Протокол удаленного доступа к промышленным системам управления

[Carder]

Обзор​

Внешним сторонам может потребоваться удаленное подключение к сетям управления критически важной инфраструктурой. Этот доступ позволяет производителям оборудования, используемого в критически важной инфраструктуре Австралии, обслуживать оборудование при возникновении неисправности, которую невозможно устранить в требуемые сроки любым другим методом. Такой доступ к внешним сторонам следует рассматривать как чрезвычайное событие, и он будет предоставляться только в критические моменты, когда предоставление доступа требуется для поддержания качества повседневной жизни.
Удаленное подключение к вычислительной системе - широко используемая и хорошо понимаемая задача.
При удаленном подключении к системе управления необходимо учитывать некоторые особенности. Существует существующая литература по теме удаленного доступа к системам управления, такая как международный стандарт IEC 62443 и рекомендации ICS-CERT: https://www.us-cert.gov/sites/defau...ractices/RP_Managing_Remote_Access_S508NC.pdf .
Этот документ разбит на три раздела:

• Принципы дизайна. Принципы разработки включают такие темы, как ограничение времени соединения, строгая аутентификация и создание хорошо управляемых устройств.
• Принципы реализации. Принципы реализации содержат руководство по хорошим подходам к соблюдению принципов проектирования.
• Протокол. После того, как принципы проектирования и реализации были соблюдены, можно следовать указанному протоколу или процедуре для удаленного доступа.

Этот документ следует ратифицировать каждые шесть месяцев, чтобы обеспечить включение любых необходимых обновлений в связи с изменением ландшафта киберугроз. Кроме того, если значительное киберсобытие или осведомленность о новом методе или профессиональном приеме происходит вне этого цикла проверки, необходимо внести изменения в процесс, описанный в этом документе, и о них немедленно публиковать.

Принципы дизайна​

• 1. По умолчанию не должно быть связи между поставщиком и системой управления критически важной инфраструктурой.
• 2. Сети должны быть сегментированы и отделены. В этот процесс будут включены межсетевые экраны. Брандмауэры должны быть настроены как можно более жестко, включая ограничение определенными протоколами, портами, MAC- и IP-адресами и направлениями. Например, можно использовать межсетевой экран с отслеживанием состояния, который позволяет инициировать связь только в одном направлении. Межсетевые экраны с выходом в Интернет и межсетевой экран демилитаризованной зоны (DMZ) системы управления должны быть полностью отдельными устройствами.
• 3. Перед использованием этого протокола должны быть установлены другие процессы и процедуры. Эти процессы включают:
  • способ быстрого отключения системы управления от Интернета в случае обнаружения нежелательного внешнего управления или действий
  • способ вернуть систему управления в заведомо исправное состояние, если обнаружено нежелательное или несанкционированное изменение конфигурации
  • план реагирования на киберинциденты на случай внедрения вредоносного ПО
  • ожидаемые планы безопасности на случай нежелательного физического воздействия.
• 4. Следует использовать многофакторную аутентификацию. Следует использовать как минимум двухфакторную аутентификацию.
• 5. Убедитесь, что учетные данные для входа таковы, что действиям приписывается конкретный человек на удаленном конце, а не общий вход для организации. Убедитесь, что эти личные данные записаны, например, в журнале доступа или в запросе на технические изменения.
• 6. Ограничьте время подключения (например, до 24 часов или продолжительности смены) и убедитесь, что учетные данные являются одноразовыми. Убедитесь, что срок действия учетных данных истекает через 24 часа, независимо от того, используются они или нет.
• 7. Если соединение неактивно более 30 минут, его следует удалить. 30 минут могут быть ограничительными, если процессы, важные для задачи, такие как обновление прошивки, занимают больше 30 минут. Если требуется больше времени, следует выдвинуть дело и вести соответствующие записи.
• 8. Убедитесь, что существует процедура получения разрешения на подключение удаленного доступа старшим должностным лицом организации. Если в различных юрисдикциях есть определенные необходимые уведомления, перечислите их здесь.
• 9. Убедитесь, что устройство, используемое на удаленной стороне (поставщик), используется исключительно для подключения к австралийской организации критической инфраструктуры. То есть компьютер в удаленной организации нельзя использовать для подключения к стране X вчера, стране Y накануне, Австралии сегодня и стране Z завтра. Предпочтительно использовать портативный компьютер на стороне поставщика, предоставленный Австралийской организацией критической инфраструктуры, а не полагаться на стороннюю инфраструктуру. Компьютер следует использовать только для подключения к организациям критической инфраструктуры Австралии с целью однократного доступа к системе управления через различные внутренние соединения. Один компьютер в удаленной организации, предназначенный для одной австралийской организации, - идеальный вариант,
• 10. Примените «Четверку лучших» ASD к наивысшему уровню зрелости, с остальной частью «Essential Eight», если применимо на компьютере на удаленном конце. Следует отметить, что процесс управления автономным компьютером удаленной организацией будет непростым.
• 11. Примените «Essential Eight» от ASD, где это возможно на всех промежуточных машинах, находящихся внутри критически важных сети инфраструктурной организации, которым такие меры не запрещены по причинам ОТ. Примеры компьютеров, безопасность которых можно было бы улучшить таким образом, включают машины в демилитаризованных зонах и переходных блоках в целом, а также любые машины, используемые организацией CI для просмотра, управления или предоставления учетных данных для подключения поставщика. Примеры того, что «где применимо» охватывает: если Microsoft Office не установлен, то макросы могут не быть проблемой; и если данные не хранятся локально, ежедневное резервное копирование может быть ненужным.
• 12. «Хосты-бастионы» (специализированные компьютеры в сети, специально разработанные и сконфигурированные для защиты от атак) и промежуточные машины должны быть по возможности отключены, когда они не используются, чтобы не дать злоумышленникам закрепиться, пока протокол удаленного поставщика не используется. использовать и ждать подключения к Интернету. Выключение компьютеров, когда они не используются, усложняет требование поддерживать «четверку лучших» и «важнейшую восьмерку», поэтому необходимо разработать план для управления этим.
• 13. Чтобы снизить риск атак на цепочку поставок, операторы и поставщики критически важной инфраструктуры должны внедрить надежные механизмы для проверки всего программного обеспечения и инструментов, используемых в процессе протокола доступа удаленного поставщика. Сюда входят инструменты инженерного анализа и поиска неисправностей.
• 14. В соответствии с контрактом обеспечить, чтобы любые данные, просматриваемые или получаемые в рамках удаленного доступа, использовались только для решения проблемы, для которой был предоставлен удаленный доступ, и должны быть возвращены в организацию критической инфраструктуры и уничтожены на стороне удаленного доступа либо когда проблема будет решена, или по истечении 1 года, в зависимости от того, что наступит раньше.
• 15. По условиям контракта убедитесь, что существует возможность аудита организации на удаленном конце, чтобы гарантировать выполнение каждого из условий. Эти условия включают в себя «устройство используется только для Австралии», к устройству применяется ASD «Essential Eight», где это применимо, данные хранятся столько, сколько необходимо, а копия того, что было получено, возвращается в организацию, отвечающую за критическую инфраструктуру, и т. д. Также следует явно искать подходящие комплекты шифров, доступные на стороне поставщика, чтобы избежать риска атаки на комплект шифров.
• 16. По условиям контракта обеспечьте возможность периодического тестирования протокола красной группой на всех частях протокола, в том числе на стороне удаленного поставщика.
• 17. В контракте убедитесь, что указаны все требования к подключению и хостингу для инфраструктуры удаленного доступа. То есть рассмотрите возможность выполнения атак типа «отказ в обслуживании» против протокола удаленного поставщика и влияние этого на критически важную организацию инфраструктуры в чрезвычайной ситуации.

Принципы реализации​

• 1. Не должно быть прямого подключения от производителя к контрольному оборудованию. Должен быть хотя бы один переход через устройство, которое сначала контролируется и управляется владельцем критической инфраструктуры, и в идеале вход и выход из этой точки должны основываться на разных протоколах связи.
• 2. Соединение между управляющей сетью и любым внешним устройством должно быть физически отключено, когда протокол не используется. В идеале это означало бы удаление физического кабеля, однако иногда место отсоединения кабеля может находиться на значительном расстоянии от контрольного оборудования. Опцией может быть включение / отключение соединения с помощью переключателя с ключом, расположенного ближе к диспетчерской или в ней.
• 3. Убедитесь, что на машинах оператора системы управления появляется предупреждение, когда установлено соединение с удаленным поставщиком.
• 4. Сети VPN должны быть настроены как можно более жестко, например, привязаны к определенным IP-адресам через брандмауэры.
• 5. Убедитесь, что учетные записи являются непривилегированными учетными записями для максимально возможного количества систем. Например, иметь права администратора только на последнем устройстве на пути связи, если требуются права администратора.
• 6. Убедитесь, что подключение из Интернета осуществляется к переходному блоку, а не напрямую к сети управления.
• 7. Внутренние пароли никогда не должны передаваться объекту, выполняющему удаленный вход. Например, одно из решений может заключаться в том, что, поскольку в организации критической инфраструктуры будет сотрудник, наблюдающий и наблюдающий за действиями, сотрудник организации критической инфраструктуры может вводить данные для входа всякий раз, когда требуются пароли. Обратите внимание, что некоторые решения для просмотра удаленных сеансов создают подключения через сервер, потенциально работающий в сторонней организации и, следовательно, маршрутизирующий весь трафик через стороннюю организацию, что неприемлемо. Другим решением может быть реализация управления правами пользователя.
• 8. Записывайте, кто вошел в систему, когда они вошли в систему, какие действия должны выполняться во время входа в систему и с какой целью. Храните эту запись не менее 5 лет, если не превышают другие требования.
• 9. Убедитесь, что соединение управляющей сети с Интернетом хорошо контролируется (т.е. разрешено только для определенных хостов и портов).
• 10. Убедитесь, что имеется встроенный кран или другая возможность, позволяющая записывать весь трафик через соединение из Интернета. Убедитесь, что эта запись находится в таком месте, что трафик записывается в формате (например, в виде открытого текста или зашифрованном с помощью известного ключа, который также сохраняется как часть записи), чтобы можно было анализировать трафик. Храните эту запись в надежном месте не менее 5 лет.
• 11. Разделенное туннелирование, возможность подключения к разным доменам безопасности с использованием одного интерфейса, такого как карта сетевого интерфейса (NIC), должно быть отключено.

Протокол​

• 1. Убедитесь, что процедуры, описанные в Принципе разработки 2, такие как метод быстрого отключения системы управления от Интернета, известны и действуют.
• 2. Получите разрешение на подключение от соответствующего старшего должностного лица в компании критической инфраструктуры.
• 3. Введите в журнал данные и время (запись об изменении), кто будет подключаться, кто будет свидетель и причину подключения.
• 4. Выдать ограниченный по времени пароль (из Принципа разработки 6) удаленному объекту, используя существующие каналы.
• 5. Уполномоченное лицо, нанятое организацией критической инфраструктуры, должно присутствовать и наблюдать за всеми действиями с момента подключения кабеля к Интернету до момента его отсоединения.
• 6. Физически создайте путь от управляющей сети (будь то путем подключения кабеля или поворота физического переключателя с ключом) к сети за пределами управляющей сети, чтобы создать путь (через DMZ, переходные блоки и т.д.) в Интернет.
• 7. Убедитесь, что встроенный сбор данных в месте, где виден трафик в виде обычного текста, работает.
• 8. Пригласите удаленную сторону для подключения.
• 9. Аутентифицируйте человека и оборудование на удаленном конце. Для аутентификации человека следует использовать многофакторную, по крайней мере, двухфакторную аутентификацию.
• 10. Удаленный конец должен также аутентифицировать организацию критической инфраструктуры, то есть «взаимную аутентификацию».
• 11. Пока внешняя сторона подключена, уполномоченное лицо, нанятое организацией критической инфраструктуры, должно ввести любые внутренние пароли для подключения по мере необходимости. Удаленному объекту не нужно передавать внутренние пароли.
• 12. По завершении работы физически отключите подключение к Интернету, отключив кабель или повернув выключатель с ключом. Ожидается, что время подключения к Интернету измеряется часами, а не днями.
• 13. Прекратите встроенный сбор данных и надежно сохраните полученные данные. Данные должны храниться не менее 5 лет. Следует соблюдать передовые методы хранения данных, такие как резервное копирование за пределами предприятия.
• 14. Введите в журнал дату и время завершения работы удаленного доступа, а также имя и расположение соответствующего файла встроенного захвата данных. Обеспечьте хранение журнала в течение 5 лет.