В сегодняшних «лихорадочных» условиях, когда интенсивность кибератак на российские промышленные предприятия резко возросла. Поэтому может показаться, что появились новые типы угроз, от которых нужно защищаться принципиально другими средствами защиты. Однако это не так.

Громкие инциденты, связанные с атаками через подключение зараженных USB-флешек, распространение шифровальщиков или использование незащищенных каналов техподдержки – эти виды атак известны специалистам по информационной безопасности на протяжении нескольких лет и решаются стандартными методами защиты.

Как обеспечить безопасное импортозамещение ИТ-инфраструктуры

Увеличившаяся частота атак и вполне осязаемые угрозы, которые до сих пор считались маловероятными, во многом спровоцированы уходом с российского рынка иностранных поставщиков ПО и оборудования. Зарубежные производители оставили клиентов без обновлений, технической поддержки, а в ряде случаев даже отключили ряд важных функций в ПО. Это представляет дополнительные риски информационной безопасности, потому что такое программное обеспечение подвержено уязвимостям, эксплуатируемым хакерами. Которые, в свою очередь, активизировались и мы наблюдаем рост числа целевых атак на промышленные предприятия, способные повлечь серьезные риски вплоть до вывода из строя инфраструктуры предприятия.

В процессе импортозамещения зарубежных ИТ-продуктов на отечественные аналоги, а также для безопасной работы в целом, российским предприятиям необходимо создание защищенного периметра ИТ-инфраструктуры за счет внедрения надежных средств защиты информации. Российский рынок ИБ-разработки достаточно конкурентоспособен и позволяет выполнить эту задачу. В частности, для обеспечения кибербезопасности АСУ ТП примером комплексной защиты, отвечающей на современные вызовы в виде ограниченной видимости сети, размытия периметра кибератак и недостатка квалифицированных кадров, является система InfoWatch ARMA. Для реализации принципа эшелонированной защиты технологической сети предприятий в системе используется три компонента: InfoWatch ARMA Industrial Firewall, InfoWatch ARMA Management Console и InfoWatch ARMA Industrial Endpoint. По словам технического директора, InfoWatch ARMA Игоря Души, «применение системы на предприятиях с критической инфраструктурой создает для злоумышленников серьезные барьеры для проникновения в технологическую сеть предприятия и условия, при которых осуществление кибератаки становится практически невозможной. Решение позволяет не только следить за периметром, но и работать в превентивном режиме предотвращения атак. Внедрение единой системы защиты, состоящей из трех продуктов, осуществляется с минимальными кадровыми и материальными затратами. Помимо комплексной безопасности предприятия промышленности получают возможность выполнить 90%, обязательных к исполнению для предприятий с объектами КИИ, технических мер Приказа №239 ФСТЭК России».

Преимущества обновленной системы InfoWatch ARMA

Все элементы системы в апреле 2022 года получили обновления, содержащие ряд важных преимуществ, которые отвечают задачам по предотвращению актуальных угроз.

Сертифицированный промышленный межсетевой экран нового поколения (NGFW) InfoWatch ARMA Industrial Firewall позволяет своевременно обнаружить и заблокировать атаки на промышленные сети и защитить от несанкционированного доступа. Главным новшеством обновленной версии 3.6.1 стал модуль потокового антивируса. Установка антивирусных баз происходит автоматически при внедрении системы, в дальнейшей эксплуатации обновление баз осуществляется вручную путем загрузки файла.

InfoWatch ARMA Management Console - единый центр управления системой защиты InfoWatch ARMA. Версия 1.3 обогащена модулем взаимодействия с ГосСОПКА. Функция реализована через интеграцию с личным кабинетом портала НКЦКИ (Национальный координационный центр по компьютерным инцидентам). Единый интерфейс позволяет отправлять уведомления в НКЦКИ об инцидентах ИБ, уязвимостях и компьютерных атаках, получать статусы обработки уведомлений от Центра, вести переписку с его сотрудниками, в том числе, для ведения истории по каждому инциденту ИБ. Двухсторонний обмен информацией с центром ГосСОПКА помогает оперативно узнавать об актуальных ИБ-угрозах и получать бюллетени по защите инфраструктуры от них. В новой версии изменилась ролевая модель пользователей, появились преднастроенные группы пользователей с фиксированными правами.

В программном обеспечении, защищающем АСУ ТП от угроз на уровне диспетчерского управления InfoWatch ARMA Industrial EndPoint версии 2.5 появились новые возможности, из которых ключевой является функция антивирусного сканирования файлов. Антивирусной защитой можно управлять как из самого программного продукта, так и из интерфейса InfoWatch ARMA Management Console - удалять инфицированные файлы или информировать о них, обновлять антивирусные базы и т.д.

Что делать уже сегодня

Сегодняшние условия диктуют жесткий контроль над ИТ-инфраструктурой и установленными средствами защиты информации, особенно, если речь идет об иностранном ПО.

Необходимо вести регулярный мониторинг работоспособности систем защиты, который включает также ретроспективный анализ событий, которые не были классифицированы как инцидент информационной безопасности, но являлись подозрительными. Не исключено, что такое событие может оказаться подготовкой «почвы» для совершения нелегитимных действий злоумышленников.

Отслеживайте информацию в новостной повестке из различных источников на предмет выявляемых уязвимостей.

Проводите систематические инструктажи с персоналом для исключения рисков непреднамеренных утечек информации.

Следуйте прямым рекомендациям по первоочередным мерам от ФСТЭК России и проведите проверку соответствия систем безопасности требованиям безопасности.

Это те меры, которые уже сегодня помогут российским предприятиям противостоять киберрискам.

Критический уровень киберугроз дал мощный толчок российскому рынку ИБ. Сегодня выбор средств защиты, в первую очередь, опирается на фактор эффективности и приоритет получают ИБ-решения, способные предотвращать угрозы, а не работать в режиме только мониторинга событий. А также системы, которые способны закрыть большинство мер регуляторов без траты времени на интеграцию между собой разрозненных средств защиты.