятий

Итак, для решения актуальной для государства и бизнеса проблемы обеспечения информационной безопасности на предприятиях ГК InfoWatch выпустила программно-аппаратный комплекс для мониторинга сетевого трафика – InfoWatch ARMA NGFW – на базе хорошо зарекомендовавшего себя межсетевого экрана для защиты промышленных сетей InfoWatch ARMA Industrial Firewall.

К основным функциям нового продукта относятся: фильтрация приложений, обнаружение и предотвращение вторжений (с помощью собственной базы сигнатур), безопасное удаленное подключение, URL-фильтрация, SSL-инспекция (анализ зашифрованного трафика), уведомления по email и syslog, потоковый антивирус, web proxy. Решение обладает возможностью настройки прозрачной аутентификации пользователей (SSO), аутентификации по различным базам, протоколам LDAP  (Lightweight Directory Access Protocol) и RADIUS (Remote Authentication Dial In User Service). InfoWatch ARMA NGFW может интегрироваться с DLP-системой InfoWatch Traffic Monitor, а также с другими СЗИ по протоколу ICAP.

При разработке корпоративного межсетевого экрана разработчику нужно было решить три отдельных класса задач: найти оборудование, способное обеспечить решению высокую производительность;  обеспечить необходимую пропускную способность и оптимизацию ПО; доработать те функции, которые радикально отличают корпоративный межсетевой экран следующего поколения от промышленного решения.

Игорь Душа, заместитель генерального директора InfoWatch ARMA

Игорь Душа, заместитель генерального директора InfoWatch ARMA

«Высокая производительность – это один из ключевых параметров, которые радикально отличают решения для промышленности от решений для корпоративного сегмента. В корпоративном сегменте есть предприятия, для которых критичны высокие показатели скорости реагирования. Мы нашли и соответствующее оборудование, и поставщиков, которые могут обеспечить стабильные поставки российских аппаратных комплексов в разумные сроки и за разумные деньги», – рассказал заместитель генерального директора InfoWatch ARMA Игорь Душа.

По словам эксперта InfoWatch ARMA, все необходимые доработки в компании произвели за полгода, оперативно вывели продукт на рынок и успешно провели ряд тестовых внедрений. Такой темп разработчик поддерживает без потери качества. Работа в InfoWatch ведется в соответствии с принципами безопасной разработки: программное обеспечение постоянно проверяется на соответствие качеству, а также предотвращается появление в нем уязвимостей.

«Для наших заказчиков мы не только дорабатываем функциональность, но и стремимся сделать переход максимально комфортным, чтобы замена иностранного решения на отечественное была максимально удобной, комфортной и быстрой. Для этого мы, во-первых, нашли поставщиков, которые могут обеспечить удобные сроки поставки программно-аппаратных комплексов – в срок от двух недель. Во-вторых, мы разработали систему централизованного управления и автоматизации реагирования на инциденты. Это важно, так как количество квалифицированных кадров, которые готовы работать с подобными системами, небольшое. Более того, на крупных предприятиях необходимо автоматизировать процессы специалиста и иметь возможность централизованного управления системами, которые находятся в его ведении», – добавил Игорь Душа.

Первым поставщиком отечественного аппаратного обеспечения для InfoWatch ARMA NGFW стала компания «Тринити». В перечне предлагаемого компанией оборудования имеются вычислительные платформы от 1U до 4U, включенные в реестр Минпромторга.

InfoWatch ARMA NGFW может поставляться как программно-аппаратный комплекс или как образ виртуальной машины. Система работает на зарубежных и российских системах виртуализации. Она поддерживает большой перечень аппаратных конфигураций и параметров производительности, востребованных на предприятиях SMB и крупного бизнеса. Чтобы облегчить пользователям выбор, производитель может проконсультировать их по подбору оптимального решения – для этого нужна информация о модели существующего межсетевого экрана следующего поколения. После этого специалисты InfoWatch составят конфигурацию программно-аппаратного комплекса и предоставят помощь в пилотном проекте по импортозамещению. Ряд таких пилотных проектов уже реализованы.

Успех российского NGFW – в партнерстве вендоров ПО и «железа»

NGFW – это программно-аппаратный комплекс Для быстрого продвижения межсетевого экрана на рынок, его масштабирования среди заказчиков и расширения конфигураций – необходимо взаимодействие InfoWatch как производителя программной части решения с российскими вендорами серверного оборудования (аппаратной части) и отраслевыми интеграторами (для внедрения и поддержки решения по всей территории страны). С этой целью InfoWatch запускает партнерскую программу. В частности, компания уже сотрудничает ИТ-интегратором «Айтеко».

«Мы не планируем продавать наше решение напрямую, здесь мы полагаемся на большое количество партнеров, которые уже на нашем рынке существуют и способны, в том числе, осуществлять логистику. Партнер будет иметь один из четырех статусов, начиная с базового, в зависимости от объема продаж. Мы сейчас эту программу детально прорабатываем, так как ранее мы логистикой не занимались, продавали сложный софт, и нашими основными партнерами были системные интеграторы. Сейчас появляется другая модель, и нам надо будет выстраивать новую партнерскую сеть. Приглашаем компании, работающие на всей территории Российской Федерации, подключаться к программе», – прокомментировала Наталья Касперская.

Автор:
Андрей Блинов.

Тематики:
Безопасность

Ключевые слова:
информационная безопасность, InfoWatch

Свежее по теме

XVIII Конгресс ИТ-директоров «Белые ночи»

Поймали волну: что стоит за весенними DDoS-атаками на российские компании

Аналитик отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Владислав Иванов о кибербезопасности в банках

Как отразить целенаправленные кибератаки? Расскажет эксперт «Газинформсервис» Сергей Полунин

  1. Введение
  2. Архитектура и функциональные возможности InfoWatch ARMA
    1. 2.1. InfoWatch ARMA Industrial Firewall
    2. 2.2. InfoWatch ARMA Industrial Endpoint
    3. 2.3. InfoWatch ARMA Management Console
  3. Сценарии использования InfoWatch ARMA
    1. 3.1. Защита промышленной сети на границе с корпоративным сегментом
    2. 3.2. Защита промышленной сети и канала связи при доступе технической поддержки
    3. 3.3. Разграничение и защита нескольких сегментов АСУ ТП
    4. 3.4. Защита сети между сегментами SCADA и ПЛК
    5. 3.5. Мониторинг трафика непосредственно внутри сегмента АСУ ТП
    6. 3.6. Защищённое VPN-соединение site-to-site
  4. Варианты поставки и лицензирование InfoWatch ARMA
  5. Работа с системой InfoWatch ARMA
    1. 5.1. InfoWatch ARMA Industrial Firewall
    2. 5.2. InfoWatch ARMA Management Console
  6. Детектирование и отражение атак с помощью InfoWatch ARMA в режиме реального времени
    1. 6.1. Блокировка атаки на ПЛК по протоколу IEC104
    2. 6.2. Выявление сканирования SCADA и автоматическая блокировка злоумышленника
  7. Соответствие нормативным требованиям и сертификация
  8. Реальные кейсы применения InfoWatch ARMA
  9. Выводы

Введение

Пожалуй, всерьёз о теме промышленной кибербезопасности во всём мире заговорили после громкого инцидента с атакой вируса Stuxnet на объекты иранской ядерной программы в 2008 году. Кроме этого, в разные годы по вине киберпреступников происходили массовые отключения электричества в отдельных странах (например, Украине, Венесуэле), остановки производств и нарушения работы транспортной инфраструктуры. В качестве знаковых ИБ-инцидентов последнего времени с подтверждённым ущербом стоит отметить перебои в работе Norsk Hydro (убытки — 40 млн долларов США, 2019 г.), Rheinmetall (убытки — 30 млн долларов, 2019 г.), Demant (убытки — 100 млн долларов, 2019 г.) и, конечно, компании Garmin, заплатившей хакерам многомиллионный выкуп за расшифровку данных на своих онлайн-сервисах, пусть её и трудно отнести к числу индустриальных.

Технологическая трансформация порождает новые проблемные задачи для безопасности, тем более с учётом событий 2020 года. Всё ещё популярный тезис некоторых предприятий о том, что «наши площадки отключены от интернета», теперь уже точно не имеет права на жизнь. Даже ФСТЭК России в своих рекомендациях от 25.03.2020 официально «дала добро» на удалённое подключение к объектам критической информационной инфраструктуры (КИИ) с соблюдением определённых мер безопасности. На момент написания статьи (ноябрь 2020 года), по данным сервиса shodan.io, через интернет доступно почти 14 000 промышленных устройств, использующих популярный протокол Modbus, и ещё 2 700 применяющих не менее распространённый Siemens S7.

Рисунок 1. Онлайн-карта доступных через интернет устройств АСУ ТП, shodan.io

Онлайн-карта доступных через интернет устройств АСУ ТП, shodan.io

Согласно отчёту «Лаборатории Касперского» за второе полугодие 2019 года «Ландшафт угроз для систем промышленной автоматизации», в 2019 году Kaspersky ICS CERT выявила 103 уязвимости в промышленных и IoT / IIoT-системах, при этом многие типы вредоносных программ, не будучи заблокированными на компьютерах АСУ, представляли бы серьёзную опасность для работы предприятия. Аналитики отмечают, что количество угроз растёт год от года.

Рисунок 2. Количество уязвимостей в разных компонентах АСУ ТП, опубликованных на сайте US ICS-CERT, данные «Лаборатории Касперского»

Количество уязвимостей в разных компонентах АСУ ТП, опубликованных на сайте US ICS-CERT, данные «Лаборатории Касперского»

Таким образом, развитие индустрии 4.0 в целом приводит к тому, что традиционные модели киберугроз (включая отсутствие таковых) для промышленных сегментов пополняются новыми способами атак через уязвимости офисных сетей, рабочих станций и серверов. До сих пор обеспечение информационной безопасности АСУ ТП зачастую сводилось к точечной установке средств защиты без учёта специфики OT, их слабой интеграции между собой при отсутствии единого центра мониторинга и управления.

Рисунок 3. Угрозы информационной безопасности для сегментов АСУ ТП

Угрозы информационной безопасности для сегментов АСУ ТП

Реализация хотя бы одной из нескольких указанных угроз может привести к реальным инцидентам, среди которых — потеря контроля за режимом работы оборудования, несанкционированное управление оборудованием, отсутствие срабатывания защиты в случае инцидента, изменение показаний ПЛК (программируемых логических контроллеров) промышленных систем.

Чтобы максимально снизить вероятность совершения кибератак на промышленное предприятие и при этом повысить эффективность службы ИБ, необходимо решить, в частности, следующие задачи:

  • Создать замкнутую (с точки зрения информационных потоков и политик ИБ) защищённую среду.
  • Уменьшить количество ложных срабатываний промышленных средств ИБ с учётом специфики АСУ ТП.
  • Ввести в эксплуатацию столько средств ИБ для обеспечения адекватной защиты, чтобы выполнить требования регуляторов, но при этом иметь достаточное количество ресурсов для обслуживания этих средств.
  • Адаптировать систему ИБ под нужды конкретного предприятия таким образом, чтобы она помогала выстраивать процесс мониторинга и реагирования на актуальные инциденты и была интегрирована с существующей инфраструктурой, в том числе с системами диспетчерского управления.

Опираясь на конкретные задачи промышленной кибербезопасности и запросы рынка, отечественная компания «Инфовотч» разработала комплекс решений для защиты АСУ ТП InfoWatch ARMA, который представляет собой систему из трёх продуктов:

  • Industrial Firewall — промышленный межсетевой экран нового поколения (NGFW).
  • Industrial Endpoint — средство защиты рабочих станций и серверов SCADA.
  • Management Console — инструмент для автоматического реагирования на инциденты и централизованного управления средствами защиты.

Рисунок 4. Состав компонентов InfoWatch ARMA

Состав компонентов InfoWatch ARMA

Такой подход позволяет снизить затраты на внедрение системы безопасности и ускорить его, выстроить по-настоящему многоуровневую защиту, а также выполнить до 90 % технических требований из приказа ФСТЭК № 239, который устанавливает конкретный перечень мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ).

«Инфовотч» активно работает с известными отечественными и зарубежными производителями систем промышленной автоматизации с целью обеспечить как можно более плотную интеграцию с ними продуктов InfoWatch ARMA «из коробки». О том, как всё работает на практике, мы подробно расскажем далее.

Архитектура и функциональные возможности InfoWatch ARMA

Основная идея при разработке InfoWatch ARMA — обеспечение комплексной кибербезопасности с защитой максимального возможного числа элементов инфраструктуры АСУ ТП.

Рисунок 5. Защита сегмента АСУ ТП с помощью системы InfoWatch ARMA

Защита сегмента АСУ ТП с помощью системы InfoWatch ARMA

В комплексе InfoWatch ARMA все продукты интегрированы между собой. Специалисты по ИБ могут управлять каждым компонентом по отдельности или расследовать инциденты в едином интерфейсе, а при необходимости — автоматизировать реагирование по заранее согласованным сценариям. Рассмотрим возможности каждого из компонентов более подробно.

InfoWatch ARMA Industrial Firewall

InfoWatch ARMA Industrial Firewall является основным компонентом всей системы и согласно названию позволяет обнаруживать и блокировать атаки на промышленные сети, а также защитить последние от несанкционированного доступа.

Рисунок 6. Панель мониторинга InfoWatch ARMA Industrial Firewall

Панель мониторинга InfoWatch ARMA Industrial Firewall

Приставку «Next Generation» продукт получает благодаря тому, что в его составе можно выделить следующие четыре ключевые (с точки зрения сценариев применения) технологии:

  1. FW (Firewall) — межсетевой экран — контролирует доступ к сетевым ресурсам, защищает от несанкционированных действий в промышленной сети и фиксирует все информационные потоки. Позволяет ограничить использование сервисных функций промышленного трафика, например несанкционированную перепрошивку ПЛК или вредоносную запись данных. Кроме того, за счёт контроля отдельных команд протоколов и их значений можно блокировать неавторизованные действия и запрещать недопустимые операции с ПЛК, такие как подключение к сети АСУ ТП, доступ к любым параметрам ПЛК или управление контроллерами по сети.
  2. DPI (Deep Packet Inspection) — глубокая инспекция трафика — позволяет не только детектировать промышленные протоколы, но и разбирать конкретные команды самых распространённых из них. Это позволяет учитывать специфику АСУ ТП максимально гранулярно: например, блокировать недопустимые операции с ПЛК с учётом прав конкретных операторов.
  3. IDS / IPS (Intrusion Detection / Prevention System) — система обнаружения и предотвращения вторжений (СОВ) — детектирует и блокирует вредоносные программы, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровнях. Отдельно отметим поставляемую экспертной командой «Инфовотч» базу правил, которая обновляется ежедневно. Сигнатуры пишутся и аккумулируются коллегами самостоятельно исходя из опыта «боевых» внедрений. Кроме того, в комплект входят правила от мирового лидера в данной области — компании Emerging Threats (ET), подключаемые по сублицензии. В основе СОВ — ядро Suricata.
  4. VPN — встроенный в InfoWatch ARMA Industrial Firewall модуль организации виртуальной частной сети обеспечивает безопасное удалённое подключение к промышленному сегменту, например для работы технической поддержки или с целью объединения производственных площадок в одну сеть. Поддерживаются протоколы IPsec и OpenVPN; возможность шифрования согласно алгоритмам ГОСТ (и, соответственно, сертификация ФСБ России) на данный момент отсутствует. Разработчик сообщает о планах по внедрению отечественных алгоритмов шифрования в будущем.

В режиме фильтрации и разбора до уровня команд на текущий момент поддерживаются 8 протоколов (Modbus TCP, IEC 60870-5-104, S7 Communication, OPC UA, OPC DA, Modbus TCP x90 func. code (UMAS), IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE), а для обнаружения вторжений и мониторинга (без фильтрации) — дополнительно ещё 4: ENIP/CIP, Profinet, S7 Communication plus, DNP3. Список выглядит вполне логичным, он включает в себя большинство самых распространённых и популярных промышленных протоколов.

InfoWatch ARMA Industrial Endpoint

InfoWatch ARMA Industrial Endpoint представляет собой программный агент для рабочих станций и серверов, который защищает АСУ ТП от угроз на диспетчерском уровне.

Рисунок 7. Конфигурирование InfoWatch ARMA Industrial Endpoint

Конфигурирование InfoWatch ARMA Industrial Endpoint

Основные функциональные возможности — следующие:

  1. Контроль и блокировка подключения съёмных носителей. Ещё со времён Stuxnet мы помним, что заражение промышленных устройств с помощью флешек, телефонов и других подключаемых устройств — один из самых распространённых векторов атаки на АСУ ТП. InfoWatch ARMA Industrial Endpoint позволяет вести соответствующий учёт и предотвратить такого рода угрозы.
  2. Блокировка запуска приложений. На промышленных ПК должно функционировать только то ПО, которое предусмотрено производственным процессом. InfoWatch ARMA Industrial Endpoint позволяет создать безопасную замкнутую среду с помощью белого списка приложений и не допустить запуска файлов, которые в него не входят — в том числе вредоносных объектов и шифровальщиков. При этом агент в начале работы автоматически обучается и самостоятельно формирует белый список.
  3. Контроль целостности критически важных файлов и приложений. С помощью InfoWatch ARMA Industrial Endpoint выявляются любые нелегитимные изменения программной среды рабочей станции или сервера АСУ ТП.

Стоит отметить, что на текущий момент для работы InfoWatch ARMA Industrial Endpoint не предусмотрено самостоятельного графического интерфейса, управление продуктом осуществляется через InfoWatch ARMA Management Console.

Таким образом, InfoWatch ARMA Industrial Endpoint содержит часть функций классического антивируса и системы того класса, который мы в России привыкли называть «СЗИ от НСД». По заверениям вендора, продукт активно развивается в сторону полноценного решения класса EPP (Endpoint Protection Platform), включающего ядро сигнатурного анализа вирусов и другие технологии.

InfoWatch ARMA Management Console

Является, без преувеличения, «сердцем» всей системы InfoWatch ARMA, реализует централизованное управление подключёнными средствами защиты и позволяет автоматически реагировать на инциденты в сфере безопасности.

Рисунок 8. Сводка по инцидентам в InfoWatch ARMA Management Console

Сводка по инцидентам в InfoWatch ARMA Management Console

К ключевым функциональным возможностям консоли относятся:

  1. Централизованное управление средствами защиты InfoWatch ARMA Industrial Firewall и Industrial Endpoint, включая настройку баз промышленных сигнатур.
  2. Сбор и анализ данных, корреляция событий с возможностью отправки в SIEM или другие средства SOC.
  3. Отображение списка устройств в защищаемом сегменте и представление активов на карте сети с возможностью самостоятельной отрисовки.
  4. Автоматическая реакция, включая блокировку угроз по сценариям на средствах защиты, выполнение пользовательских скриптов и иных активных действий. Поддерживается также отправка команд непосредственно на пульт управления SCADA-системы.
  5. Расследование инцидентов по фактам зафиксированных событий из области безопасности, поступающих из промышленной сети и средств защиты.

Сценарии использования InfoWatch ARMA

Рассмотрим сценарии использования центрального продукта всей системы — InfoWatch ARMA Industrial Firewall — более подробно. В зависимости от приоритетных задач, поставленных при каждом конкретном внедрении, InfoWatch ARMA Industrial Firewall может быть развёрнут одним из шести способов (или всеми одновременно).

Защита промышленной сети на границе с корпоративным сегментом

Классический вариант, при котором промышленный сегмент защищается от угроз, возникающих со стороны корпоративной сети, таких как фишинг, заражение вредоносными программами, эксплуатация уязвимостей.

Рисунок 9. Пример вектора информационного воздействия со стороны корпоративного сегмента

Пример вектора информационного воздействия со стороны корпоративного сегмента

В этом случае установка InfoWatch ARMA Industrial Firewall на границе сетей поможет защититься от подобных угроз.

Рисунок 10. Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети на границе с корпоративным сегментом

Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети на границе с корпоративным сегментом

Защита промышленной сети и канала связи при доступе технической поддержки

Канал технической поддержки без дополнительного усиленного контроля может способствовать проникновению вредоносных программ или неумышленно предоставить атакующим удалённый доступ к промышленной сети.

Рисунок 11. Пример вектора информационного воздействия через канал технической поддержки

Пример вектора информационного воздействия через канал технической поддержки

При такой схеме InfoWatch ARMA Industrial Firewall будет полезен не только для защиты от угроз со стороны корпоративного сегмента, но и в качестве средства безопасности при оказании технической поддержки. Он позволит заблокировать неразрешённые действия по установленным заранее правилам и настроенным правам пользователей, а также зафиксировать всю активность.

Рисунок 12. Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети при доступе технической поддержки

Схема установки InfoWatch ARMA Industrial Firewall для защиты промышленной сети при доступе технической поддержки

Разграничение и защита нескольких сегментов АСУ ТП

Нередко случается так, что несколько сегментов АСУ ТП связаны друг с другом на уровне SCADA-систем или даже ПЛК (например, для синхронизации времени по протоколу NTP). Если злоумышленник атаковал одну систему управления через уязвимости ПЛК её уровня, он может получить доступ к смежной АСУ через корпоративный сегмент или смежный уровень логических контроллеров.

Рисунок 13. Пример вектора информационного воздействия на одну АСУ через смежную с ней другую

Пример вектора информационного воздействия на одну АСУ через смежную с ней другую

Чтобы минимизировать риски от воздействий такого типа, в InfoWatch ARMA Industrial Firewall необходимо настроить правила и политики взаимодействия АСУ (в том числе в случае разного уровня их защищённости, например по причине подключения одной из АСУ к внешним сетям), а также ограничить сетевой трафик внутри них.

Рисунок 14. Схема установки InfoWatch ARMA Industrial Firewall для защиты при взаимодействии разных АСУ

Схема установки InfoWatch ARMA Industrial Firewall для защиты при взаимодействии разных АСУ

Защита сети между сегментами SCADA и ПЛК

Современные SCADA-системы с каждым годом дополняются всё новыми функциональными возможностями. Это зачастую превращает их из специализированных устройств в полноценные компьютеры — со всеми вытекающими отсюда рисками не только для самих SCADA, но и для связанных с ними ПЛК. К этим рискам относятся проникновение вирусов, несанкционированное подключение устройств, намеренные или неумышленные деструктивные действия операторов.

Рисунок 15. Пример вектора информационного воздействия на ПЛК со стороны SCADA

Пример вектора информационного воздействия на ПЛК со стороны SCADA

Чтобы минимизировать вероятность воздействия злоумышленника на ПЛК со стороны SCADA-систем, необходимо установить InfoWatch ARMA Industrial Firewall между ними. Это позволит построить дополнительный эшелон защиты и разделить права пользователей.

Рисунок 16. Схема установки InfoWatch ARMA Industrial Firewall для защиты сети между SCADA и ПЛК

Схема установки InfoWatch ARMA Industrial Firewall для защиты сети между SCADA и ПЛК

Мониторинг трафика непосредственно внутри сегмента АСУ ТП

Если по каким-либо причинам установка InfoWatch ARMA Industrial Firewall в режиме обеспечения маршрутизации трафика и блокировки невозможна, то подойдёт пассивная схема внедрения (подключение к зеркалирующим портам SPAN), при которой осуществляется мониторинг сети с получением информации об угрозах и подозрительных действиях пользователей.

Рисунок 17. Схема установки InfoWatch ARMA Industrial Firewall в режиме пассивного мониторинга

Схема установки InfoWatch ARMA Industrial Firewall в режиме пассивного мониторинга

Защищённое VPN-соединение site-to-site

Наконец, устройства InfoWatch ARMA Industrial Firewall могут выступать в качестве образующих VPN-канал шлюзов — при объединении в общую сеть разрозненных производственных площадок или филиалов предприятия, удалённом подключении к ним и т. п.

Рисунок 18. Схема установки InfoWatch ARMA Industrial Firewall для организации защищённого канала между площадками

Схема установки InfoWatch ARMA Industrial Firewall для организации защищённого канала между площадками

Варианты поставки и лицензирование InfoWatch ARMA

Основной и самый «тяжёлый» во всех смыслах компонент системы — InfoWatch ARMA Industrial Firewall — поставляется как в виде программно-аппаратного комплекса, так и в варианте ПО для виртуальной машины (virtual appliance), который поддерживает самые популярные среды: VMware, Oracle VirtualBox, Microsoft Hyper-V, KVM, Bhyve. Поскольку «Инфовотч» не является производителем оборудования, InfoWatch ARMA Industrial Firewall в исполнении ПАК доступен на следующих аппаратных платформах (табл. 1).

Таблица 1. Аппаратные платформы для ПАК InfoWatch ARMA Industrial Firewall

Отметим широкую вариативность типов оборудования (все — без движущихся частей), что является актуальным для клиентов — промышленных компаний. Серверы доступны под три типа монтажа: 19-дюймовая стойка, DIN-рейка и промышленное BOX-исполнение. Гарантийный срок на всё оборудование — 1 год, с возможностью расширения до 5 лет. Независимо от типа поставки InfoWatch ARMA Industrial Firewall поддерживает работу в режиме отказоустойчивого кластера при объединении нескольких нод в режиме «active-passive». Весь трафик в кластере обрабатывает ведущее устройство, а резервное непрерывно синхронизирует с ним свою конфигурацию и берёт на себя функцию обработки трафика в том случае, если ведущее выйдет из строя.

InfoWatch ARMA Industrial Firewall лицензируется максимально прозрачно, исходя из включённого набора функций:

  1. Межсетевой экран и VPN.
  2. Система обнаружения вторжений.
  3. Межсетевой экран, VPN и система обнаружения вторжений (в сумме — тот самый NGFW).

При этом конечная стоимость для заказчика определяется указанным набором функций и выбранной аппаратной платформой, вследствие чего не зависит от объёма трафика, количества пользователей, конечных защищаемых устройств, сетевых сегментов и менее значительной функциональности. Само собой, лицензия гибко расширяется в любой момент при необходимости.

InfoWatch ARMA Industrial Endpoint, представляя собой агент для защиты рабочих станций и серверов, логичным образом лицензируется по количеству конечных устройств. Агенты могут работать на ОС семейства Windows старше версии 7; минимальные системные требования для установки — 500 МБ свободного места на жёстком диске, процессор Intel Pentium 1 ГГц (или совместимый аналог), 2 ГБ оперативной памяти.

Схема лицензирования InfoWatch ARMA Management Console также крайне проста: по числу экземпляров Industrial Firewall и Industrial Endpoint, подключаемых для управления. Для её установки необходимо развернуть ПО на «железном» сервере либо виртуальной машине со следующими параметрами:

  • ОЗУ — не менее 16 ГБ (рекомендовано 32 ГБ),
  • ПЗУ — не менее 80 ГБ,
  • процессор — Intel 2 ГГц или лучше, желательно не менее двух ядер процессора.

Работа с системой InfoWatch ARMA

Для целей тестирования вендор предоставил нам доступ к специальному стенду, в рамках которого развёрнуты все 3 продукта системы InfoWatch ARMA.

Рисунок 19. Схема стенда InfoWatch ARMA для работы с системой и тестирования защиты от атак

Схема стенда InfoWatch ARMA для работы с системой и тестирования защиты от атак

InfoWatch ARMA Industrial Firewall

Для первоначальной конфигурации InfoWatch ARMA Industrial Firewall, как и всех продуктов подобного класса, необходимо задать базовые настройки (IP-адреса, подсети, административные учётные записи, адрес веб-интерфейса и т. п.) через консоль.

Рисунок 20. Инициализация и базовая настройка InfoWatch ARMA Industrial Firewall

Инициализация и базовая настройка InfoWatch ARMA Industrial Firewall

Для дальнейшей настройки InfoWatch ARMA Industrial Firewall воспользуемся привычным веб-интерфейсом. Система поддерживает ролевую модель доступа пользователей, а также авторизацию любым удобным способом (в частности, есть синхронизация с LDAP, поддержка протокола RADIUS и сертификатов, в том числе для VPN). Для дополнительного усиления мер безопасности осуществляется контроль целостности прошивки, также можно вернуться к любой предыдущей конфигурации (они сохраняются), визуально сравнив изменения. На инструментальной панели выводится общая сводка по системной информации, запущенным службам, активным шлюзам.

Рисунок 21. Инструментальная панель InfoWatch ARMA Industrial Firewall

Инструментальная панель InfoWatch ARMA Industrial Firewall

Сразу бросается в глаза обилие всевозможных настроек, что говорит об очень важном аспекте: разрабатывая индустриальный межсетевой экран, вендор в первую очередь качественно сделал обычный, со всеми классическими модулями и необходимыми для маршрутизации и фильтрации трафика настройками. В качестве примера приведём конфигурирование раздела «Межсетевой экран», где для удобства можно использовать метки (названия) для разных подсетей. Кроме ожидаемых правил уровня L4, осуществляется настройка NAT, шейпинга трафика, групп интерфейсов, виртуальных адресов CARP (не во всех обычных МЭ это есть!), можно посмотреть журналы и т. п.

Рисунок 22. Настройка правил межсетевого экрана L2 в InfoWatch ARMA Industrial Firewall

Настройка правил межсетевого экрана L2 в InfoWatch ARMA Industrial Firewall

Помимо стандартного режима маршрутизации на уровне L3 (в том числе доступны популярные динамические протоколы OSPF и RIP) есть поддержка создания неограниченного числа виртуальных интерфейсов для организации сетевого моста в прозрачном режиме (L2). В этом случае он работает как система обнаружения и предотвращения вторжений с возможностью блокировки вредоносных пакетов между сетями одного адресного пространства.

Наибольший интерес для нас, безусловно, представляет раздел «Обнаружение вторжений». Здесь уже начинается специфика АСУ ТП и настраиваются правила контроля на уровне L7 (приложений).

Рисунок 23. Настройка контроля на уровне приложений (L7) в InfoWatch ARMA Industrial Firewall

Настройка контроля на уровне приложений (L7) в InfoWatch ARMA Industrial Firewall

Напомним, что InfoWatch ARMA Industrial Firewall разбирает большинство из самых популярных промышленных протоколов до уровня команд. Благодаря этому при настройке правила, например, для S7 Communication можно задать срабатывания не только по стандартным портам и IP-адресам, но также и по специфическим командам (в нашем случае — команда остановки контроллера, PLCSTOP).

Рисунок 24. Задание правила для контроля команд АСУ ТП в InfoWatch ARMA Industrial Firewall

Задание правила для контроля команд АСУ ТП в InfoWatch ARMA Industrial Firewall

Добавим, что сигнатуры поставляются в систему в стандартизованном формате .rules, есть возможность импортировать свой набор правил. Крайне важной является функция обнаружения устройств в сети и работы с ними (раздел «Сеть»).

Рисунок 25. Обнаружение и регистрация хостов в InfoWatch ARMA Industrial Firewall

Обнаружение и регистрация хостов в InfoWatch ARMA Industrial Firewall

Система автоматически регистрирует новые хосты в контролируемых подсетях (распределяет по интерфейсам), определяет их параметры (IP- и MAC-адреса, тип, производитель и т. п.). Это актуально для сегментов АСУ ТП, поскольку даже просто появление нового неизвестного устройства в технологической сети — это уже инцидент. При необходимости в этом же разделе осуществляются работа с «сырым» трафиком, который записывается по расписанию (формат PCAP), и изучение интересующих потоков напрямую в интерфейсе (инструментарий на базе Tshark).

Рисунок 26. Работа с «сырым» трафиком в InfoWatch ARMA Industrial Firewall

Работа с «сырым» трафиком в InfoWatch ARMA Industrial Firewall

А вот поведенческий анализ трафика / устройств и автоматическое детектирование аномалий на данный момент в продукте не реализованы. Из приятных дополнений — InfoWatch ARMA Industrial Firewall позволяет подключать и запускать различные службы: в том числе, к примеру, можно поднять перехватывающий портал (captive portal) для гостевой аутентификации. В стандартный комплект также входит сервис веб-проксирования на базе популярного ядра Squid.

InfoWatch ARMA Management Console

Любая система централизованного управления и анализа начинается… нет, не с вешалки, но с обзорной панели и индикаторов («дашборда»). Здесь помимо статусной информации отображаются сводки по инцидентам и временная шкала.

Рисунок 27. Мониторинг текущего состояния InfoWatch ARMA Management Console

Мониторинг текущего состояния InfoWatch ARMA Management Console

Для работы с продуктом доступны два лаконичных раздела «Активы» и «Журналы», но, как мы увидим далее, этого вполне достаточно для решения большинства задач. В первом из них автоматически фиксируется и отображается перечень устройств (в том числе промышленных — ПЛК и т. п.), рабочих станций, серверов и подключённых модулей InfoWatch ARMA Industrial Firewall / Endpoint.

Рисунок 28. Работа с активами и устройствами в InfoWatch ARMA Management Console

Работа с активами и устройствами в InfoWatch ARMA Management Console

Чтобы отредактировать информацию по активу, нужно перейти в его карточку. Помимо основных данных, в ней подсвечиваются связанные инциденты, в которые также можно «провалиться».

Рисунок 29. Редактирование инцидента в InfoWatch ARMA Management Console

Редактирование инцидента в InfoWatch ARMA Management Console

Для удобства визуального анализа все активы отображаются на карте сети. Она полностью интерактивна, размечена цветами, пользователь может самостоятельно добавлять свои элементы и связи, группировать их. Для полноты восприятия есть возможность в качестве фона подгрузить графическую схему помещений здания и располагать элементы на карте в привязке к ней.

Рисунок 30. Построение карты активов в сети в InfoWatch ARMA Management Console

Построение карты активов в сети в InfoWatch ARMA Management Console

Система позволяет централизованно управлять средствами защиты InfoWatch ARMA Industrial Firewall и Endpoint. И если первые настраиваются из собственного интерфейса (здесь, в Management Console, параметров не так много, в основном они связаны с менеджментом конфигураций), то для вторых это — основной инструмент администрирования. Также доступно групповое конфигурирование.

Рисунок 31. Управление подключёнными экземплярами Industrial Endpoint в InfoWatch ARMA Management Console

Управление подключёнными экземплярами Industrial Endpoint в InfoWatch ARMA Management Console

Здесь для каждого из агентов настраиваются базовые опции, файлы для контроля целостности, белый список приложений, права доступа для подключения и записи на внешние устройства. Изменённые политики «прилетают» на агенты весьма быстро — в пределах 10 секунд при исправно работающем сетевом доступе.

Рисунок 32. Настройка параметров выбранного экземпляра Industrial Endpoint в InfoWatch ARMA Management Console

Настройка параметров выбранного экземпляра Industrial Endpoint в InfoWatch ARMA Management Console

Переходим к самому интересному — настройке правил корреляции и управлению инцидентами. Для этого предусмотрен соответствующий раздел, где отображается перечень текущих правил.

Рисунок 33. Работа с правилами корреляции в InfoWatch ARMA Management Console

Работа с правилами корреляции в InfoWatch ARMA Management Console

Например, одно из самых распространённых правил — сканирование сети. Принцип его настройки напоминает классический интерфейс SIEM-систем. Помимо базовых параметров и условий срабатывания задаются один или несколько сценариев реагирования (отправка по Syslog, HTTP-запрос, создание инцидента, запуск bash-скрипта, запуск исполняемого файла, создание нового актива, создание правила межсетевого экрана). Указанное ниже в примере правило предполагает создание запрещающего правила на МЭ (Reject).

Рисунок 34. Настройка реагирования в рамках правила в InfoWatch ARMA Management Console

Настройка реагирования в рамках правила в InfoWatch ARMA Management Console

Отдельно задаются параметры самого инцидента (важность, категория, описание с переменными, назначение и т. п.), а также рекомендации из списка, отображаемые в случае его наступления оператору SCADA или сотруднику ИБ — например, перевести АСУ ТП в ручной режим.

Рисунок 35. Задание параметров и рекомендаций по инциденту в InfoWatch ARMA Management Console

Задание параметров и рекомендаций по инциденту в InfoWatch ARMA Management Console

В случае возникновения инцидента последний попадает в соответствующий раздел с необходимыми первичными данными и визуальной индикацией.

Рисунок 36. Сводка по текущим инцидентам в InfoWatch ARMA Management Console

Сводка по текущим инцидентам в InfoWatch ARMA Management Console

Для подробного расследования нужно перейти в карточку инцидента. Работа с ней также интуитивна и привычна: можно назначать инцидент, менять категорию, оценить реакцию, закрыть инцидент.

Рисунок 37. Разбор деталей инцидента в InfoWatch ARMA Management Console

Разбор деталей инцидента в InfoWatch ARMA Management Console

Здесь же отображаются события, связанные с инцидентом, в каждое из которых можно «провалиться» при необходимости. В качестве источников событий пока доступны только собственные продукты из системы InfoWatch ARMA, однако вендор ведёт работу над возможностью подключения иных журналов (операционные системы, SCADA, другие источники).

Рисунок 38. Просмотр деталей события по инциденту в InfoWatch ARMA Management Console

Просмотр деталей события по инциденту в InfoWatch ARMA Management Console

Детектирование и отражение атак с помощью InfoWatch ARMA в режиме реального времени

Чтобы посмотреть, как InfoWatch ARMA справляется с атаками, мы подготовили и реализовали два сценария. О каждом из них — по порядку.

Блокировка атаки на ПЛК по протоколу IEC104

В данном сценарии злоумышленник пытается нарушить работу ПЛК путём отправки вредоносной команды «Запись: остановка» на него. Предварительно настроим правило обнаружения вторжений в InfoWatch ARMA Industrial Firewall, которое будет блокировать такую активность.

Рисунок 39. Настройка правила блокировки в InfoWatch ARMA Industrial Firewall

Настройка правила блокировки в InfoWatch ARMA Industrial Firewall

Для эмуляции промышленного трафика и имитации действий хакера мы воспользуемся двумя инструментами: Qtester104 и Snap7. Сначала запускаем промышленный трафик и «включаем ПЛК», затем с помощью Send Command пытаемся его остановить.

Рисунок 40. Запуск команды для остановки ПЛК

Запуск команды для остановки ПЛК

Замечаем, что команда не выполнилась. Переходим в InfoWatch ARMA Management Console, смотрим инциденты.

Рисунок 41. Зафиксированные инциденты в InfoWatch ARMA Management Console

Зафиксированные инциденты в InfoWatch ARMA Management Console

Далее проверим события, связанные с нашим инцидентом; они действительно говорят о попытке остановить ПЛК.

Рисунок 42. Карточка события по инциденту в InfoWatch ARMA Management

Карточка события по инциденту в InfoWatch ARMA Management

Дополнительно убедимся, что в InfoWatch ARMA Industrial Firewall автоматически отработало соответствующее правило.

Рисунок 43. Срабатывание по правилу в InfoWatch ARMA Industrial Firewall

Срабатывание по правилу в InfoWatch ARMA Industrial Firewall

На реальных объектах мониторинг и блокировка с помощью InfoWatch ARMA определённых команд, отправляемых по сети на промышленное оборудование, могут оказаться полезными не только для отражения атак внешних хакеров. Иногда подобные деструктивные действия случайно выполняются сотрудниками.

Выявление сканирования SCADA и автоматическая блокировка злоумышленника

В данном сценарии хакер при подготовке атаки производит стандартное действие: сканирует хосты на предмет открытых портов, доступных сервисов и наличия уязвимостей. Убедимся, что в InfoWatch ARMA Industrial Firewall настроено правило детектирования попыток сканирования по сети.

Рисунок 44. Настроенное правило в InfoWatch ARMA Industrial Firewall

Настроенное правило в InfoWatch ARMA Industrial Firewall

Для автоматической реакции на подобные инциденты настроим в InfoWatch ARMA Management Console правило, по которому на межсетевом экране будет добавляться новое запрещающее правило для вредоносного источника.

Рисунок 45. Правило корреляции в InfoWatch ARMA Management Console

Правило корреляции в InfoWatch ARMA Management Console

Для эмуляции действий злоумышленника воспользуемся инструментарием из набора Kali Linux и запустим сканирование SCADA-сервера.

Рисунок 46. Запуск сканирования SCADA

Запуск сканирования SCADA

Отмечаем, что сканирование в итоге завершилось неудовлетворительным для хакера результатом. Теперь проверяем срабатывания в InfoWatch ARMA Management Console и убеждаемся, что наш инцидент действительно зафиксирован системой.

Рисунок 47. Инциденты в InfoWatch ARMA Management Console

Инциденты в InfoWatch ARMA Management Console

Наконец, смотрим, действительно ли в InfoWatch ARMA Industrial Firewall в разделе «Межсетевой экран» автоматически создалось правило с блокировкой IP-адреса именно нашей условной «хакерской машины».

Рисунок 48. Созданное автоматически правило блокировки в InfoWatch ARMA Industrial Firewall

Созданное автоматически правило блокировки в InfoWatch ARMA Industrial Firewall

В данном примере продемонстрирована автоматизация, благодаря которой можно обойтись без постоянного ручного занесения IP-адресов в блок-лист. InfoWatch ARMA как раз и призвана максимально упростить рутинные операции, предоставляя вполне широкий инструментарий для реагирования на инциденты.

Соответствие нормативным требованиям и сертификация

Соответствие нормативным требованиям и сертификация Ужесточение условий применения средств защиты информации (да и всего программного обеспечения) в России диктует всё новые требования для компаний практически изо всех отраслей экономики, а не только для государственного сектора, как ранее. К таким требованиям относятся положения 187-ФЗ «О безопасности критической информационной инфраструктуры» и подзаконных актов. Напомним, что комплекс продуктов InfoWatch ARMA позволяет закрывать до 90 % технических мер из приказа ФСТЭК России № 239. Чтобы получить полный список закрываемых требований, необходимо обратиться к вендору напрямую.

Продукты компании «Инфовотч» регулярно проходят процедуру сертификации в системе ФСТЭК России. InfoWatch ARMA Industrial Firewall — не исключение — имеет сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия — решение может применяться на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно. Сертификат подтверждает, что InfoWatch ARMA Industrial Firewall является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющей государственную тайну, реализующим функции СОВ и МЭ, соответствует требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3) и задании по безопасности.

InfoWatch ARMA Industrial Firewall включён в реестр отечественного ПО (регистрационный номер 5937). Кроме того, в 2021 году вендор намерен запустить сертификацию InfoWatch ARMA Industrial Endpoint на соответствие требованиям УД-4 и профиля защиты для СКН и САВЗ (4 класс защиты).

Реальные кейсы применения InfoWatch ARMA

Отдельно стоит остановиться на некоторых историях успешного применения InfoWatch ARMA на практике, собранных из опыта внедрения системы в рамках реализации реальных проектов по защите АСУ ТП.

  1. Проектирование системы защиты в соответствии с выполнением требований 187-ФЗ для компании из энергетического сектора

Благодаря включению в проект отечественного продукта InfoWatch ARMA Industrial Firewall в дополнение к иным базовым средствам защиты (антивирусная защита, резервное копирование и т. п.) удалось закрыть большинство технических мер согласно приказу ФСТЭК России № 239. Кроме этого, с помощью InfoWatch ARMA Industrial Firewall была обеспечена защита от существенной части актуальных угроз из их модели, что позволило сократить общий бюджет проекта.

  1. Обеспечение защиты от атак на АСУ ТП для электрораспределительной компании

Задача заключалась в проведении аудита информационной безопасности АСУ ТП с применением перечня разрешённых команд ряда промышленных протоколов (IEC 60870 5 104, IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE). InfoWatch ARMA Industrial Firewall был установлен на порт зеркалирования трафика промышленного сегмента. В ходе проекта были выявлены уязвимости, случаи вредоносного воздействия и нерегламентированные информационные потоки. В итоге все найденные недостатки были устранены.

  1. Выявление причин сбоев и защита удалённого доступа к газоперерабатывающей подстанции

На объекте фиксировались перебои в работе АСУ ТП, периодически отключались различные агрегаты. На их восстановление требовалось длительное время — более 3 часов. Внедрение InfoWatch ARMA Industrial Firewall позволило детально протоколировать действия технической поддержки, которые теперь осуществлялись по защищённому каналу связи (физически организованному через сеть общего пользования).

Выводы

В ходе изучения и тестирования InfoWatch ARMA мы отметили удобство, продуманность и привычность интерфейса, а также весьма высокий уровень зрелости самих продуктов. Все запланированные сценарии отработали корректно. Важно, что вендор предлагает не только технологии, но и готовые сценарии их применения, решающие вполне конкретные задачи в области киберзащиты АСУ ТП. Для этого коллеги дорабатывают свои продукты, постоянно контактируя с заказчиками и выделяя следующие ключевые и во многом нерешённые проблемы:

  • Большое количество средств защиты может оказаться дорого и трудоёмко размещать на каждом отдельном небольшом сегменте АСУ ТП.
  • Основная задача — снизить вероятность (и негативные последствия) реализации атак, а уже потом улучшать качество их детектирования.
  • У специалистов по информационной безопасности АСУ ТП нет времени и физической возможности заниматься непрерывным мониторингом и «тюнингом» средств защиты.
  • Если инцидент уже развивается, то необходимо как можно оперативнее его локализовать и предотвратить дальнейшее распространение — а использовать для этого разрозненные, не интегрированные между собой средства защиты слишком затратно по времени.

В целом появление новых отечественных решений на этом рынке и усиление конкуренции будут благотворны для заказчиков. Несмотря на заметный рост интереса к теме киберзащиты АСУ ТП за последние годы, решения в этой области развиваются, пожалуй, медленнее, чем отрасль ИБ суммарно. Во-первых, это связано со сложностью внедрения наложенных средств безопасности как таковых, поскольку всё, что связано с технологическим процессом, весьма чувствительно к изменениям. Во-вторых, для успешной разработки и внедрения защитных решений необходима глубокая экспертиза в узких, а иногда и вообще экзотических областях промышленной автоматики. Компания «Инфовотч» фундаментально подходит к данному вопросу, для чего активно работает с производителями таких систем и планирует расширять сотрудничество. В качестве дополнительных точек роста для своих продуктов по киберзащите АСУ ТП вендор отмечает:

  • Наращивание опыта и квалификации в предметной области, обогащение «коробочных» продуктов предустановленной базой знаний, в том числе в разрезе конкретных отраслей промышленности: энергетика, нефтегаз, металлургия и т. п.
  • Улучшение автоматизации, расширение возможных сценариев реагирования и помощи в выстраивании процесса инцидент-менеджмента в области киберзащиты АСУ ТП в целом.
  • Пополнение базы обнаружения целевых для АСУ ТП вторжений как собственными силами, так и в партнёрстве с другими компаниями.
  • Разработка дополнительных функциональных ядер, таких как механизм выявления поведенческих аномалий.

На текущий момент активно развиваются как вся концепция и экосистема киберзащиты АСУ ТП InfoWatch ARMA, так и отдельные продукты в её составе. Много интересных новинок клиенты увидят ещё до конца 2020 года, а почти все выявленные «шероховатости» уже запланированы к доработке в 2021-м.

Достоинства:

  • Большое для рынка число парсеров промышленных протоколов с разбором до уровня команд, что позволяет решать действительно актуальные задачи для обеспечения информационной безопасности АСУ ТП.
  • Концепция экосистемы с единым центром мониторинга и управления, решение большинства задач киберзащиты АСУ ТП «под ключ».
  • Хороший выбор аппаратных платформ, в том числе в промышленном исполнении.
  • Простая политика лицензирования.
  • Большое для промышленного межсетевого экрана число настроек из области «обычного офисного маршрутизатора».
  • Сертификат ФСТЭК России по 4 уровню доверия на соответствие требованиям к межсетевым экранам типа «Д» 4 класса защиты (ИТ.МЭ.Д4.ПЗ) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.ПЗ).

Недостатки:

  • Нет механизма выявления поведенческих аномалий.
  • Для виртуального исполнения нет поддержки некоторых сред (Citrix Xen, Proxmox, Virtuozzo).

Кибербезопасность АСУ ТПInfoWatch
ARMA

Защита АСУ ТП в условиях критического уровня угроз

Бесплатно в рамках программы поддержки

Поможем с настройкой встроенных СЗИ. Предоставим ПО InfoWatch ARMA бесплатно на 3 месяца

InfoWatch ARMA — отечественная система для обеспечения кибербезопасности АСУ ТП. Защищает критическую информационную инфраструктуру от угроз, которые возникают при смешении IT и OT контуров, и исходят как от внутренних, так и от внешних нарушителей.

Развитие Индустрии 4.0 привело к тому, что к традиционным моделям угроз OT-сетей добавились новые способы атак через уязвимости операционных систем со стороны IT. Главными барьерами оперативному реагированию на вторжения и атаки стало то, что средства защиты устанавливаются точечно, слабо интегрированы между собой и не имеют единого центра управления.

InfoWatch ARMA – единая система, которая защищает информацию в промышленных сетях, рабочие станции и сервера, предоставляя возможность управления инцидентами, в том числе поступившими от средств защиты информации других производителей. Такой подход позволяет построить настоящую эшелонированную защиту промышленных АСУ ТП в эпоху цифровой трансформации.

Единая система закрывает больше мер ФСТЭК России

Все продукты системы InfoWatch ARMA интегрированы между собой и позволяют обеспечить комплексную кибербезопасность: от обнаружения вторжений до реагирования на инциденты. Такой подход облегчает внедрение системы и позволяет закрыть большее количество технических мер ФСТЭК России.

технических мер ФСТЭК России позволяет выполнить комплексная система InfoWatch ARMA

Узнайте, как InfoWatch ARMA помогает построить защиту от угроз в эпоху цифровых изменений

Выберите задачи, которые перед вами стоят, и узнайте, как их решить, используя систему InfoWatch ARMA.

Какие задачи стоят перед Вами?

Наши эксперты помогут подобрать средства защиты под специфику ваших АСУ ТП

У меня другая задача

Единая система — легче и выгоднее внедрение

Внедрение средств защиты разных вендоров требует много времени и привлечение сторонних подрядных организаций, а при эксплуатации ― часто снижает оперативность обнаружения и предотвращения атаки. Специалистам информационной безопасности приходится работать с множеством непохожих интерфейсов, что усложняет процесс взаимодействия при расследовании инцидентов.

В комплексной системе InfoWatch ARMA все продукты интегрированы между собой. Такой подход снижает время и затраты на внедрение и позволяет построить эшелонированную защиту АСУ ТП, основанную на полноте данных от всех средств защиты InfoWatch ARMA, в том числе, от других производителей.

Специалисты ИБ могут расследовать инциденты в едином интерфейсе, а при необходимости — автоматизировать реагирование по заранее согласованным сценариям. Это значительно повышает эффективность работы с инцидентами и позволяет снизить риск человеческого фактора.

Все продукты комплексной системы InfoWatch ARMA для обеспечения кибербезопасности АСУ ТП

InfoWatch ARMA Industrial Firewall ― сертифицированный промышленный межсетевой экран нового поколения (NGFW)

Своевременно обнаруживает и блокирует атаки на промышленные сети, защищает от несанкционированного доступа и позволяет обеспечить соответствие требованиям законодательства (№ 187-ФЗ и ФСТЭК России, Приказ № 239). Сертификат ФСТЭК России по 4 уровню доверия (№4429 со сроком действия до 27.07.2026 г.). Включен в единый реестр российского ПО Минкомсвязи РФ.

Глубокая инспекция промышленных протоколов

Обнаруживает вторжения по таким протоколам, как Modbus TCP, Modbus TCP x90 func. code (UMAS), OPC UA, OPC DA, IEC 60870 5 104, IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE, S7 Communication и другие.

Определяет протоколы на основе содержания пакетов промышленного трафика, а не только номера порта.

Это позволяет специалисту ИБ АСУ ТП получать данные трафика, в том числе, с нестандартных портов, значительно расширяя видимость промышленной сети, своевременно реагировать на любые угрозы и обнаруживать вредоносное ПО.

Позволяет фильтровать протоколы по полям до уровня отдельных команд и их значений.

Это позволяет специалисту ИБ АСУ ТП получать данные трафика, в том числе, с нестандартных портов, значительно расширяя видимость промышленной сети, своевременно реагировать на любые угрозы и обнаруживать вредоносное ПО.

Встроенная система обнаружения вторжений

Обнаруживает и блокирует вредоносное ПО, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровне.

Почему наша СОВ обнаруживает больше типов атак и действует эффективнее, чем отечественные аналоги?

Содержит базу решающих правил СОВ для АСУ ТП, которая обновляется ежедневно. Можно самостоятельно дополнять предустановленную базу СОВ собственными пользовательскими правилами для защиты конкретных АСУ ТП.

Позволяет разрешать или запрещать отдельные команды между SCADA – ПЛК, несколькими АСУ ТП, а при необходимости – на периметре АСУТП, благодаря функции фильтрации пакетов трафика.

Межсетевое экранирование для промышленных объектов

Контролирует доступ пользователей к сетевым ресурсам, защищает от несанкционированного действия в промышленной сети и регистрирует все информационные потоки.

В чем уникальность нашего межсетевого экранирования?

Позволяет запретить перепрошивку ПЛК, изменение ПО ПЛК и запись информации в ПЛК.

Блокирует недопустимые операции с ПЛК: подключение к сети АСУ ТП, доступ к параметрам ПЛК или управление ПЛК по сети.

Анализ трафика с помощью потокового антивируса

Обеспечивает безопасность информации при объединении в единую сеть филиалов предприятия, удаленном подключении к производственной площадке или при работе технической поддержки.

Безопасное удаленное подключение через VPN

Проводит сканирование потока данных в промышленной сети, обнаруживает вредоносные объекты (различные вирусы, вредоносные скрипты, троян и другие угрозы) и блокирует их на сетевом уровне. Антивирусные базы регулярно обновляются для обнаружения актуальных угроз.

InfoWatch ARMA Management Console — единый центр управления системой защиты InfoWatch ARMA

Позволяет своевременно обнаружить и заблокировать угрозы, настроить автоматическое реагирование на инциденты и централизованно управлять обновлениями продуктов комплексной системы InfoWatch ARMA.

Централизованное управление конфигурацией и обновлениями продуктов комплексной системы InfoWatch ARMA

Позволяет централизовано управлять конфигурацией и обновлениями промышленного межсетевого экрана нового поколения ― InfoWatch ARMA Industrial Firewall и средства защиты конечных устройств АСУ ТП — InfoWatch ARMA EndPoint, а также базами промышленных сигнатур и решающими правилами СОВ.

Управление и расследование инцидентов

Позволяет расследовать инциденты ИБ в едином веб-интерфейсе, поступающие из промышленной сети, средств защиты других производителей и продуктов комплексной системы InfoWatch ARMA.

Сбор событий ИБ и предоставление инцидентов в SOC- и SIEM-системы

Собирает события безопасности, коррелирует их в инциденты

Автоматическая блокировка угрозы на всех средствах защиты

Позволяет автоматически сформировать реакцию на инцидент. Например, сформировать правило блокировки и настроить по нему средства защиты, как только получит информацию об атаке и её источнике. Специалист ИБ АСУ ТП может использовать предустановленные правила или задать собственный сценарий реагирования.

Взаимодействие с центром ГосСОПКА

InfoWatch ARMA Management Console осуществляет связь с центром ГосСОПКА через личный кабинет. Помимо информирования ГосСОПКА об инцидентах информационной безопасности, подключенный модуль дает возможность для двухстороннего обмена комментариями с сотрудниками НКЦКИ в едином интерфейсе.

InfoWatch ARMA Industrial EndPoint — средство защиты информации рабочих станций и серверов SCADA

Защищает АСУ ТП от угроз на уровне диспетчерского управления.

Обнаружение и блокировка недоверенного ПО

Создает безопасную замкнутую среду с помощью белого списка программ. Не позволяет исполнять любые файлы, не входящие в список, в том числе вредоносное ПО, например, вирусов-шифровальщиков.

Контроль подключения съемных носителей

Позволяет предотвратить угрозы от зараженных съемных устройств, в том числе, портативных, например, смарт-фонов.

Контроль целостности файлов и ПО рабочих станций и серверов АСУ ТП

Запрещает вносить любые нелегитимные изменения в программную среду рабочей станции или сервера АСУ ТП.

Обнаруживает вредоносные программы и компьютерные вирусы

Проводит антивирусное сканирование файлов сигнатурным методом и оперативно реагирует на обнаруженные вирусы. Регулярное обновление баз сигнатур для антивирусной программы дает возможность обнаружить новые вирусы и снизить количество ложных срабатываний.

Рассказываем, как построить эшелонированную защиту АСУ ТП с помощью продуктов системы InfoWatch ARMA, которые интегрированы между собой и позволяют выполнить требования регуляторов, в том числе ФСТЭК России

InfoWatch ARMA дает уверенность в предотвращении кибератаки любой сложности

Интервью Игоря Души, директора по развитию продуктов для защиты АСУ ТП InfoWatch, c рассказом о том, как построить эшелонированную защиту от массовых и АРТ-атак с помощью InfoWatch ARMA и выполнить требования ФСТЭК России (Приказ №239).

Защита АСУ ТП — интервью Игоря Души на BIS Summit 2020
06:51

Защита АСУ ТП — интервью Игоря Души на BIS Summit 2020

06:51

Провести тест-драйв на стенде InfoWatch

Эшелонированная защита АСУ ТП с системой InfoWatch ARMA

Видео
О системе защиты InfoWatch ARMA и новых продуктах — интервью Игоря Души на Live AM
12:01

За прошлый год 94% производственных компаний столкнулись с киберинцидентами, 1168 атак в неделю в среднем пришлось на одну организацию. Что и как защищать в АСУ ТП в 2023 году – обсудим сегодня на этом мероприятии, которое ведет Антон Соложенко, менеджер по техническому сопровождению продаж и защите АСУ ТП

Сегодня мы представим самый полный технический обзор системы кибербезопасности АСУ ТП InfoWatch ARMA с демонстрацией некоторых возможностей. Встреча будет особенно полезна всем, у кого есть открытые задачи ИБ АСУ ТП – разберем практические вопросы, дадим рекомендации по сценариям защиты АСУ ТП, вариантам установки МЭ в промышленную сеть и настройке СЗИ на примере InfoWatch ARMA.

  • Как построить эшелонированную защиту промышленного предприятия.
  • Какие сценарии защиты АСУ ТП позволяют закрыть до 90% технических мер ФСТЭК и приносят ощутимый результат в обеспечении кибербезопасности предприятия.
  • Мини-демо: как в режиме одного окна настроить фильтрацию по промышленным протоколам на уровне команд для глубокой инспекции передаваемого трафика.
  • Мини-демо: как настроить взаимодействие с ГосСОПКА прямо в консоли управления InfoWatch ARMA Management Console.
  • Как автоматизировать управление ИБ АСУ ТП в части сбора событий, настройки политик и обновления правил СОВ.
  • Варианты аппаратных конфигураций и лицензирования InfoWatch ARMA.
  • Антон Соложенко, отвечает за техническое сопровождение продаж и защите АСУ ТП в компании InfoWatch ARMA. Мероприятие сегодня будет посвящено защите промышленных объектов с использованием этого комплекса.

    За 2022 год практически каждое предприятие столкнулось с инцидентами кибербезопасности. Экспертно-аналитический центр InfoWatch подсчитал, что за прошедший год процент производственных компаний, которые столкнулись с угрозами кибербезопасности, подобрался к 94% и в ряд ли в ближайшее время он будет снижаться.

    Основные киберинциденты в основном связаны с шифровальщиками, вирусами – вымогателями и прочими атаками, которые связаны с получение каких-то материальных выгод. Угрозы и атаки производятся не только с целью получения коммерческой выгоды, но в рамках информационной борьбы государств.

    Также важно упомянуть про активизировавшейся группировки «хактивистов», которые различными взломами и атаками пытаются проявить свою позицию против каких-то компаний и государств. Это движение развивается, можно найти даже график их атак, скажем на прошлой неделе они напали на несколько банков, в том числе на Центробанк Российской Федерации.

    Объекты критической инфраструктуры также подвергаются все большим и большим угрозам и на 2023 год кибератаки на объекты КИИ считаются практически главным риском.

    Ущерб, который может быть причинен промышленным объектам сложно переоценить, но эксплуатация уязвимости может привести не только к сбоям каких-то подсистем, но и к полной остановке производства.

    Можно привести пример атаки, которая была реализована в марте 2022 года на рабочие станции и серверы агропромышленного завода «ТАВР», в результате действий злоумышленников была полностью парализована работа завода и по сообщению представителей этого завода, атака принесла серьезный экономический ущерб. Так же в сентябре 2022 года был атакован крупнейший поставщик электроэнергии в республике Гана, в результате нанесенной атаки энергоснабжение всей страны было нарушено на пять дней. Этот инцидент был приравнен к угрозе национальной безопасности.

    Если оценить влияние киберинцидентов на деятельность предприятий, то мы получим статистику: 95% инцидентов наносят тот или иной ущерб работе предприятий и лишь 5% из них проходят бесследно.

    В среднем такие инциденты становятся проблемой на 2-3 дня с точки зрения работы самого предприятия и на неделю с точки зрения расследований, поиска причин, заполнения отчетности и т.д. Когда предприятие сообщает, что какой-то инцидент они решили за 12 часов, это своего рода лукавство. Наиболее честно в этом роде отвечают государственные организации и если посмотреть на приведенную статистику, то видно, что именно в госструктурах доля значительного ущерба составляет порядка 30%, у всех остальных – 10-15%, что не всегда отражает реальную картину.

    Мы часто от заказчиков в области АСУ ТП слышим фразу, что у них замкнутый контур и им никакие угрозы не страшны, поэтому не нужна им никакая защита. Но рынок АСУ ТП так же претерпевает серьезные изменения и если раньше обслуживание систем, интеграция со смежными системами ранее происходила локально, то в последнее время все чаще и чаще такие операции становятся с использованием всемирной паутины.

    Всем известно, что такие компании как Siemens, Schneider Electric уже ушли из России и сейчас российские разработчики систем АСУ ТП столкнулись с небывалым наплывом заказчиков, поэтому не всегда успевают реализовывать проекты в желаемые сроки. Все чаще вендоры программируемых логических контроллеров систем SCADA просят обеспечить удаленный доступ для установки различных обновлений, комплексов или же просто для корректировки работы проектов. Известны примеры, где на объекте, на котором в принципе сети быть не должно, появлялись USB-модемы для того, чтобы допустить кого-то из более опытных сотрудников вендора АСУ ТП в систему, чтобы он смог внести изменения. Поэтому мы всегда рекомендуем строить комплексную эшелонированную защиту на промышленных предприятиях.

    Такая концепция позволяет решить главные проблемы предприятия: развитие периметра, при котором система строиться по идентичным сценариям, стандартам и принципам передачи данных. В этом случае построение эшелонированной системы затруднит доступ из одной системы в другую и даст дополнительное время офицеру ИБ на реакцию при инцидентах на внешнем менее значимом контуре. Сюда же можно отнести и кадровый голод ИБ специалистов. В условиях комплексной реализации, когда системы интегрированы между собой, снижается объем требований к самому специалисту, а автоматизация реагирования дополнительно снижает время реакции и возможность человеческой ошибки при заполнении документов, правил и прочих историй. Ну и, конечно, нельзя забывать о выполнении требований регулятора.

    Industrial Firewall

    Одно из решений, которое соответствует такой концепции, это комплекс InfoWatch ARMA. Основным решением данного комплекса является межсетевой экран InfoWatch ARMA Industrial Firewall. Он сертифицирован в СТЭК как межсетевой экран типа D четвертого класса и как система обнаружения вторжений 4 класса.

    Давайте взглянем на функционал, который предлагает межсетевой экран ARMA. Это классическое межсетевое экранирование на основе списков доступа, политик обмена данными, которое позволяет скрыть инфраструктуру в защищенном периметре. Также имеется функционал балансировки и приоретизации трафика, а также полную интеграцию с Active-directory, если необходимо его использовать. Плюс дополнительный функционал системы обнаружения вторжений с глубоким разбором промышленных протоколов.

    Arma Industrial FireWall умеет работать на втором и третьем уровнях сетевой модели, при этом пропуская или блокируя трафик в режимах маршрутизации и прозрачного моста, так и на четвертом-седьмом уровнях, обеспечивая анализ заголовков протоколов а также осуществляя полный разбор пакетов различных протоколов до уровня команд, в т.ч. и промышленных.

    Наличие встроенной системы обнаружения вторжений позволяет использовать решения не только в разрыв, но и как snifer. В данном случае мы получаем копию трафика из сети с использованием технологии сетевых коммутаторов. При этом уведомление получает ИБ офицер о всех информационных событиях и инцидентах. Встроенный кэширующий DNS и встроенный кэширующий Proxy позволяют производить интеграцию со уже существующими системами. Это могут быть как песочницы, сторонние антивирусные решения, так и DLP системы, в том числе DLP InfoWatch. Работающий поверх Proxy потоковый антивирус обезопасит от наиболее распространенных угроз.

    Система обнаружения и предотвращения вторжений предназначена для детектирования и блокировки различных угроз, она содержит обширную базу сигнатур. На данный момент эта база состоит более чем из 86 тысяч записей и постоянно пополняется новыми актуальными для российских предприятий. Мы используем не только общеизвестные в мире угрозы. У нас также есть собственная команда, которая разрабатывает правила для системы обнаружения вторжений. В наших реалиях она позволяет нашим заказчикам защитить собственные системы.

    Работающая поверх системы обнаружения вторжений система глубокой инспекции промышленных протоколов позволяет не только детектировать работу какого-либо протокола, но и определить, какая именно команда или значение передается в определенном пакете данных.

    Разбор до уровня значений и команд, перечисленных на слайде протоколов, позволяет защитить как сами программируемые логические контроллеры из SCADA-системы, так и смежные устройства, которые используют эти протоколы. Это могут быть как насосы, например, системы пожаротушения и т.д.

    Давайте разберем работу данного функционала на примере протокола S7 Communication, который используется в контроллерах Siemens. Для начала необходимо выбрать тип шаблона, на котором будет основана правило. Конкретно в этом случае мы будем использовать протокол S7, который используется в контроллерах Siemens. Далее мы выбираем правило для действия, которое будет выполнено при срабатывании определенного условия. Это может быть предупреждение или отброс пакета. При этом глубокая инспекция промышленных протоколов позволяет определить тип сообщения, запрос на работу, и конкретную функцию. Здесь мы выберем PLK. Таким образом на уровне межсетевого экрана мы запрещаем использование функции, направленную на остановку работы PLK.

    При необходимости передачи между территориально разнесенными объектами рекомендуем использовать VPN. В решении InfoWatch ARMA поддерживаются самые актуальные на данный момент технологии. Мы используем классическое стандартное решение IPsec, поэтому мы можем легко выстраивать взаимодействие с уже ушедшими от нас иностранными вендорами, например с Cisco.

    Работа в режиме кластера Active-Passive позволяет обеспечить отказоустойчивость и непрерывность работы системы за счет надежного резервирования. Кластер автоматически синхронизирует состояние конфигурации пары Industrial Firewall и, в случае отключения ведущего устройства, резервный забирает на себя функцию обработки трафика. При этом работа кластера резервируется не только по самому питанию, но и по передаче сигнала.

    Эксперт InfoWatch предлагает несколько вариантов установки решений в промышленные сети. Основное — это решение в качестве пограничного устройства, которое позволит разделить корпоративный и промышленный сегмент и обезопасит передачу данных между этими системами. Также можно использовать комплекс на стыке промышленных систем, когда требуется обеспечить защищенное взаимодействие, например, SCADA-систем или же между мастер-контроллером и подчиненным-контроллером.

    Третий вариант предполагает уровень защиты программируемого логического контроллера, когда важно обезопасить какой-то критический узел, способный работать автономно. Это может быть как система автоматического пожаротушения, так и система регулирования подачи воды, система подкачки нефти и т.д. Используя в режиме мониторинга в данном случае мы получаем копию трафика и анализируем его, но при этом никак не вмешиваемся в обмен данными и не прерываем его.

    И пятый вариант — это защита удаленного подключения как к самому удаленному объекту, так и обеспечение защищенной сессии подключения техподдержки. Здесь мы используем технологию VPN с работающей поверх системой обнаружения и предотвращения вторжений, в том числе глубокой инспекцией промышленных протоколов. Поэтому, если к нам подключается извне какой-то специалист техподдержки, мы можем ограничить ряд его функций, например, функцию блокировки контроллера.

    Решение InfoWatch ARMA может поставляться как в виде виртуальных оплайнсов, так и в виде готового программного аппаратного комплекса. ПАКи различаются по портовой емкости, по производительности и по форм-фактору. Младшим исполнением в линейке является ARMA BOX, который представляет собой промышленный компьютер с пассивным охлаждением и возможностью крепления его в различные шкафы. Старшее исполнение разворачивается на серверной инфраструктуре Тринити, который устанавливается в 19-дюймовую стойку, имеет резервирование и питание и обеспечивает большую пропускную способность.

    Industrial Endpoint

    Давайте перейдем ко второму продукту комплекса. Это средство для защиты рабочих станций и серверов Industrial Endpoint. Этот продукт имеет два модуля.

    Функционал основного модуля предназначен для создания замкнутого контура на рабочей станции или сервере. Он включает в себя контроль целостности файлов директории, что делает невозможность обмена исполняемых файлов для эксплуатации уязвимостей. Также организацию белого списка запуска приложений, ограничивая список только теми доверенными программами, которые необходимы специалисту для выполнения его работы. И контроль съемных носителей информации. При этом ограничивая возможность подключения различных накопителей или USB-модемов.

    В целом использование всех этих решений этого комплекса позволяет создать строго замкнутую программную среду на рабочей станции или сервере. И основная идея состоит в том, что, даже если вдруг какой-то вредоносный файл или программа попадает к нам на узел, то они не смогут быть запущены или активированы.

    Дополнительный модуль данного комплекса включает в себя антивирусную защиту, которая содержит большое количество сигнатурных угроз, которые мы можем определить.

    Использование этого инструмента обеспечивает безопасность конечных устройств, при этом не нагружая само устройство и не снижая его производительность. ARMA Industrial Endpoint, также как и ARMA Industrial Firewall может централизованно управляться с единой менеджмент консоли. Данный продукт позволяет удобно расследовать все события и инциденты, а также производить различные настройки.

    Management Console

    Management Console позволяет централизованно собирать события и инциденты, которые поступили из промышленной сети.

    Мониторинг в едином интерфейсе позволяет экономить время ИБ-специалистов на обработку инцидентов, а централизованное расследование этих инцидентов гарантирует, что ни один из них не будет упущен.

    События и инциденты хранятся в интерактивных журналах, видя взаимосвязь цепочек событий, это легко позволяет нам определить начало гиператаки. Система способна объединять взаимосвязанные события в общие инциденты чтобы анализ и реакция были централизованы. Эта совокупность упрощает работу, потому что не нужно расследовать каждое событие в отдельности, а мы расследуем взаимосвязанные события. Обработанные инциденты безопасности в свою очередь поддерживают возможность корреляции в правилах безопасности на основе готовых правил или же на основе кастомных правил, которые вы можете создавать вручную.

    Как это выглядит на промышленном объекте? Например, на один из сегментов осуществляется гиператака.

    И межсетевой экран отправляет информацию в менеджмент консоль, где срабатывает правило корреляции инцидента в правилах блокировки и направляется на все устройства, как на то, куда была реализована попытка гиператаки, так и на все остальные межсетевые экраны. Плюс производится оповещение всех сотрудников, которые ответственны за данную структуру.

    Лицензирование

    Лицензии межсетевого экрана нового поколения InfoWatch ARMA Industrial Firewall являются бессрочными и не имеют никаких внутренних ограничений. При этом лицензия межсетевого экрана включает в себя весь дополнительный функционал, который не относится к системе обнаружения вторжения. Это и VPN, и работа в кластере, и Proxi, и потоковый антивирус.

    А система обнаружения вторжений и глубокая инспекция промышленных протоколов лицензируются отдельно. Лицензия системы обнаружения вторжений позволяет как использовать уже написанные правила, так и создавать свои собственные, а глубокая инспекция промышленных протоколов позволяет блокировать прохождение определенных команд по промышленным протоколам.

    Что касается лицензий Industrial Endpoint, то они действуют один год. Базовая лицензия позволяет создать полностью замкнутую среду на рабочей станции или сервере, а вторая, дополнительная лицензия, позволяет реализовать дополнительную антивирусную защиту на этом устройстве.

    Лицензия Management Console также, как и лицензия Industrial Firewall является бессрочной. Модуль централизованного управления — это своего рода коннектор, который позволяет нам завести Firewall или Endpoint в единую консоль. И из консоли можно централизованно управлять всеми заведенными устройствами. Модуль сбора и анализа событий позволяет управлять ролями пользователя, производить ротацию журналов событий ИБ и отправлять их в сторонние SEE-системы.

    В статье рассмотрены угрозы информационной безопасности АСУ ТП (автоматизированных систем управления технологическим процессом) и способы защиты с помощью InfoWatch ARMA ― отечественной системы для обеспечения кибербезопасности на промышленных предприятиях.

    Автор: Савинов Кирилл, главный системный архитектор отдела ИБ компании «РАССЭ» (ГК «АйТеко»).

    Актуальное состояние кибербезопасности АСУ ТП

    В 2020 году заметно выросло количество атак на промышленные предприятия: на 60% больше, чем в 2019 г., следует из аналитического отчета Positive Technologies за 2020 г.

    Резкий всплеск наблюдается и в количестве уязвимостей, найденных в оборудовании АСУ ТП. Всего в 2020 году обнаружено почти на 25% больше уязвимостей АСУ ТП, чем в 2019 г., по данным отчета компании Claroty («О рисках уязвимостей систем промышленного контроля: 2-е полугодие 2020 года»). Обнаруженные уязвимости АСУ ТП, в основном, затрагивают сектора промышленного производства, энергетики и водоснабжения. По сравнению с первым полугодием 2019 г., в первом полугодии 2020 г. количество уязвимостей в секторе водоснабжения выросло на 122%, в энергетическом секторе — на 58,9%, в сфере промышленности — на 87,3%.

    Также нельзя забывать и о таких последствиях пандемии, как удалённая работа и поддержка удалённых рабочих мест, которые создают дополнительные каналы доступа к сетям предприятий, что увеличивает шансы возникновения инцидентов информационной безопасности.

    Векторы атаки

    Как отмечают многие отраслевые исследователи, повысить возможность злоумышленнику провести кибератаку дает наличие подключения промышленной сети к корпоративной.

    Результаты исследования компании Positive Technologies показали, что проникнуть в технологическую сеть из корпоративной удается в 55% случаев. Злоумышленники используют такие недостатки безопасности, как например незащищенные каналы администрирования и недостаточно эффективная сегментация. В некоторых случаях технологические системы вообще не сегментированы и представляют собой «плоские» сети.

    Какие классы решений для защиты выбрать и почему?

    Система защиты АСУ ТП от кибератак

    Компания InfoWatch в 2020 году представила систему защиты информации в АСУ ТП – InfoWatch ARMА, которая позволяет защитить АСУ ТП как на уровне сетевого трафика, так и конечных узлов, а также предоставляет возможность централизованного управления всей системой защиты. InfoWatch ARMA Industrial Firewall (входит в состав системы InfoWatch ARMA) имеет сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия – решение может применяться на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно. Сертификат подтверждает, что InfoWatch ARMA Industrial Firewall является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющей государственную тайну, реализующим функции СОВ и МЭ, соответствует требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3) и задании по безопасности. InfoWatch ARMA Industrial Firewall включён в реестр отечественного ПО (регистрационный номер 5937). В целом, как заявляют разработчики, система позволяет выполнить до 90% технических мер Приказа №239 ФСТЭК России.

    На данный момент InfoWatch ARMA состоит из трёх продуктов:

    • InfoWatch ARMA Industrial Firewall – промышленный межсетевой экран нового поколения (NGFW). Сертификат соответствия требованиям ФСТЭК России по 4 уровню доверия, соответствие требованиям к МЭ типа «Д» 4 класса защиты (ИТ.МЭ.Д4.П3) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.П3). Включен в Единый реестр российского ПО Минкомсвязи РФ.
    • InfoWatch ARMA Industrial Endpoint – средство защиты промышленных АРМ и серверов АСУ ТП;
    • InfoWatch ARMA Management Console – средство централизованного управления системой защиты InfoWatch ARMA.

    Предусмотрена интеграция системы InfoWatch ARMA в существующую инфраструктуру предприятия, в том числе с SIEM-системой (через syslog), антивирусным средством защиты или DLP (по ICAP) для повышения прозрачности промышленной сети и большей наблюдаемости событий информационной безопасности.

    Почему в InfoWatch ARMA именно такой набор средств защиты?

    Система InfoWatch ARMA проектировалась с учетом подхода эшелонированной (многоступенчатой) защиты с целью предотвращения или сдерживания атаки. InfoWatch ARMA позволяет выстроить эшелоны защиты на уровнях и сети, и оконечных устройств. Благодаря тому, что продукты системы InfoWatch ARMA интегрированы между собой, сотрудник ИБ АСУ ТП видит картину ИБ целиком, опираясь на данные от всех средств защиты информации. Это позволяет своевременно локализовать атаку и предотвратить ее распространение.

    В конце 2021 года также планируется добавление модулей Sandbox (анализ файлов в антивирусной песочнице) и Honeypot – сенсор для имитации оборудования с целью выявить вредоносную активность злоумышленника.

    Рассмотрим функциональность InfoWatch ARMA детально.

    Возможности продукта InfoWatch ARMA Industrial Firewall

    1. Маршрутизация и межсетевое экранирование

    InfoWatch ARMA Industrial Firewall поддерживает стандартные функции межсетевого экрана (фильтрация трафика на L3, проксирование) и маршрутизатора (NAT, статическая и динамическая маршрутизация). Отдельно можно отметить функции для создания VPN-туннелей. Они позволят создать защищённую распределённую сеть АСУ ТП.

    Функции межсетевого экрана можно использовать для сегментации корпоративных и промышленных сетей, а также реализации задачи микросегментации внутри технологической сети – например, отделения смежных АСУ ТП разной категории значимости и контроля передаваемой между ними информации.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Применение на границе с корпоративным сегментом

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Применение для обеспечения безопасной связи со смежными АСУ ТП

    2. DPI (глубокая инспекция пакетов) промышленного трафика c функцией фильтрации до уровня команд, адресов и значений

    InfoWatch ARMA Industrial Firewall разбирает передаваемый трафик, определяя по заголовкам и содержимому IP-пакета тип протокола. Более того, для значительной части промышленных протоколов возможно определение конкретной команды, посылаемой на оборудование, а также внутренних адресов протокола и передаваемых значений.

    Установка InfoWatch ARMA Industrial Firewall возможна на уровне SCADA-систем или между SCADA и ПЛК. Такая топология нужна предприятиям не всех отраслей, но в отдельных случаях даёт возможность обнаруживать и блокировать опасные для технологического процесса команды.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Применение для мониторинга внутри АСУ ТП

    DPI возможен для следующих протоколов:

    • Modbus TCP;
    • Modbus TCP x90 func. code (UMAS);
    • S7 Communication;
    • OPC DA | OPC UA;
    • IEC 60870-5-104;
    • IEC 61850-8-1 MMS;
    • IEC 61850-8-1 GOOSE.

    Данный список постоянно дополняется новыми протоколами и полями протоколов.

    3. Обнаружение и предотвращение вторжений

    Система обнаружения вторжений (СОВ) InfoWatch ARMA Industrial Firewall позволяет находить вредоносную активность, направленную на промышленные объекты, благодаря специально разработанным базам правил и механизмам с учетом промышленной специфики. СОВ может работать как в режиме обнаружения вторжений (IDS), так и в режиме предотвращения вторжений (IPS).

    СОВ поставляется с базой решающих правил, включающих реагирование на эксплуатацию уязвимостей корпоративной инфраструктуры и АСУ ТП.

    Для пользователей существует возможность добавления собственных решающих правил, а также приобретение подписки на обновление правил от вендора систем защиты информации.

    По каждому срабатыванию правила СОВ предоставляется информация о предполагаемом злоумышленнике, объекте атаки, вредоносном воздействии, статусе (пакет заблокирован или пропущен – в зависимости от настроек).

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс просмотра срабатываний правил СОВ

    Список протоколов, разбираемых СОВ, шире, чем для DPI, и включает в себя:

    • Modbus TCP;
    • Modbus TCP x90 func. code (UMAS);
    • S7 Communication | S7 Communication plus;
    • OPC DA | OPC UA;
    • IEC 60870-5-104;
    • IEC 61850-8-1 MMS;
    • IEC 61850-8-1 GOOSE;
    • ENIP / CIP;
    • PROFINET;
    • DNP3.

    4. Портал авторизации

    InfoWatch ARMA Industrial Firewall обладает функциональностью аутентификации и разграничения прав внешних пользователей при подключении в защищаемую сеть. Аутентификация производится с использованием портала авторизации в соответствии с учетными записями (локальными или LDAP).

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс портала автоматизации

    Таким образом, можно контролировать подключение удаленных пользователей к площадке или организовать доступ технической поддержки производителя АСУ ТП.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Применение для обеспечения безопасной связи с технической поддержкой

    Возможности InfoWatch ARMA Industrial Endpoint

    1. Создание замкнутой программной среды с встроенными функциями обучения

    Одна из задач, решаемых InfoWatch ARMA Industrial Endpoint, – создание замкнутой защищенной среды, когда на конечном устройстве запускается только доверенное программное обеспечение из белого списка. В таком случае нет необходимости проверять каждый файл и нагружать оборудование, как это делает антивирусное средство защиты. Вредоносное программное обеспечение не сможет повлиять на систему даже при загрузке на рабочую станцию.

    InfoWatch ARMA Industrial Endpoint обладает встроенными функциями обучения, благодаря которым система изучает запущенные программы и формирует «белый список» программного обеспечения.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс управления белыми списками ПО

    2. Контроль съёмных носителей

    InfoWatch ARMA Industrial Endpoint позволяет защитить конечные устройства, ограничив права на использование съемных носителей (USB, диски, портативные устройства и т.д.) для уменьшения возможностей заражения рабочей станции или утечки информации с неё.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс управления съемными носителями

    3. Контроль целостности файлов

    Дополнительная возможность – контроль целостности файлов и директорий. Это позволяет отслеживать любые изменения в файлах и директориях, избегая риска внесения вредоносных изменений в файлы или подмены файлов.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс управления контролем целостности

    Возможности InfoWatch ARMA Management Console

    1. Централизованное управление

    InfoWatch ARMA Management Console является единым центром управления системой защиты InfoWatch ARMA. Система агрегирует информацию с подключенных средств защиты и позволяет оперативно оценить текущую защищенность объектов.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Обзорная панель InfoWatch ARMA Management Console

    Возможно централизованно осуществлять настройку конфигураций средств защиты, входящих в состав системы InfoWatch ARMA, обновлять базы решающих правил СОВ и гибко применять единую конфигурацию к нескольким межсетевым экранам. Всё это сокращает время на администрирование системы ИБ.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Управление системами защиты InfoWatch ARMA

    2. Расследование инцидентов и настройка правил автоматического реагирования на них

    Одна из важных задач, которую позволяет решить InfoWatch ARMA Management Console – повышение качества и скорости реагирования на событие ИБ.

    События безопасности, поступающие от подключенных средств защиты информации системы InfoWatch ARMA, анализируются и при обнаружении вредоносных действий формируются в инцидент ИБ.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс работы с инцидентами

    Для оперативного реагирования на инциденты ИБ возможна настройка правил реагирования. Это позволит снизить нагрузку на штат сотрудников ИБ в условиях кадрового дефицита.

    К примеру, можно настроить условия формирования инцидента ИБ с автоматической отправкой рекомендаций по решению инцидента сотрудникам ИБ и операторам на производстве. Таким образом, максимально повышается скорость реагирования по устранению несанкционированного доступа к конфиденциальной информации и несанкционированных действий в АСУ ТП.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс настройки правил корреляции, создание инцидента

    Кроме того, возможна настройка автоматического формирования правила блокировки на межсетевом экране, которое распространится по всем указанным InfoWatch ARMA Industrial Firewall.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс карточки инцидентов

    InfoWatch ARMA Management Console обладает полным инструментарием для управления жизненным циклом инцидента ИБ при его расследовании. Кроме того, информацию об инциденте ИБ можно отправить во внешние системы SIEM или SOC.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс просмотра и управления инцидентами

    3. Визуализация сети

    InfoWatch ARMA Management Console предоставляет функциональность построения карты сети, учета активов и средств защиты. Это позволит лучше видеть взаимосвязь событий безопасности как единого целого, найти уязвимые места сети.

    Карта сети позволяет наглядно определить, на каких устройствах был выявлен инцидент. В случае, если инцидентов несколько, можно получить доступ к их перечню тут же на экране карты сети.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Интерфейс карты сети

    Сценарии внедрения

    InfoWatch ARMA Industrial Firewall предусматривает установку в сеть в одном из четырех вариантов (режимов работы). Режим работы определяется настройками сетевых интерфейсов и количеством устройств:

    1. режим маршрутизации;
    2. режим прозрачного моста;
    3. режим sniffing mode (обнаружение вторжений путем анализа копии сетевого трафика, снятого со SPAN порта);
    4. режим отказоустойчивого кластера.
    1. Маршрутизация

    В режиме маршрутизации InfoWatch ARMA Industrial Firewall – межсетевой экран с функциями обнаружения и предотвращения вторжений, обеспечивающий защиту информации на уровне L3.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Режим маршрутизации

    2. Прозрачный мост

    В режиме прозрачного моста InfoWatch ARMA Industrial Firewall функционирует как система обнаружения и предотвращения вторжений в прозрачном режиме с возможностью блокировки вредоносных пакетов. Интерфейсы при этом соединены в сетевой мост.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Режим прозрачного моста

    3. Sniffing mode

    В режиме sniffing mode (мониторинга) InfoWatch ARMA Industrial Firewall анализирует копию сетевого трафика со SPAN портов сетевых устройств и выявляет атаки в сети.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Режим sniffing mode (мониторинга)

    4. Отказоустойчивый кластер

    В режиме отказоустойчивого кластера несколько InfoWatch ARMA Industrial Firewall объединяются в единый кластер в режиме active-passive. При выходе из строя одного из InfoWatch ARMA Industrial Firewall сетевую доступность обеспечивает оставшееся устройство.

    InfoWatch ARMA Industrial Firewall - обзор системы для защиты АСУ ТП от кибератак

    Режим отказоустойчивого кластера

    InfoWatch ARMA Industrial Endpoint – модуль защиты конечных устройств устанавливается на промышленный сервер или рабочую станцию, настраивается синхронизация с InfoWatch ARMA Management Console, за счет чего возможно централизованное конфигурирование всех подключенных InfoWatch ARMA Industrial Endpoint и сбора с них события безопасности.

    InfoWatch ARMA Management Console – компонент управления, выполненный в виде виртуальной машины или самостоятельного устройства. Он может быть установлен в любую зону промышленной сети или DMZ, при единственном условии ― наличие сетевой связности с управляемыми модулями.

    Лицензирование и варианты поставки

    InfoWatch ARMA – комплексная система защиты информации в АСУ ТП. При этом лицензии на составляющие его продукты могут приобретаться независимо друг от друга.

    • InfoWatch ARMA Management Console лицензируется по количеству подключаемых к консоли управления объектов InfoWatch ARMA, лицензия бессрочная;
    • InfoWatch ARMA Industrial Endpoint лицензируется поштучно, лицензия на год;
    • InfoWatch ARMA Industrial Firewall лицензируется по объему пропускаемого трафика. При этом отдельно лицензируются компоненты DPI и СОВ.

    Варианты поставки также могут комбинироваться. Типовым вариантом является установка аппаратных межсетевых экранов с подключением их к консоли управления, которая может функционировать на сервере виртуализации.

    1. InfoWatch ARMA Management Console поставляется в виде ПАК либо готового образа для среды виртуализации.

    Системные требования:

    • Процессор 2,0 ГГц, 2 ядра;
    • ОЗУ 16 ГБ;
    • Жёсткий диск от 120 ГБ.
    • InfoWatch ARMA Industrial Endpoint выполнен в виде msi-файла для установки на целевую систему. Системные требования: ОС Windows 10.
    • InfoWatch ARMA Industrial Firewall может быть поставлен в виде ПАК или в виде образа для установки на физическую или виртуальную машину. Виды ПАК и их характеристики перечислены ниже. Для использования установочного образа нужны следующие минимальные требования:
    • процессор 2,0 ГГц, 2 ядра;
    • ОЗУ 8 ГБ;
    • жёсткий диск 120 ГБ, SSD;
    • 2 Ethernet 10/100/1000 Мбит/сек.

    Машина обеспечит защиту 150 Мбит/с трафика. Если же потребуется увеличить пропускную способность, то можно масштабировать ресурсы.

    Поставляемые ПАК InfoWatch ARMA Industrial Firewall:

      ARMAIF-RUGRACK
    ARMAIF19RACK ARMAIF-DIN
    ARMAIF-BOX
    Исполнение 1 Unit исполнение для монтажа в стойку. Промышленное исполнение, без движущихся частей 1 Unit исполнение для монтажа в стойку. Серверное исполнение Для монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частей Для монтажа на DIN-рейку или настольное исполнение. Промышленное исполнение, без движущихся частей
    Пассивное охлаждение Да Нет Да Да
    Общая пропускная способность всего устройства с включенным модулем МЭ До 4 Гб/с До 6 Гб/с До 1 Гб/с  До 2 Гб/с
    Общая пропускная способность всего устройства с включенными модулями МЭ DPI и СОВ До 500 Мб/с До 500 Мб/с До 80 Мб/с До 180 Мб/с
    Межсетевой экран, количество одновременных соединений (сессий) До 2 000 000 До 8 500 000 До 250 000 До 1 000 000

    Выводы

    Защита информации промышленной сети является необходимостью. Практика показывает, что даже при наличии «воздушного зазора» между корпоративной и промышленной сетью киберпреступники могут достигать своих целей. Поэтому необходимо защищать АСУ ТП, контролировать информационные потоки с помощью средств защиты информации.

    InfoWatch ARMA – комплексное решение для обеспечения защиты АСУ ТП с единым центром управления. Благодаря интегрированности всех продуктов между собой и гибкой политике лицензирования возможно защитить даже небольшое производство, установив сначала средство защиты на хостах или промышленный межсетевой экран нового поколения в режиме СОВ. Внедрение InfoWatch ARMA не потребует значительных ресурсов. Для больших промышленных производств  InfoWatch ARMA предлагает возможность глубокой сегментации сети, защищённое объединение географически разнесённых АСУ ТП. Автоматизация создания инцидентов ИБ и реагирования на них позволит повысить эффективность существующего штата ИБ.   

    Специалисты компании «РАССЭ» (ГК «АйТеко») внедряют системы защиты промышленных сетей. Мы работаем как с интеллектуальными системами, использующими искусственный интеллект для контроля аномалий, так и с простыми межсетевыми экранами. InfoWatch ARMA хотя и не содержит в себе нейронных сетей, но является актуальным решением, предназначенными для обеспечения безопасности АСУ ТП. Это надёжная система, хорошо зарекомендовавшая себя у заказчиков «РАССЭ».

    Подводя итоги, можно рекомендовать к использованию InfoWatch ARMA в качестве решения для защиты АСУ ТП.

    Понравилась статья? Поделить с друзьями:
  • Карбон моноксид аларм инструкция на русском
  • Газовая плита флама 2 конфорочная с духовкой инструкция по применению
  • Прямые приемы руководства игровой деятельностью детей
  • Устройство для прокалывания пальца акку чек перформа инструкция
  • Руководство по епископу