EASvZI/Лекции/2.5.110_InfoWatch_ARMA/InfoWatch_ARMA.md

InfoWatch ARMA

Введение!

InfoWatch ARMA защищает критическую информационную инфраструктуру от угроз, создаваемых внешними и внутренними нарушителями и возникающих при смешении IT- и OT-контуров. В состав решения включены три продукта (Industrial Firewall, Industrial Endpoint и Management Console), позволяющих построить эшелонированную защиту для промышленных сегментов на уровне как сети, так и конечных устройств. Расследование инцидентов происходит в едином интерфейсе, процесс реагирования автоматизирован. Опираясь на конкретные задачи промышленной кибербезопасности и запросы рынка, отечественная компания «Инфовотч» разработала комплекс решений для защиты АСУ ТП InfoWatch ARMA, который представляет собой систему из трёх продуктов:

• Industrial Firewall — промышленный межсетевой экран нового поколения (NGFW).
• Industrial Endpoint — средство защиты рабочих станций и серверов SCADA.
• Management Console — инструмент для автоматического реагирования на инциденты и централизованного управления средствами защиты.

Industrial Firewall

InfoWatch ARMA Industrial Firewall является основным компонентом всей системы и согласно названию позволяет обнаруживать и блокировать атаки на промышленные сети, а также защитить последние от несанкционированного доступа.

• FW (Firewall) — межсетевой экран — контролирует доступ к сетевым ресурсам, защищает от несанкционированных действий в промышленной сети и фиксирует все информационные потоки. Позволяет ограничить использование сервисных функций промышленного трафика, например несанкционированную перепрошивку ПЛК или вредоносную запись данных. Кроме того, за счёт контроля отдельных команд протоколов и их значений можно блокировать неавторизованные действия и запрещать недопустимые операции с ПЛК, такие как подключение к сети АСУ ТП, доступ к любым параметрам ПЛК или управление контроллерами по сети.
• DPI (Deep Packet Inspection) — глубокая инспекция трафика — позволяет не только детектировать промышленные протоколы, но и разбирать конкретные команды самых распространённых из них. Это позволяет учитывать специфику АСУ ТП максимально гранулярно: например, блокировать недопустимые операции с ПЛК с учётом прав конкретных операторов.
• IDS / IPS (Intrusion Detection / Prevention System) — система обнаружения и предотвращения вторжений (СОВ) — детектирует и блокирует вредоносные программы, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровнях. Отдельно отметим поставляемую экспертной командой «Инфовотч» базу правил, которая обновляется ежедневно. Сигнатуры пишутся и аккумулируются коллегами самостоятельно исходя из опыта «боевых» внедрений. Кроме того, в комплект входят правила от мирового лидера в данной области — компании Emerging Threats (ET), подключаемые по сублицензии. В основе СОВ — ядро Suricata.
• VPN — встроенный в InfoWatch ARMA Industrial Firewall модуль организации виртуальной частной сети обеспечивает безопасное удалённое подключение к промышленному сегменту, например для работы технической поддержки или с целью объединения производственных площадок в одну сеть. Поддерживаются протоколы IPsec и OpenVPN; возможность шифрования согласно алгоритмам ГОСТ (и, соответственно, сертификация ФСБ России) на данный момент отсутствует. Разработчик сообщает о планах по внедрению отечественных алгоритмов шифрования в будущем.

В режиме фильтрации и разбора до уровня команд на текущий момент поддерживаются 8 протоколов (Modbus TCP, IEC 60870-5-104, S7 Communication, OPC UA, OPC DA, Modbus TCP x90 func. code (UMAS), IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE), а для обнаружения вторжений и мониторинга (без фильтрации) — дополнительно ещё 4: ENIP/CIP, Profinet, S7 Communication plus, DNP3. Список выглядит вполне логичным, он включает в себя большинство самых распространённых и популярных промышленных протоколов.

Industrial Endpoint

InfoWatch ARMA Industrial Endpoint представляет собой программный агент для рабочих станций и серверов, который защищает АСУ ТП от угроз на диспетчерском уровне.

Основные функциональные возможности:

• Контроль и блокировка подключения съёмных носителей. Ещё со времён Stuxnet мы помним, что заражение промышленных устройств с помощью флешек, телефонов и других подключаемых устройств — один из самых распространённых векторов атаки на АСУ ТП. InfoWatch ARMA Industrial Endpoint позволяет вести соответствующий учёт и предотвратить такого рода угрозы.
• Блокировка запуска приложений. На промышленных ПК должно функционировать только то ПО, которое предусмотрено производственным процессом. InfoWatch ARMA Industrial Endpoint позволяет создать безопасную замкнутую среду с помощью белого списка приложений и не допустить запуска файлов, которые в него не входят — в том числе вредоносных объектов и шифровальщиков. При этом агент в начале работы автоматически обучается и самостоятельно формирует белый список.
• Контроль целостности критически важных файлов и приложений. С помощью InfoWatch ARMA Industrial Endpoint выявляются любые нелегитимные изменения программной среды рабочей станции или сервера АСУ ТП.

Стоит отметить, что на текущий момент для работы InfoWatch ARMA Industrial Endpoint не предусмотрено самостоятельного графического интерфейса, управление продуктом осуществляется через InfoWatch ARMA Management Console. Таким образом, InfoWatch ARMA Industrial Endpoint содержит часть функций классического антивируса и системы того класса, который мы в России привыкли называть «СЗИ от НСД». По заверениям вендора, продукт активно развивается в сторону полноценного решения класса EPP (Endpoint Protection Platform), включающего ядро сигнатурного анализа вирусов и другие технологии.

Management Console

Является, без преувеличения, «сердцем» всей системы InfoWatch ARMA, реализует централизованное управление подключёнными средствами защиты и позволяет автоматически реагировать на инциденты в сфере безопасности.

К ключевым функциональным возможностям консоли относятся:

• Централизованное управление средствами защиты InfoWatch ARMA Industrial Firewall и Industrial Endpoint, включая настройку баз промышленных сигнатур.
• Сбор и анализ данных, корреляция событий с возможностью отправки в SIEM или другие средства SOC.
• Отображение списка устройств в защищаемом сегменте и представление активов на карте сети с возможностью самостоятельной отрисовки.
• Автоматическая реакция, включая блокировку угроз по сценариям на средствах защиты, выполнение пользовательских скриптов и иных активных действий. Поддерживается также отправка команд непосредственно на пульт управления SCADA-системы.
• Расследование инцидентов по фактам зафиксированных событий из области безопасности, поступающих из промышленной сети и средств защиты.

Достоинства:

• Большое для рынка число парсеров промышленных протоколов с разбором до уровня команд, что позволяет решать действительно актуальные задачи для обеспечения информационной безопасности АСУ ТП.
• Концепция экосистемы с единым центром мониторинга и управления, решение большинства задач киберзащиты АСУ ТП «под ключ».
• Хороший выбор аппаратных платформ, в том числе в промышленном исполнении.
• Простая политика лицензирования.
• Большое для промышленного межсетевого экрана число настроек из области «обычного офисного маршрутизатора».
• Сертификат ФСТЭК России по 4 уровню доверия на соответствие требованиям к межсетевым экранам типа «Д» 4 класса защиты (ИТ.МЭ.Д4.ПЗ) и СОВ уровня сети 4 класса защиты (ИТ.СОВ.С4.ПЗ).

Недостатки:

• Нет механизма выявления поведенческих аномалий.
• Для виртуального исполнения нет поддержки некоторых сред (Citrix Xen, Proxmox, Virtuozzo).

Вывод

В ходе изучения и тестирования InfoWatch ARMA мы отметили удобство, продуманность и привычность интерфейса, а также весьма высокий уровень зрелости самих продуктов. Все запланированные сценарии отработали корректно. Важно, что вендор предлагает не только технологии, но и готовые сценарии их применения, решающие вполне конкретные задачи в области киберзащиты АСУ ТП.