Виявлення вторгнень в АСУ ТП / ОТ для військових об'єктів

Промислові системи управління (АСУ ТП) та операційні технології (ОТ) на військових об'єктах — системи управління електроенергією, розподілу палива, систем опалення, вентиляції та кондиціонування, управління доступом та фізичної безпеки — є критичною інфраструктурою, яка часто залишається поза увагою традиційних корпоративних процесів кібербезпеки. Ці системи часто використовують застарілі протоколи, несумісні з агентними рішеннями безпеки, підключені до мереж, де порушення наявності є неприйнятним, і можуть мати 20–30-річний операційний термін служби, що означає, що виправлення може бути технічно неможливим навіть за наявності відповідного патча.

Виявлення вторгнень у середовища АСУ ТП/ОТ вирішує завдання, принципово відмінне від корпоративного виявлення вторгнень ІТ: середовище в значній мірі є незмінним та добре охарактеризованим, що робить моніторинг на основі аномалій значно ефективнішим. ПЛК, що надсилає певну послідовність команд до приводного двигуна, має передбачуваний ритм; відхилення від цього ритму є індикатором вторгнення чи несправності, і обидві умови потребують уваги оператора.

Чому промислові протоколи потребують спеціалізованого виявлення

Modbus — один з найстаріших промислових протоколів, що широко використовується у військовій інфраструктурі та системах управління, — розроблений для надійності та простоти, а не для безпеки. Modbus TCP не має вбудованої автентифікації: будь-яка система в мережі може надсилати команди запису до будь-якого ПЛК, якщо може встановити TCP-з'єднання на порт 502. Система виявлення вторгнень, що розуміє Modbus, може базувати нормальну поведінку — які Master-пристрої зазвичай взаємодіють з якими Slave-пристроями, які конкретні коди функцій (FC01–FC16) очікуються, які адреси регістрів зчитуються або записуються — і виявляти відхилення від цього базового рівня.

DNP3 (Distributed Network Protocol 3) використовується в системах SCADA для комунікацій між віддаленими пристроями збору даних (RTU) та головними станціями. DNP3 має базові можливості автентифікації в деяких реалізаціях (DNP3-SA), але широко розгорнутий у конфігураціях без автентифікації. Особливої уваги заслуговують атаки відтворення DNP3 — де легітимні повідомлення перехоплюються та повторно надсилаються для ініціювання дій — оскільки вони невидимі для моніторингу, заснованого виключно на відповідності підписам.

IEC 61850 — стандарт для комунікацій підстанцій в електричних підстанціях — все частіше зустрічається на сучасних військових базах з розподіленою генерацією та управлінням мережею. IEC 61850 є більш складним, ніж Modbus або DNP3, та включає кілька протоколів (GOOSE для захисних повідомлень, MMS для управління станцією, Sampled Values для вимірювань). Профіль безпеки IEC 62351 існує, але реалізація залишається непослідовною на практиці.

Пасивний моніторинг: золотий стандарт безпеки ОТ

Золотим стандартом для виявлення вторгнень АСУ ТП/ОТ є пасивний моніторинг: захоплення та аналіз трафіку промислової мережі без будь-якого взаємодії з контрольованими пристроями. Пасивний підхід є обов'язковим в середовищах ОТ, де невдалий активний запит до ПЛК може призвести до скидання пристрою, операційного збою або несправності обладнання. Безпека продовження процесу важливіша, ніж покриття безпеки. Промислові IDS (Claroty, Dragos, Nozomi Networks) розроблені навколо цього обмеження: вони слухають мережевий трафік через налаштоване дзеркалювання портів або пасивні мережеві відводи без активного зондування мережі.

Пасивний моніторинг забезпечує три ключові можливості: виявлення активів (інвентаризація ПЛК, RTU, HMI та інших пристроїв ОТ з їх прошивками та конфігураціями), моніторинг комунікацій (базування нормальних патернів зв'язку та сигналізація про аномалії) та відстеження змін (виявлення, коли конфігурація пристрою або прошивка були змінені).

Побудова базового рівня: нормальна поведінка в середовищах ОТ

Ефективність виявлення на основі аномалій залежить від точності базового рівня нормальної поведінки. Промислові середовища мають унікальні характеристики, що сприяють ефективному встановленню базового рівня: вони є детермінованими (один і той же процес виконується одним і тим же чином щодня), ритмічними (багато промислових процесів відповідають передбачуваним часовим патернам) та закритими (набір пристроїв та протоколів у відповідно керованій промисловій мережі є стабільним).

Збір базового рівня зазвичай включає 30–60-денний тихий моніторинговий режим, де система виявлення спостерігає за мережевим трафіком без генерації сигналів тривоги. Протягом цього вікна система будує модель нормальної мережевої поведінки: які пристрої взаємодіють один з одним, з якими протоколами, якою кількістю трафіку та в які конкретні часові вікна. Деякі промислові IDS застосовують ML для автоматичного уточнення базового рівня з часом; інші вимагають підтвердження від інженера ОТ, що базовий рівень є точним перед переходом у режим виявлення.

Детектори аномалій: від простих правил до ML

Підходи до виявлення в промислових IDS варіюються від простих правил на основі сигнатур до складних ML-моделей. Для відомих патернів атак — спроб Modbus запису в регістри, що зазвичай є лише для читання, аномального трафіку між сегментами мережі, PKI-команд DNP3 від неавторизованих джерел — виявлення на основі сигнатур є необхідним. Воно забезпечує швидке, детерміноване виявлення відомих векторів атак з мінімальними хибнопозитивними результатами.

ML-підходи вирішують те, що виявлення на основі сигнатур не може: невідомі атаки та тонкі аномалії поведінки. Моделі часових рядів можуть виявляти, коли ПЛК виробляє більш-менш значень датчика, ніж очікується, навіть якщо значення знаходяться в межах допустимого діапазону. Графові нейронні мережі можуть виявляти зміни в патернах мережевої комунікації, які не відповідають жодній окремій відомій атаці, але є статистично аномальними відносно навченого базового рівня.

Проблеми інтеграції: ОТ зустрічається з ІТ безпекою

Найбільша операційна проблема при розгортанні виявлення вторгнень АСУ ТП/ОТ є організаційною, а не технічною: інженери ОТ та команди безпеки ІТ мають різні пріоритети, термінологію та припущення щодо того, що є нормальним та прийнятним. Те, що виглядає як підозріла поведінка мережі для аналітика ІТ безпеки, може бути нормальною операційною процедурою, зрозумілою лише інженерам ОТ.

Успішні розгортання виявлення вторгнень АСУ ТП включають інженерів ОТ у процес встановлення базового рівня та підтвердження сигналів тривоги. Операційний контекст, який інженери ОТ надають — "цей ПЛК завжди перебуває в режимі обслуговування щонеділі вранці", "ця зміна конфігурації очікувалась через прогреміле оновлення" — є необхідним для відрізнення справжніх сигналів тривоги від нормальних операційних змін.