Частини 1 і 2 побудували ІТ-сторону кіберстеку. Частина 3 охоплює дисципліни, які ІТ-інструментарій не охоплює: захист промислових систем контролю та операційних технологій, готовність до цифрової криміналістики для аналізу після компрометації та рішення для міждоменного обміну, що переміщують відповідні дані між класифікованими анклавами. Кожна з них спеціалізована, кожна релевантна для закупівель, і саме в цих сферах інженери з ІТ-підготовкою найчастіше припускаються помилок. Частина 3 проводить через них.

Pillar-рамка викладена в Повному посібнику з оборонної кібербезпеки. Класифікаційні механізми fusion-сторони, до яких підключається ця частина, описано в Побудові оборонного fusion-конвеєра, частина 3; дисципліну releasability для коаліцій НАТО розкрито в Реалізації NATO Interop, частина 3.

Крок 1: Чому захист ICS/OT відрізняється від ІТ

Перша помилка, яку роблять інженери з ІТ-підготовкою на ICS/OT, — пряме застосування ІТ-патернів захисту. Патерни переносяться; значення — ні. Захист ICS/OT формується структурними відмінностями, через які ІТ-дисципліни недостатньо, а іноді й активно шкідливо.

Структурні відмінності:

  • Різні протоколи. Modbus, DNP3, IEC 61850, OPC UA, BACnet — жодного з них немає в ІТ-середовищах. Інструментарій, що декодує ІТ-протоколи (HTTP, TLS, SMB, DNS), не декодує цих. Потрібний інструментарій, специфічний для ICS.
  • Різні каденції патчингу. Контролер ICS може роками не оновлюватися — іноді ніколи. Вікна обслуговування плануються за операційними ритмами, а не за безпековим календарем. «Просто пропатчити» рідко є опцією.
  • Різні наслідки. ІТ-простой коштує доступності. Простой ICS може мати кінетичні наслідки — знеструмлення, порушення водопостачання, відключення системи озброєння, переривання логістики. Радіус ураження формує оцінку ризику.
  • Різний вендорський ландшафт. Honeywell, Siemens, Schneider Electric, Rockwell, Yokogawa — кожен зі своїми інженерними конвенціями, пропрієтарними протоколами та контрактами вендорської підтримки. ІТ-вендорські відносини не переносяться.
  • Різна культура операторів. Оператори ICS мають інженерну, а не ІТ-безпекову підготовку. Безпекова розмова має бути технічно-інженерною, а не безпеково-інженерною. Словник відрізняється.
  • Різні політики сканування. Сканування вразливостей, яке ІТ-SOC вважає рутиною, може вивести з ладу вінтажний PLC. Активне сканування — стандарт за замовчуванням в ІТ; неправильний стандарт у ICS.

Детальний інженерний розгляд патернів виявлення вторгнень ICS/OT, специфічних для військових мереж, наведено в Виявленні вторгнень ICS/OT у військових мережах.

Крок 2: Пасивний моніторинг як стандарт

Патерн захисту ICS/OT, що працює: пасивний моніторинг за замовчуванням, активне реагування — лише за широкої координації з операторами.

Архітектура пасивного моніторингу:

Збір через мережевий tap або SPAN-порт. Сенсор виявлення бачить увесь трафік мережі ICS, але ніколи не ін'єктує пакети. Сенсор не може вплинути на контрольований процес.

Глибока інспекція пакетів з урахуванням протоколу. Сенсор декодує Modbus, DNP3, IEC 61850, OPC UA, ідентифікує виконувані операції та виявляє аномалії (неочікувані команди, спотворені пакети, незвичні пари «джерело-призначення»).

Виявлення активів із пасивного спостереження. Сенсор ідентифікує активи ICS за їхньою мережевою поведінкою — вендор, модель, версія прошивки, роль — без активного зондування. Інвентаризація активів із частини 1 збагачується цими виявленнями.

Поведінкове базування. За тижні спостереження сенсор будує базову лінію нормальної поведінки ICS. Відхилення (команди в неочікуваний час, послідовності, відсутні в базовій лінії, трафік до активів, які не повинні комунікувати) стають алертами.

Реагування під керівництвом оператора. Коли сенсор виявляє аномалію, реакція полягає в оповіщенні операційної команди, а не в автоматизованій дії. Оператори ICS мають контекст, щоб оцінити, чи аномалія шкідлива, чи операційна.

Вендорські продукти, які реалізують цей патерн: Dragos Platform, Claroty xDome, Nozomi Vantage, Tenable OT Security. У кожного — свої сильні сторони декодування протоколів; оборонні закупівлі оцінюють їх під конкретне OT-середовище.

Крок 3: Розвідка загроз, специфічна для ICS/OT

Розвідка загроз ICS/OT — це окрема дисципліна. Загальні ІТ-фіди CTI (розглянуті в частині 1) пропускають TTP, специфічні для ICS: техніки сімейства Stuxnet, варіанти Industroyer, TRITON, PIPEDREAM. Спеціалізовані джерела CTI для ICS:

Dragos WorldView. Провідна в галузі розвідка загроз ICS. Охоплює державних акторів проти ICS (ELECTRUM, XENOTIME, ALLANITE та інші) з TTP і контентом для виявлення.

Бюлетені CISA ICS-CERT. Бюлетені ICS публічного сектора від Агентства кібербезпеки та безпеки інфраструктури США. Безкоштовний доступ, добре впорядковані.

НАТО та національні CSIRT. Релевантні для ICS бюлетені від NCIRC, BSI, ANSSI та еквівалентів — особливо в періоди підвищеної загрози.

Вендорські безпекові бюлетені. Кожен ICS-вендор публікує свої. Підписуйтеся; інтегруйте в конвеєр CTI; відстежуйте зобов'язання з патчингу.

CTI для ICS надходить до OT-специфічного шару виявлення окремо від ІТ-CTI. Змішування їх розбавляє сигнал — більшість ІТ-CTI нерелевантна для OT, а OT-середовища не можуть споживати ІТ-обсяги.

Крок 4: Готовність до цифрової криміналістики

Виявлення без аналізу після компрометації — це половина спроможності. Програмам оборонної кібербезпеки потрібна готовність до цифрової криміналістики — інженерні інвестиції, які дозволяють реконструювати, що сталося після компрометації.

Компоненти готовності до криміналістики:

Агрегація логів із довгим утриманням. Кампанії державних акторів перебувають у мережі місяцями. SOC, що зберігає 30 днів логів, не може реконструювати 18-місячну кампанію. Бюджет утримання має відповідати часовим рамкам розслідування; багаторівневе сховище керує вартістю. Архітектура конвеєра з частини 2 має це вмістити.

Глибокий захоплення пакетів, де це виправдано загрозою. Вибіркове повне захоплення пакетів для сегментів високого ризику. Сховище значне; цінність незамінна, коли компрометація потребує реконструкції на мережевому рівні.

Кінцева телеметрія достатньої глибини. Sysmon, агент EDR-вендора, аудит командного рядка, захоплення дерева процесів. Поверхневої телеметрії недостатньо для розслідування атак державного рівня; глибина має значення.

Ланцюжок збереження доказів від моменту збору. Криміналістичні докази мають витримувати юридичний та акредитаційний огляд. Процедури збору, верифікація хешів на кожній передачі, документація зберігання. Докази, зібрані без ланцюжка збереження доказів, операційно цікаві, але юридично непридатні.

Середовище криміналістичного аналізу. Ізольована аналітична мережа, перевірений інструментарій (Volatility, Autopsy, SANS DFIR-набір), навчені аналітики. Середовище створюється заздалегідь, а не під час інциденту.

Відтворювані конвеєри аналізу. Повторювані аналізи (криміналістика пам'яті, sandbox-аналіз шкідливого ПЗ, екстракція індикаторів) — скриптовані та керовані версіями. Ручні аналізи не масштабуються й не переживають плинність аналітиків.

Детальний розгляд військово-кіберної криміналістики наведено в Цифровій криміналістиці для військового кіберпростору.

Крок 5: Рішення для міждоменного обміну

Оборонні мережі — це не єдині анклави. Дані легітимно переміщуються між рівнями класифікації — несекретний фід розвідки загроз до SECRET-SOC, очищене для releasability резюме інциденту до коаліційного партнера, OSINT, зібраний у мережі низького рівня й переданий аналітикам високого рівня. Ці переміщення відбуваються через рішення для міждоменного обміну (CDS).

Ландшафт CDS:

Односторонні дата-діоди. Апаратно реалізовані однонаправлені канали. Дані рухаються лише в дозволеному напрямку (типово high-to-low для releasable-продуктів, low-to-high для прийому публічної інформації). Owl Cyber Defense, Forcepoint, Garrison — поширені вендори.

Міждоменні transfer guards. Програмно-апаратні рішення, що інспектують, санітизують і пропускають дані між рівнями класифікації. Гнучкіші за діоди (можливий двонаправлений обмін), але з більшими акредитаційними витратами.

Робочі процеси ручного перегляду. Там, де автоматизація не може безпечно ухвалити рішення, людські рецензенти затверджують конкретні переміщення даних. Платформа подає кандидата, фіксує рішення людини з атрибуцією та поширює затверджену передачу з аудитом.

Інженерна інтеграція:

  • Кіберстек інтегрується з інфраструктурою CDS, а не замінює її. CDS постачаються акредитованими вендорами зі схваленням національної безпекової влади; будувати власне рішення зсередини рідко виправдано.
  • Аудит-логування кожної передачі. Кожна міждоменна передача логується з атрибуцією, обґрунтуванням і посиланням на вміст. Аудит-лог — це акредитаційний доказ.
  • Верифікація класифікації на межі. Дані, що входять у CDS, перевіряються на наявність відповідних міток (STANAG 4774 — частина 3 серії NATO Interop); дані на виході повторно перевіряються.
  • Очікування щодо пропускної здатності та затримки. CDS додає затримку. Операційні робочі процеси враховують затримку, а не борються з нею.

Ключова думка: захист ICS/OT та рішення для міждоменного обміну — це дві сфери, де ІТ-кіберінженери найбільш передбачувано зазнають невдачі в оборонних контекстах. Причина однакова в обох: патерни з комерційного ІТ не переносяться чисто, а інженери, які все ж їх застосовують, створюють платформи, що не проходять акредитацію, не витримують експлуатацію або обидва. Дисципліна сприйняття цих сфер як окремих спеціальностей — структурна.

Крок 6: Мережева сегментація між ІТ та OT

Purdue Model — канонічний орієнтир для сегментації мереж ІТ-OT. Оборонні середовища часто розширюють її сегментацією, що враховує класифікацію. Патерн, який працює:

Рівень 0-1 (процес і сенсори). Власне фізичний контроль — PLC, RTU, сенсори, актуатори. Ізольовано від ІТ. Жодного прямого ІТ-підключення.

Рівень 2 (наглядове керування). Локальні HMI та інженерні робочі станції. Підключені до рівня 0-1; мінімально підключені вгору.

Рівень 3 (операції на майданчику). Бази даних операцій, керування партіями, керуючі сервери. Тут живуть системи рівня ICS.

Рівень 3.5 (DMZ). Точка перетину між OT та ІТ. Уся комунікація ІТ-OT проходить тут, з явними політиками потоків даних і виявленням.

Рівень 4-5 (корпоративна ІТ). Стандартне ІТ-середовище. Тут переважно працює SIEM/SOAR із частини 2.

Оборонні розширення додають сегментацію за рівнями класифікації, ортогональну до рівнів Purdue Model: несекретна OT-мережа для інфраструктури об'єкта, OT-мережа NATO-RESTRICTED для коаліційної навчальної інфраструктури, OT-мережа національної класифікації для OT платформ озброєння. Кожна — окреме сегментоване середовище зі своїми рішеннями для міждоменного обміну там, де дані мають перетікати.

Крок 7: Координація реагування на інциденти ICS/OT

Коли стається інцидент ICS, реагування — багатостороннє. ІТ-сторона реагування обробляє ІТ-компоненти; оператори OT обробляють операційні компоненти; інженери з безпеки обробляють ризик фізичного процесу; юридичний відділ обробляє регуляторну звітність (яка має конкретні часові рамки для ICS у деяких юрисдикціях); керівництво координує публічну комунікацію.

Інженерні інвестиції, що підтримують цю координацію:

Заздалегідь встановлені плейбуки. ICS-специфічні плейбуки реагування на інциденти, що періодично відпрацьовуються, з названими ролями та комунікаційними шляхами. Плейбук — у репозиторії, керується версіями, переглядається щороку.

Tabletop-навчання. Щорічні або піврічні навчання, що проходять через сценарії інцидентів ICS. Виявляють прогалини в плейбуках, комунікаційних шляхах, технічних спроможностях. Детальна дисципліна тестування C2, що інформує цю практику, описана в Тестуванні критично важливих систем C2.

Міжкомандне навчання. Аналітики ІТ-SOC, які ніколи не бачать OT-середовищ, не можуть ефективно реагувати на інциденти OT. Перехресне навчання, ознайомлення з OT-середовищами, спільні навчання.

Шляхи ескалації до вендорів. Заздалегідь встановлені відносини підтримки з ICS-вендорами. Інцидент — не час дізнаватися, що відносини підтримки лише контрактні.

Що далі

Частина 3 охопила спеціалізовані шари. Захист ICS/OT з пасивним моніторингом за замовчуванням, спеціалізована розвідка загроз OT, готовність до цифрової криміналістики з довгим утриманням і ланцюжком збереження доказів, рішення для міждоменного обміну для потоків даних між анклавами, мережева сегментація за Purdue Model, координація реагування на інциденти ICS.

Частина 4 закриває серію інженерно-конвеєрними та архітектурними дисциплінами: DevSecOps, що генерує акредитаційні докази як побічний ефект, мережі нульової довіри військового рівня, цілісність SBOM і ланцюга постачання, узгодження з ISO 27001 та AQAP-2110 і поза постійної відповідності, що тримає кіберстек акредитованим протягом 15–20-річних операційних термінів.