Как спланировать ответ на инцидент кибербезопасности ICS

Организации, эксплуатирующие критически важные системы, должны планировать и готовиться к реагированию на киберинциденты промышленных систем управления (АСУ ТП), будь то непреднамеренные внутренние нарушители или злоумышленники.

Правильное планирование реагирования на киберинциденты ICS сводит к минимуму финансовые потери от простоя системы, потери данных, повышения страховых взносов, запятнанного корпоративного имиджа и снижения безопасности сотрудников и общества. Этот документ применим только к АСУ ТП (например, системам диспетчерского контроля и сбора данных, системам управления зданиями), потому что у большинства организаций уже есть план IR (IRP) информационных технологий (ИТ). По словам Роберта Талбота, старшего ИТ-менеджера, Parsons , он дает общее представление об этапах IR. Управление информационной безопасности и Джек Д. Оден, главный менеджер проекта, Parsons Critical Infrastructure Operations.

Обоснование

Сегодняшние ICS обычно управляются человеко-машинными интерфейсами на базе Windows или LINUX, взаимодействуют через Интернет-протоколы и подключаются к корпоративной локальной сети и Интернету. Новая архитектура обеспечивает значительные преимущества, в том числе экономию средств, меньшую зависимость от поставщиков запатентованного оборудования и более простую / быструю передачу данных в бухгалтерию и высшее руководство.

К сожалению, с преимуществами связаны повышенные риски кибератак через Интернет. Вопрос уже не в том, будет ли нападение, а в том, когда. Ни одна компания или организация не может предотвратить все кибератаки, но большинство организаций АСУ ТП остаются неподготовленными.

Подготовка к инциденту

Хотя создание группы IRP и IRT для ICS является разумным, предотвращение киберинцидентов значительно экономит время и деньги. В то время как офисы эффективно работают без электронной почты в течение дня или более, ICS не может позволить себе простоя. Контроль доступа к ICS сокращает возможности злоумышленников для внедрения вредоносных программ. Поскольку большинство атак ICS происходит через предприятие, этот доступ должен быть защищен в первую очередь. Кроме того, недавно на рынке появились системы обнаружения вторжений, распознающие протоколы ICS, что позволяет точно определить, как злоумышленник получил доступ к системе.

Некоторые основные шаги уменьшают последствия инцидента и помогают быстрее вернуть ICS в рабочее состояние. Периодическое тестирование лент с резервными копиями обеспечивает доступность функциональных конфигураций резервного копирования ICS. Использование систем обнаружения вторжений, поддерживающих проприетарные протоколы, имеет важное значение, поскольку проприетарные системы восприимчивы к кибератакам и уязвимы для лиц, знакомых с системой.

Подготовка к реагированию на инциденты

Соберите команду реагирования на киберинциденты

Сборка кибер-IRT - это первый из двух важных шагов в развитии эффективных IR-возможностей. В команду должны входить инженеры и администраторы АСУ ТП, сетевые и системные администраторы, операторы оборудования и представители ИТ, кибербезопасности, человеческих ресурсов, коммуникаций и юриспруденции. IRT должна координировать свои действия с различными правоохранительными органами, отраслевыми регулирующими органами и поставщиками.

Состав IRT должен уравновешивать внутренний персонал с внешними экспертами, имеющими опыт в IR, криминалистике, сборе и сохранении доказательств, атаках и эксплойтах или различных других областях кибербезопасности. Внешние эксперты могут действовать быстрее и тщательнее, в то время как сотрудники ICS обладают системными знаниями.

Создайте план реагирования на инциденты

Эффективная IRP так же важна, как и IRT. Как только ICS выходит из строя, респондентам нужно время, чтобы найти источник и степень заражения, несмотря на давление со стороны организации.

После того, как план будет рассмотрен и окончательно согласован всей группой IRT, необходимо выполнить несколько важных задач:

• Начальное и периодическое тестирование
• Отношения с правоохранительными органами
• Списки контактов с внешними организациями
• Альтернативные пути связи
• Организационная структура и контактная информация IRT
• Безопасное хранилище системного пароля

План реагирования на инциденты

Объем и цель

IRP применяется к предполагаемым или подтвержденным инцидентам кибербезопасности АСУ ТП. В нем изложены общие рекомендации по обнаружению, классификации и реагированию на инциденты кибербезопасности АСУ ТП, чтобы свести к минимуму сбои в работе АСУ ТП.

Процедуры разрешения инцидентов

Следование проверенным процедурам позволит быстрее перезапустить производство и снизить вероятность ошибок. На нескольких интернет-сайтах описываются передовые методы, которые IRT может использовать для разработки процедур для конкретных компаний.

Идентификация инцидента

Выявление, сдерживание и устранение нарушений в течение первых 24 часов имеет решающее значение. Администраторы ICS должны работать с персоналом IR быстро, но осторожно, чтобы точно охарактеризовать ситуацию как киберинцидент или просто системный сбой.

Уведомления

Когда инцидент подтвержден, следует уведомить руководителя IRT, главного сотрудника по информационной безопасности, исполнительное руководство и юридический отдел. При необходимости следует связаться с правоохранительными органами.

Сдерживание

Очень важно идентифицировать зараженные системы, когда они заражены, и используемую точку входа. При правильной сегментации сети и защищенных внешних подключениях брандмауэр и другие журналы могут помочь определить, когда вредоносное ПО проникло в сеть. В случае киберпреступления сохраняйте доказательства и поддерживайте цепочку ответственности; компрометирующие доказательства недопустимы в суде. Также установите свидетелей.

Искоренение

После локализации вредоносное ПО необходимо удалить из каждой зараженной системы и реестра Windows. Если какие-либо следы останутся, системы будут повторно инфицированы при повторном подключении к сети.

Восстановление системы

Перед перезапуском системы восстановите поврежденные данные, используя неповрежденные данные резервной копии. Если вы не уверены, когда вредоносное ПО попало в систему, перезагрузите операционную систему и приложения из исходных резервных копий.

Извлеченные уроки

IRT должна формализовать извлеченные уроки, чтобы задокументировать успехи и возможности улучшения, а также стандартизировать IRP.

Проблемы

Успешный IR зависит от планирования и финансирования инцидента и должен быть частью общей программы управления рисками компании. Поскольку ни одна организация не предоставляет финансирование для обеспечения кибербезопасности ИТ и АСУ ТП, необходима дипломатия и домашняя работа. Обычно один высокоуровневый менеджер понимает важность IRT. Если его наняли в качестве лидера команды, этот менеджер может убедить других старших менеджеров предоставить членов команды.

Сами по себе оценки не защищают системы. Установление контроля лучше всего достигается путем привлечения квалифицированной внешней организации для выполнения оценки уязвимости ИТ и АСУ ТП.

Хотя мир ИТ осознал более 20 лет назад, что киберинциденты приводят к финансовым потерям, мир АСУ ТП не спешил осознавать преимущества кибербезопасности, несмотря на такие инциденты, как Stuxnet и атаки на точки продаж Target ™.

Заключение и рекомендации

Широко разрекламированные атаки повысили осведомленность о необходимости защищать АСУ ТП и обладать возможностями IR с помощью эффективной IRP и хорошо обученной IRT. Для предотвращения и восстановления киберинцидентов необходим сдвиг в культуре. Изменения грядут, но медленно. Компаниям следует ускорить развитие кибер-IR для АСУ ТП.

Авторами этого блога являются Роберт Талбот, старший ИТ-менеджер, Parsons Information Security Office, и Джек Д. Оден, главный менеджер проекта, Parsons Critical Infrastructure Operations

Вот ссылка на полную антологию