Обновление антивируса в АСУ ТП по-американски
Любопытно взглянуть на этот документ, во-первых, потому, что у нас процедура обновления антивируса отдана на откуп производителю. Во-вторых, хотелось бы сравнить рекомендации NCCIC и производителей антивирусного ПО. В рекомендациях не уточняется тип антивирусного ПО, хотя существуют, помимо антивирусных продуктов общего применения, также и специальные, например Kaspersky Industrial Cyber Security.
Поскольку корпоративная сеть отделена от технологической, обновление становится более сложной задачей.
В первой части документа поясняются нюансы эксплуатации антивирусного ПО в АСУ ТП, касающиеся размещения серверов обновлений. Приводится противопоставление процедуры обновления антивируса в АСУ ТП процедуре обновления в корпоративной сети, в которой клиенты настраиваются на получение обновлений напрямую от производителя антивирусного ПО, либо посредством серверов обновлений, находящихся в корпоративной сети и получающих обновления непосредственно от вендора. Поскольку корпоративная сеть от технологической отделена при помощи сегмента DMZ, обновление становится более сложной задачей. Рекомендуемое место размещения сервера обновлений антивируса — DMZ — может мешать нормальной процедуре обновления.
Для решения этой проблемы предлагается две стратегии, одна из которых — скачивание обновлений антивирусного ПО на выделенный компьютер с последующей записью обновлений на съемный носитель для переноса обновлений на соответствующий сервер в DMZ. По уверениям экспертов NCCIC, этот метод хоть и кажется трудоемким, на самом деле таковым не является. При использовании данной стратегии необходимо помнить о риске занести вирусы вместе с обновлениями, поэтому необходимо верифицировать источник обновлений и целостности обновлений при помощи хеш-сумм, а также соблюдать политику организации в области использования съемных носителей.
Таким образом, алгоритм обновления по первому методу следующий:
- Верифицировать источник обновления.
- Загрузить обновления на выделенный компьютер.
- Проверить обновления с помощью антивирусного ПО.
- Верифицировать хеш-суммы для каждого из полученных файлов.
- Проверить съемный носитель с помощью антивирусного ПО, в идеале — форматировать съемный носитель перед каждой записью обновлений на него.
- Записать обновления на съемный носитель.
- Защитить носитель от записи.
- Подключить съемный носитель в тестовую среду и убедиться в отсутствии негативных последствий.
- Проверить еще раз носитель на вирусы в тестовой среде.
- Установить обновления на резервных элементах АСУ ТП или на компьютерах, не выполняющих критичных функций, и убедиться в отсутствии негативного эффекта.
- Установить обновления на всех хостах.
- Мониторить на предмет любой неожиданной активности и нарушения нормальной работы технологического процесса.
Данный метод, называемый «ходячая сеть», рекомендуется для АСУ ТП с воздушным зазором, и, по мнению экспертов NCCIC, хоть и предполагает больше трудозатрат по сравнению с развертыванием цепи серверов обновлений, но не должен отнимать много времени при регулярных обновлениях. Второй предлагаемый метод — последовательная цепь серверов обновлений.
Основные сложности при обновлении состоят в контроле их целостности и верификации источника.
NCCIC предостерегает, что сервера обновлений могут быть скомпрометированы и использоваться для распространения вредоносного ПО, как, например, в ходе вредоносной кампании ZombieZero. Подчеркивается, что CRC не является достаточным, требуется убедиться в соответствии хеш-сумм.
Во многом рекомендации покажутся знакомыми тем, кому приходилось сталкиваться с процедурами обновления антивирусного ПО на системах, аттестованных по требованиям безопасности информации. Процедура во многом обоснована, когда дело касается антивирусов американских вендоров: у них на сайтах до сих пор выкладываются обновления с контрольными суммами, а верифицировать сайт можно с помощью сертификата.
Получение обновлений с сайта Symantec: галерея
Для российских антивирусов такой возможности «ручного» обновления нет. Трудно сказать, чем вызвано нежелание публиковать обновления антивирусных баз, но загрузку обновлений автоматизировали, встроив верификацию источника и проверку целостности в функционал специального ПО, предназначенного для создания так называемых зеркал обновления.
На примере руководства по обновлению KICS можно убедиться, что процедура не противоречит руководству от NCCIC — с уточнением, что обновлений нет в открытом доступе, но загрузить их можно с помощью утилиты Kaspersky Update Utility, которая и автоматизирует верификацию источника обновлений и проверку хеш-сумм (или, возможно, электронной подписи). Также упрощается распространение на в тестовую среду и на определенные узлы за счет ПО Kaspersky Security Center, которое позволяет разбивать управляемые машины на группы. Аналогичные процедуры предусмотрены у других российских производителей антивирусного ПО.
В целом можно сказать, что процедура обновления в ПО российских производителей реализована строже и удобнее, чем того требуют рекомендации наших западных партнеров.