News

«Воздушный зазор» в промышленной сети – что это на самом деле?

News | 22.06.2023

Путаница вокруг термина «воздушный зазор» в промышленной сети может привести к серьезным ошибкам при управлении промышленными кибер рисками. Что подразумевают специалисты, употребляя этот термин? Давайте разбираться.

«Воздушный зазор» (air gap) — физическая изоляция, одна из мер обеспечения кибербезопасности, которая заключается в том, что безопасная компьютерная / промышленная сеть физически изолирована от небезопасных сетей: интернета и локальных сетей с низким уровнем безопасности.

Исторически сложилось так, что сеть с воздушным зазором представляла собой сеть без онлайн-соединения для передачи данных с какой-либо другой сетью — ни последовательных соединений, ни сетевых соединений, ни беспроводных, ни оптоволоконных, ничего. Единственным способом получения информации в системе или сети с воздушным зазором была передача данных в автономном режиме - путем физического переноса данных в сеть на мобильных телефонах, USB-накопителях, DVD- и CD-дисках или, что было более реалистично в те времена, на дискетах и магнитной ленте.

«Настоящая» оборудованная под безопасность система (SIS) с воздушным зазором (air gap)

Рис. 1. «Настоящая» оборудованная под безопасность система (SIS) с воздушным зазором (air gap)

Этот вид промышленной сети с воздушным зазором в основном исчез в конце 1990-х годов, когда большинство промышленных предприятий начали процесс интеграции IT / OT - процесс подключения промышленных источников данных к общекорпоративным инженерным платформам и платформам автоматизации бизнеса, например, к системам планирования ресурсов предприятия (ERP) SAP, которые многие предприятия внедряли в то время.

То, что эти сети исчезли давным-давно, часто упускается из виду старшими менеджерами и руководителями предприятий, которые начинали работать инженерами давно, и сейчас, спустя 20-30 лет, не обращают пристального внимания на схему сети. Такие руководители иногда все еще настаивают на том, что их промышленные сети имеют воздушный зазор и поэтому нуждаются лишь в минимальных дополнительных мерах кибербезопасности.

Они, конечно, ошибаются - современные промышленные сети почти повсеместно подключены к внешним сетям, причем зачастую множеством способов. Например, слишком часто поставщики промышленного оборудования устанавливают линии DSL или другие подключения к Интернету непосредственно к своему оборудованию во время установки оборудования на объекте. Что делает такие подключения почти полностью невидимыми для промышленных организаций.

Опять же, почти ничто уже не является «настоящим» воздушным зазором. Не стоит спорить со старшим поколением, скорее важно разъяснить ему ситуацию, и в результате, необходимость мер кибербезопасности станет очевидной для всех.

К сожалению, есть специалисты, которые используют термин «воздушный зазор» некорректно. Например, директор по информационной безопасности считает свои промышленные сети закрытыми, подразумевая, что большинство его промышленных сетей не имеют возможности маршрутизировать пакеты интернет-протокола (IP) непосредственно в Интернет. Межсетевые экраны позволяют промышленным устройствам отправлять пакеты с адресов источников на адреса назначения корпоративной ИТ-сети, но не на адреса назначения в Интернете.

Доступная, но не маршрутизируемая через Интернет, промышленная сеть с воздушным зазором

Рис. 2. Доступная, но не маршрутизируемая через Интернет, промышленная сеть с воздушным зазором

То есть отождествляются понятия «воздушный зазор» и «не маршрутизируемый через Интернет». Это отождествление представляет собой проблему. Использование термина таким образом приводит к серьезным ошибкам в управлении рисками! Например, современные программы-вымогатели используют методы целенаправленных атак. Преступная группа может обманом заставить корпоративного пользователя кликнуть вредоносное вложение и поставить под угрозу его компьютер. Этот компьютер подключается к центру управления и контроля (C2) в Интернете, а затем преступная группа разворачивает атаку — управляет скомпрометированным корпоративным компьютером с помощью удаленного управления, чтобы расширить свою атаку вглубь корпоративной сети.

Может ли такая атака дистанционного управления распространиться на промышленную сеть (ОТ)? В действительно изолированной промышленной сети (если вы сможете такую найти) ответ будет «нет». Нет никакого онлайн-соединения с сетью с настоящим воздушным зазором, такой как сеть SIS на Рис. 1. Нет онлайн-соединения, позволяющего проводить любые атаки с дистанционным управлением.

Но в сети, подобной показанной на Рис. 2, где IP-пакеты могут обмениваться между корпоративной и промышленной сетями, но не напрямую между Интернетом C2 и промышленной сетью, - атака с удаленным управлением может распространяться на промышленную сеть. Как? Злоумышленник отправляет вредоносное ПО в промышленную сеть через общий файловый ресурс или каким-либо другим способом и настраивает вредоносное ПО для подключения к скомпрометированному компьютеру в корпоративной сети для получения инструкций по атаке, а не к Интернету C2. Команды атаки от C2 и ответы на C2 в этом примере последовательно связаны через скомпрометированные компьютеры в корпоративной сети.

«Воздушные зазоры» нарушают промышленную безопасность?

Как это мешает управлению рисками? Директор по информационной безопасности говорит совету директоров: «Не волнуйтесь, наша промышленная сеть закрыта». Эти люди могут спросить: «Вы уверены? Мы знаем, что воздушные зазоры практически исчезли 25 лет назад». Директор по информационной безопасности уверенно отвечает: «Нет — я проверил это у наших технических специалистов — наши промышленные сети действительно и абсолютно изолированы».

Конечно, CISO имеет в виду следующее: «Наши промышленные сети не могут отправлять сообщения напрямую в Интернет, но они могут отправлять сообщения на скомпрометированное оборудование в нашей корпоративной сети». Что слышит совет директоров, так это то, что «атакующие команды из интернет-команды C2 никак не могут проникнуть в наши промышленные сети». Эта последняя интерпретация является серьезной ошибкой, поскольку она заставляет совет директоров сокращать или откладывать финансирование программ промышленной кибербезопасности.

В современном мире почти ничто не имеет воздушного зазора в первоначальном смысле этого слова, за исключением, может быть, некоторых оборудованных под безопасность систем и редких ЦПУ на дрели, пиле или другом электроинструменте. Специалисты по безопасности, которые используют слово «воздушный зазор» для описания своих подключенных сетей, вносят путаницу. Используйте термин «воздушные зазоры» корректно.

Если ваша промышленная сеть может подключаться только к хостам в DMZ, а ваши хосты DMZ могут подключаться только к хостам предприятия и наоборот, так и говорите, что ваши промышленные и DMZ-брандмауэры имеют «запрет по умолчанию» или «имеют выходной контроль доступа», а не то, что ваши сети имеют воздушный зазор.

Waterfall Security Solutions — мировой лидер по разработке решений для обеспечения безопасности OT (АСУ ТП). Список клиентов компании включает в себя национальную инфраструктуру, электростанции, атомные станции, морские и береговые нефтегазовые объекты, нефтеперерабатывающие заводы, производственные предприятия, коммунальные предприятия и многие другие.

Обращайтесь за персональной консультацией по решениям Waterfall Security и с запросами на проведение пилотных проектов - к специалистам Softprom.

Softprom - Value Added Distributor компании Waterfall Security Solutions.

*По материалам статьи Andrew Ginter, вице-президента Waterfall Security по промышленной безопасности.