Любопытно взглянуть на этот документ, во-первых, потому, что у нас процедура обновления антивируса отдана на откуп производителю. Во-вторых, хотелось бы сравнить рекомендации NCCIC и производителей антивирусного ПО. В рекомендациях не уточняется тип антивирусного ПО, хотя существуют, помимо антивирусных продуктов общего применения, также и специальные, например Kaspersky Industrial Cyber Security.

Поскольку корпоративная сеть отделена от технологической, обновление становится более сложной задачей.

В первой части документа поясняются нюансы эксплуатации антивирусного ПО в АСУ ТП, касающиеся размещения серверов обновлений. Приводится противопоставление процедуры обновления антивируса в АСУ ТП процедуре обновления в корпоративной сети, в которой клиенты настраиваются на получение обновлений напрямую от производителя антивирусного ПО, либо посредством серверов обновлений, находящихся в корпоративной сети и получающих обновления непосредственно от вендора. Поскольку корпоративная сеть от технологической отделена при помощи сегмента DMZ, обновление становится более сложной задачей. Рекомендуемое место размещения сервера обновлений антивируса — DMZ — может мешать нормальной процедуре обновления.

Для решения этой проблемы предлагается две стратегии, одна из которых — скачивание обновлений антивирусного ПО на выделенный компьютер с последующей записью обновлений на съемный носитель для переноса обновлений на соответствующий сервер в DMZ. По уверениям экспертов NCCIC, этот метод хоть и кажется трудоемким, на самом деле таковым не является. При использовании данной стратегии необходимо помнить о риске занести вирусы вместе с обновлениями, поэтому необходимо верифицировать источник обновлений и целостности обновлений при помощи хеш-сумм, а также соблюдать политику организации в области использования съемных носителей.

Таким образом, алгоритм обновления по первому методу следующий:

1. Верифицировать источник обновления.
2. Загрузить обновления на выделенный компьютер.
3. Проверить обновления с помощью антивирусного ПО.
4. Верифицировать хеш-суммы для каждого из полученных файлов.
5. Проверить съемный носитель с помощью антивирусного ПО, в идеале — форматировать съемный носитель перед каждой записью обновлений на него.
6. Записать обновления на съемный носитель.
7. Защитить носитель от записи.
8. Подключить съемный носитель в тестовую среду и убедиться в отсутствии негативных последствий.
9. Проверить еще раз носитель на вирусы в тестовой среде.
10. Установить обновления на резервных элементах АСУ ТП или на компьютерах, не выполняющих критичных функций, и убедиться в отсутствии негативного эффекта.
11. Установить обновления на всех хостах.
12. Мониторить на предмет любой неожиданной активности и нарушения нормальной работы технологического процесса.

Данный метод, называемый «ходячая сеть», рекомендуется для АСУ ТП с воздушным зазором, и, по мнению экспертов NCCIC, хоть и предполагает больше трудозатрат по сравнению с развертыванием цепи серверов обновлений, но не должен отнимать много времени при регулярных обновлениях. Второй предлагаемый метод — последовательная цепь серверов обновлений.

Основные сложности при обновлении состоят в контроле их целостности и верификации источника.

NCCIC предостерегает, что сервера обновлений могут быть скомпрометированы и использоваться для распространения вредоносного ПО, как, например, в ходе вредоносной кампании ZombieZero. Подчеркивается, что CRC не является достаточным, требуется убедиться в соответствии хеш-сумм.

Во многом рекомендации покажутся знакомыми тем, кому приходилось сталкиваться с процедурами обновления антивирусного ПО на системах, аттестованных по требованиям безопасности информации. Процедура во многом обоснована, когда дело касается антивирусов американских вендоров: у них на сайтах до сих пор выкладываются обновления с контрольными суммами, а верифицировать сайт можно с помощью сертификата.

Получение обновлений с сайта Symantec: галерея

Для российских антивирусов такой возможности «ручного» обновления нет. Трудно сказать, чем вызвано нежелание публиковать обновления антивирусных баз, но загрузку обновлений автоматизировали, встроив верификацию источника и проверку целостности в функционал специального ПО, предназначенного для создания так называемых зеркал обновления.

На примере руководства по обновлению KICS можно убедиться, что процедура не противоречит руководству от NCCIC — с уточнением, что обновлений нет в открытом доступе, но загрузить их можно с помощью утилиты Kaspersky Update Utility, которая и автоматизирует верификацию источника обновлений и проверку хеш-сумм (или, возможно, электронной подписи). Также упрощается распространение на в тестовую среду и на определенные узлы за счет ПО Kaspersky Security Center, которое позволяет разбивать управляемые машины на группы. Аналогичные процедуры предусмотрены у других российских производителей антивирусного ПО.

В целом можно сказать, что процедура обновления в ПО российских производителей реализована строже и удобнее, чем того требуют рекомендации наших западных партнеров.