Краткий практический кейс
- Сценарий: злоумышленник получает доступ к почте оператора через фишинг, крадёт учётные данные, получает доступ к корпоративной сети, оттуда — к системе мониторинга SCADA/EMS через недостаточно сегментированную сеть. Итог: подмена команд на ПЛК/RTU, отключение насосов/трансформаторов, ложные показания датчиков, отключение аварийных уведомлений.
Анализ векторов атаки (ключевые моменты)
- Попадание в периметр: фишинг / слабые пароли / незащищённый RDP/VPN.
- Латерал-мувмент: недостаточная сегментация, единая АД/LDAP, открытые сервисы.
- Вектор в OT: прямой доступ к HMI/SCADA через шлюз без строгой аутентификации, уязвимые Modbus/DNP3/IEC61850.
- Уязвимости устройств: неподписанный/непатченный firmware PLC/RTU.
- Инсайдерская угроза: нарушенные процессы change management.
Оценка воздействия
- Непосредственные: остановка/сбои в подаче воды/электричества, риски для здоровья населения, финансовые потери.
- Вторичные: паника, регуляторные штрафы, длительное восстановление, репутационные потери.
Многоуровневая стратегия защиты (Preventive — Detective — Corrective; IT/OT объединённо)
1) Управление активами и зонами
- Инвентаризация всего оборудования (IT + OT), классификация критичности.
- Сегментация сети по принципу Purdue/ISA-95: зоны Corporate, DMZ, OT/ICS, Field. Пример уровней: $\text{Level 0–5}$.
- Минимизация доверия: принцип least privilege, отдельные учетные записи и домены для OT.
2) Сетевые и протокольные барьеры
- Межзоновые FW/NGFW, ACL, маршруты только по необходимости.
- Применить шлюзы-протоколы/медиа-конвертеры и DPI для Modbus/DNP3/IEC61850.
- Микросегментация критичных контроллеров; jump-host/ bastion для доступа операторов.
3) Аутентификация и управление доступом
- MFA для всех удалённых доступов и привилегированных учётных записей.
- Жёсткое управление привилегиями (PAM) для доступов к HMI/PLC.
- Журналирование и контроль сессий (session recording).
4) Укрепление конечных точек и устройств
- EDR + whitelisting приложений на рабочих станциях и HMI.
- Политики безопасного обновления: code signing для firmware, тестовый стенд перед деплоем.
- Минимизация сервисов, отключение небезопасных протоколов.
5) Обнаружение аномалий и мониторинг
- SIEM + OT-aware IDS/IPS; корреляция событий IT/OT.
- Поведенческая аналитика (UEBA) и аномалийные детекторы процессов: например, z‑оценка для сигналов:
$$z=\frac{x-\mu }{\sigma }$$ где $x$ — текущий параметр (напр., расход), $\mu$ — историческое среднее, $\sigma$ — std.
- Мониторинг целостности команд: контроль подписей и sequence numbers.
6) Резервирование и устойчивость
- Дублирование критичных контроллеров, ручные/аварийные процедуры (SIS), изолированные аварийные схемы.
- Бэкапы конфигураций и прошивок с off-site и air-gapped копиями; регулярная валидация бэкапов.
- Целевые RTO/RPO: устанавливаются по бизнес‑критичности, например RTO $\le 2$ часов для наиболее критичных узлов (примерно).
7) Обновления, тестирование и управление уязвимостями
- Регулярные сканирования уязвимостей; план патчинга с тестированием в стенде.
- Пентесты и red-team с охватом IT↔OT интеграции не реже чем $\text{1 раз в год}$ и после крупных изменений.
8) Политики поставщиков и физическая безопасность
- Контроль удалённого доступа вендоров (VPN с MFA, лимиты, аудит).
- Физическая защита шкафов с контроллерами, видеонаблюдение, контроль доступа.
Инцидент‑реагирование: пошаговый план (сжатый)
1. Идентификация — подтвердить компрометацию; собрать эпистемологические артефакты (логи, снимки).
2. Оценка риска — какие зоны/узлы задействованы, есть ли немедленная угроза жизни/безопасности.
3. Сдерживание (containment):
- Изолировать поражённые сегменты/узлы (network quarantine), блокировать учётные записи.
- При необходимости переключить на аварийные/ручные процессы.
4. Устранение (eradication):
- Удалить вредоносное ПО, устранить бэкдооры, заменить/перепрошить компрометированные контроллеры.
- Сменить все пароли и ключи, проверить целостность образов.
5. Восстановление:
- Пошаговое возвращение сервисов по приоритету; верификация корректности управления и телеметрии.
- Тестирование в контролируемой среде перед полномасштабным включением.
6. Форензика и RCA:
- Сохранять доказательства для возможного судебного/регуляторного разбирательства.
- Провести корневой анализ и закрыть выявленные организационные/технические дыры.
7. Коммуникация:
- Уведомить регуляторов, экстренные службы и общественность по заранее готовому плану кризисных коммуникаций.
8. Пост‑инцидентный аудит и улучшения:
- Обновить политики, SOP, провести обучение и tabletop exercises.
Метрики и регулярные действия
- Мониторинг: 24/7 SOC с OT‑видимостью.
- Обновления/патчи: критичные — в недельном/контролируемом окне, плановые — $\text{1–3 раза в месяц}$.
- Backups: конфигурации — ежедневные; образ прошивки — при каждом апдейте и хранить off-site.
- Тренировки: tabletop $\ge$ $\text{2 раза в год}$, full-scale drill — $\text{1 раз в год}$.
Короткий чек-лист первичных инвестиций (приоритет)
1. Сегментация сети + jump-host для OT.
2. MFA + PAM для привилегий.
3. SIEM + OT IDS/EDR интеграция.
4. Бэкап/air-gapped recovery и тест восстановления.
5. Планы реагирования и регулярные учения.
Заключение (одно предложение)
- Защита городской мониторинговой инфраструктуры требует синергии сетевой сегментации, жёсткого контроля доступа, OT-aware мониторинга, регулярного тестирования и чётко прописанного IR‑плана с гарантированным резервированием критичных сервисов.