Всем привет! Меня зовут Максим Гусев, я инженер направления защиты ИТ-инфраструктуры в К2 Кибербезопасность. Последние несколько лет мы наблюдаем масштабный рост количества атак на производственные объекты. При этом они еще и усложняются — становятся целенаправленными на разрушение ИТ-инфраструктур конкретных организаций. Для собственников и сотрудников производств ситуация еще усложняется растущими требованиями по кибербезопасности со стороны государства. Поэтому для эффективного отражения атак сегодня необходимы новые подходы — комплексные системы мониторинга и реагирования. В частности, все популярнее становится ICS XDR, адаптированный под задачи промышленности. В этой статье я подробно описал, что из себя представляет и зачем нужна эта платформа, а также показал ее эффективность на примере работы ICS XDR от Лаборатории Касперского.

Зачем нужны XDR и ICS XDR

Перед практикой разберемся в теории.

Как мы вообще пришли к XDR? Каждое средство защиты выполняет свою конкретную функцию, но не обеспечивает полноценную защиту предприятия от киберугроз. Для эффективного же решения проблем безопасности требуется комплексный подход с точки зрения технологий, когда всесторонне анализируются все компоненты системы и интеграции между разными типами средств защиты. Одной из технологий, закрывающих такую необходимость, стал XDR.

XDR (Extended Detection and Response) — это передовая концепция информационной безопасности, которая вышла за рамки традиционной технологии EDR (Endpoint Detection and Response). XDR не просто расширяет возможности EDR, но и интегрирует в себя данные из различных источников для обеспечения более глубокого и комплексного анализа угроз. Если сравнивать защищаемые системами цели, то новая концепция представляет собой endpoint security в самом широком смысле этого понятия. Добавляется защита часто используемых векторов распространения угроз, таких как корпоративные почтовые шлюзы, веб-сайты, и сбор данных с анализаторов сетевого трафика. 

Платформы XDR позволяют устанавливать приоритеты в соответствии с потенциальным воздействием атаки, что позволяет сосредоточить ресурсы на наиболее критических угрозах.

Также XDR может частично или полностью автоматизировать процессы аналитики, обнаружения, расследования и реагирования на угрозы. Отсюда — эффективность без необходимости больших ИБ-подразделений и снижение затрат на безопасность.

Основные компоненты защиты XDR:

• EDR;

• Антивирусное ПО;

• IDS/IPS;

• SIEM;

• Централизованное управление компонентами;

• Vulnerability Management.

Также об XDR можно почитать в статье моих коллег — тут.

Когда мы говорим про защиту АСУ ТП, то здесь надо учитывать три важных момента:

1. рассматривать кибербезопасность в рамках общей безопасности АСУ ТП;

2. находить баланс между безопасностью, удобством использования и стоимостью системы;

3. контролировать неинвазивность средств защиты по отношению к процессам, обеспечивающим штатные режимы работы АСУ ТП. 

Технологический процесс всегда стоит на первом месте, и важно, чтобы кибербезопасность не мешала развитию, а, наоборот, помогала безопасно внедрять современные цифровые технологии.

Все эти моменты и помогает нам учесть ICS XDR (Extended Detection and Response for Industrial Control Systems), который как раз специализируется на защите АСУ ТП и отвечает следующим требованиям: анализ промышленных протоколов, неинвазивный режим работы и пониженные аппаратные и программные требования.

Состав ICS XDR

ICS XDR состоит из нескольких ключевых компонентов, которые интегрируют данные из нескольких источников для обнаружения и реагирования на угрозы в различных участках инфраструктуры. 

Средства защиты, входящие в его состав, закрывают следующие проблемы:

• Защита конечных точек — антивирус:

Обнаружение угроз: Антивирусы мониторят активность на конечных точках, анализируя файлы и их поведение на наличие признаков вредоносности. Это помогает обнаруживать и изолировать потенциально опасные объекты, такие как вирусы, трояны, Rootkit и т.д.

Реагирование на угрозы: После обнаружения антивирусы могут блокировать запуск вредоносных программ, изолировать зараженные файлы, а также предоставлять возможность для самостоятельного реагирования на вредоносы.

• Защита конечных точек — EDR (Endpoint Detection and Response):

Обнаружение угроз: Конечные точки часто являются местом первичного вторжения в сеть. EDR-решения мониторят активность на конечных точках и детектят потенциальные атаки, обнаруживая аномалии и необычное поведение программ или пользователей.

Реагирование на угрозы: После обнаружения угрозы EDR предоставляет возможности для быстрого реагирования, включая блокирование вредоносных процессов, изоляцию зараженных устройств и удаление подозрительных файлов.

• Сбор и анализ данных — SIEM (Security Information and Event Management):

Централизованный анализ данных безопасности: SIEM собирает данные с различных источников: журналы событий операционных систем, системы детекции вторжений, системы управления угрозами и т.д., и предоставляет централизованное место для анализа и корреляции информации о безопасности иных средств защиты.

Обнаружение сложных атак: SIEM использует правила корреляции для обнаружения сложных атак. Например, распределенных по времени. В соответствии с правилами события или несколько событий поднимаются до уровня инцидента.

• Анализ сетевого трафика — NTA (Network Traffic Analysis):

Обнаружение сетевых аномалий: NTA анализирует сетевой трафик, чтобы выявлять новые неопознанные устройства, аномалии, необычные паттерны и подозрительное поведение, которые могут указывать на наличие вредоносных активностей в сети.

Раннее обнаружение атак: Анализируя сетевой трафик, NTA может обнаруживать атаки на более ранней стадии, до того как они достигнут конечных точек, что позволяет реализовать оперативное реагирование.

• Система управления уязвимостями (Vulnerability Management):

Идентификация уязвимостей в инфраструктуре: Включает в себя сканирование инфраструктуры на предмет известных уязвимостей, связанных с устаревшим программным обеспечением или с конфигурационными ошибками, и сохранение результатов для последующего анализа и триажа. Помимо сканирования АРМ, серверов и сетевого оборудования происходит поиск уязвимостей на оборудовании АСУ ТП. Это позволяет выявить потенциальные энтрипоинты для атак и своевременно предпринять меры по устранению проблем.

Приоритизация уязвимостей в соответствии с рисками: Управление уязвимостями помогает определить наиболее критические уязвимости, учитывая их потенциальное воздействие на систему и бизнес-процессы, что в контексте XDR позволяет качественно ранжировать приоритетность реагирования на угрозы.

ICS XDR на практике

На сегодняшний день на российском рынке есть два вендора, заявляющих о построении полноценного промышленного XDR: Лаборатория Касперского и Positive Technologies. 

Недавно у нас был проект по защите инфраструктуры крупной компании с многостадийным производственным процессом при помощи KICS (Kaspersky Industrial CyberSecurity). Поэтому рассмотрим работу IСS XDR на примере продуктов Лаборатории Касперского. 

Возможная архитектура KICS включает в себя выделенный сегмент для аналитиков SOC. На уровне технологической сети осуществляется сбор копии трафика с сетевого оборудования, а защита и возможность реагирования реализована с помощью KICS for Nodes (промышленного антивируса) и KEA (агента сбора телеметрии с конечного узла), которые вместе представляют из себя промышленный EDR. В DMZ-сегмент выделены сервера средств безопасности: коллектор KUMA, осуществляющий сбор событий безопасности с конечных узлов технологической сети; jump-сервер для SOC-аналитиков, необходимый для подключения к инфраструктуре; KICS for Networks, проводящий анализ копии трафика из технологического сегмента. В сегменте SOC располагается средство администрирования компонентов ICS XDR — KSC и ядро SIEM-системы, где происходит обработка событий безопасности.

Описание атаки и ее реализация

Атака начинается с проникновения через зараженную флешку, с помощью которой троян попадает на ноутбук подрядчика и далее — в технологическую сеть Заказчика. Злоумышленник получает доступ к внутренней инфраструктуре, сканирует сеть, находит станцию оператора, подбирает к ней пароль методом брутфорса, получает контроль над SCADA-системой и изменяет критический параметр технологического процесса. На завершающем этапе на SCADA-станции обнаруживается вредоносное программное обеспечение.

Шаг 1. Зараженный трояном с флешки ноутбук подрядчика подключается в технологическую сеть (Replication Through Removable Media T0847, User Execution T0863). Атакующий получает доступ к технологической сети.

Обнаружение станции Hacker происходит с помощью KICS for Networks, который видит в трафике появление нового устройства. У нового устройства стоит статус “Неразрешенное”, что является маркером для аналитика ИБ.

Шаг 2. Атакующий сканирует технологическую сеть (Network Sniffing T0842).

В разделе события на KICS for Networks видим инцидент с названием “Признаки сканирования сети”.

Соответствующее событие присутствует на KUMA благодаря интеграции KICS for Networks и KUMA.

Шаг 3. Произошло обнаружение хакером станции оператора. Методом грубой силы производится подбор пароля к станции оператора (Brute Force T1110).

Событие о переборе пароля видим на KICS for Networks, также соответствующее событие поступает в KUMA как на скрине выше. 

Шаг 4. Получен доступ к станции оператора. Атакующий получает доступ к SCADA (Remote Service T1021) и изменяет параметр технологического процесса (Manipulation of Control Settings T0832).

Изменение технологического тега воздуходувки регистрируется в трафике при помощи KICS for Networks. Для каждого параметра (тега) на KICS for Networks заведены правила, при отклонении от которых системой генерируется алерт. Например, легитимное значение параметра варьируется от 5 до 6, тогда при выходе за данный диапазон система сгенерирует алерт. Соответствующее событие также поступает в KUMA.

Шаг 5. Обнаружен зараженный объект на SCADA

Инцидент с обнаружением ВПО на SCADA сформирован с помощью KICS for Nodes и был передан с помощью интеграции KICS for Networks + KICS for Nodes + KEA в общую консоль KICS for Networks, откуда попадает в KUMA.

Вывод

Рост числа целенаправленных и технически сложных кибератак на промышленные объекты требует перехода от разрозненных средств защиты к комплексным и интегрированным решениям. Традиционные подходы к кибербезопасности АСУ ТП зачастую не справляются с современными угрозами в условиях необходимости обеспечения бесперебойности технологических процессов.  

ICS XDR — это ответ на вызовы времени. Он объединяет возможности антивирусной защиты, EDR, NTA, SIEM, управления уязвимостями в единую платформу, адаптированную под особенности промышленной среды: поддержку промышленных протоколов, неинвазивность, пассивный мониторинг и минимальное влияние на производственные процессы.  

На примере реализации Kaspersky Industrial CyberSecurity я показал, как ICS XDR позволяет эффективно обнаруживать и реагировать на многоэтапные атаки — от заражения через съемные носители до попыток изменения уставок технологического процесса. Интеграция данных с конечных точек, сетевого трафика и систем управления позволяет не только быстрее выявлять инциденты, но и проводить глубокое расследование, повышая зрелость кибербезопасности в целом.  

ICS XDR — это не просто набор инструментов, а стратегический подход к защите критической инфраструктуры, обеспечивающий прозрачность, оперативность реагирования и устойчивость к современным киберугрозам. В условиях цифровизации промышленности такие решения становятся не роскошью, а необходимостью.