Предисловие Dragos фокусируется на вооружении организации ресурсами, необходимыми для комплексной сетевой безопасности. Поведенческая аналитика и плейбуки развертываются и регулярно обновляются вместе со встроенной системой управления делами, чтобы помочь организациям оптимизировать ресурсы и работать так, как если бы у каждого была старшая, выделенная команда сетевой безопасности. NaturEner, производитель возобновляемой энергии, внедрила платформу Dragos в июле 2017 года на свои узлы в каждой ветряной электростанции и центральный узел мониторинга в ее штаб-квартире в Сан-Франциско. Платформа Dragos теперь контролирует все сети ветропарков и системы энергоменеджмента (EMS).

Мы сразу увидели ценность внедрения, поскольку платформа подробно показала нам, что и как работает во всех сетях. Это была известная информация о сети EMS, но мы не проводили сканирование инвентаризации в сетях ICS ветропарка.

Проблемы и решения
Сети промышленной системы управления (ICS) уникальны по топологии, дизайну и рабочему процессу. Каждый сектор ICS предъявляет особые требования, создающие уникальные последствия для безопасности. Видимость сети и поведения хоста имеют решающее значение для определения требуемой защиты и обнаружения вторжений. Эти проблемы не являются уникальными для NaturEner, возобновляемых источников энергии или даже сетей ICS и заслуживают рассмотрения другими лицами, стремящимися улучшить свое состояние безопасности. Общие проблемы ICS • Конфигурация системы и подсистемы (уровень исправлений, лучшие практики и т. д) ограничена поставщиком и гарантией. • Распределенные сети затрудняют централизованный мониторинг. • Надежность и безопасность часто имеют приоритет над кибербезопасностью. Специфичные для ветровой энергетики задачи • Многие отдельные устройства должны быть постоянно обновлены (прошивки, конфигурации и т. д.), что является сложной задачей и требует много времени. • Каждый модуль также действует в качестве мини-подстанции, вносящей дополнительную сложность. • Часто отсутствуют вторичные или третичные системы мониторинга для защитных отключений и мониторинга. • Обычно используются несколько внешних удаленных подключений (поставщик турбины, сторонние службы и т. д.).

Со временем, когда мы проверили инфраструктуру и узнали, как работают наши устройства, мы лучше понимаем, что происходит в нашей сети. Обладая этими знаниями и набором инструментов платформы Dragos, мы сами находим проблемы, вторжения и неправильно настроенные устройства, тем самым увеличивая нашу безопасность в организации.

Решения Управление устройствами
Устройства поставщика, особенно те, которые используются для ветровых активов, используются для мониторинга и выполнения действий (таких как сброс турбины). Эти устройства взаимодействуют с активами компании в сети ICS как часть их гарантийного обслуживания. Для непрерывной работы сети NaturEner и гарантийных обязательств требуются устройства этих поставщиков. Улучшения в аутентификации пользователей или процессов на устройствах требуют поддержки со стороны внешних поставщиков. Платформа Dragos пассивно контролирует обмен данными между устройствами по сети. Этот трафик может быть организован в пользовательские сетевые зоны, как определено каждой организацией. Инвентаризация активов
Поскольку сети растут вместе с бизнесом, нередко теряется осведомленность об инвентаризации активов, поведении подсетей или о том, как данные перемещаются по сети. В этих ситуациях очень трудно идентифицировать и каталогизировать активы, нагрузку на трафик и поток информации. Управление активами осуществляется на платформе Dragos путем анализа трафика на предмет уникальной информации об источнике и месте назначения. Затем все устройства могут быть графически представлены и организованы на основе пользовательских зон, так что аналитики могут просматривать историю устройства, используемые протоколы и создавать оповещения для любого нового устройства, замеченного в сети. Ограниченные ресурсы, обширная сеть
Каждая организация сталкивается с ограниченными ресурсами. Кадровое обеспечение является наиболее важным компонентом защиты любой сети; тем не менее, рынок для опытных специалистов по кибербезопасности ICS является низким. Благодаря постоянному и пассивному мониторингу платформа Dragos обеспечивает видимость активов и сетевых коммуникаций на единой платформе для анализа. Кроме того, платформа Dragos предлагает плейбуки и управление делами, где аналитик может использовать опыт отрасли, а заметки можно отслеживать с помощью доказательственных файлов. Целью является окно для анализа данных, поэтому респонденты могут выполнять свои задачи, не переключаясь между несколькими инструментами или собирая данные из нескольких источников. Заключение
NaturEner использует 399 МВт энергии ветра для Северной Америки и расширяется в Альберту, Канада. NaturEner, как лидер в области устойчивых, совместимых, возобновляемых источников энергии, также занимается защитой своих активов и операций. Реализация платформы Dragos позволяет NaturEner отслеживать злоумышленников, оптимизировать внутренние ресурсы и принимать проактивные программы безопасности. NaturEner может и впредь сосредоточиться на производстве и доставке энергии, при этом будучи уверенным, что их инфраструктура защищена.

Вступление Электрическое коммунальное предприятие среднего размера в США, обслуживающее более миллиона клиентов, в начале 2018 года приняло решение использовать Dragos Industrial Cybersecurity Platform. Это коммунальное предприятие генерирует электроэнергию из низкосернистого угля, природного газа, ветряных и солнечных ферм. Dragos установили 16 датчиков на два центра данных коммунального предприятия для мониторинга связи в системе управления энергопотреблением (EMS) и демилитаризованной зоне (DMZ), четырех газовых электростанциях, двух угольных электростанциях, трех ветряных электростанциях и солнечных электростанции по всему региону. Вызовы,с которыми столкнулась компания включали в себя: • Недостаток видимости среды ICS и управления активам • Недостаток ресурсов для выделенной группы безопасности ICS • Отсутствие понимания специфических для OT угроз и способов реагировать на эти события Решения Недостаток видимости среды ICS и управления активами. Всесторонние возможности автоматического обнаружения активов Dragos Platform в сочетании с уникальными возможностями картирования и зонирования позволяют аналитикам этой утилиты получить всестороннее понимание своих активов, помимо простого понимания передаваемых протоколов, и дают им возможность видеть свои активы в виде карты. Аналитики могут быстро и автоматически упорядочить различные активы по пользовательским зонам, а также просмотреть историю конкретного устройства, последний раз увиденный протокол, используемые протоколы, включая глубокую проверку пакетов протоколов ICS, и создавать оповещения для любого нового устройства, замеченного в сети. Недостаток ресурсов для выделенной группы безопасности ICS.Чтобы справиться с этими проблемами, платформа Dragos предоставляет аналитикам этой утилиты знания ICS, характерные для нашей команды, чтобы они могли независимо функционировать, учиться у наших специалистов-практиков, имеющих многолетний практический опыт в области безопасности ICS, и полагаться на опыт нашей команды, чтобы дополнять свои возможности. Аналитика поведения угроз (характеристики тактики, техники и процедур противника) не привязана к элементарным элементам, таким как индикаторы или аномалии; они постоянно отслеживаются и обновляются нашей аналитической информацией об угрозах ICS, характеризуются аналитикой и передаются в платформу Dragos - поэтому, если распознается этот конкретный паттерн поведения противника, платформа Dragos предоставит аналитикам этой утилиты точное и быстрое уведомление о вредоносном ПО. деятельность. Это не только помогает масштабировать группу безопасности ICS этой утилиты с их ограниченными ресурсами, но и обеспечивает высокую степень уверенности при выявлении угроз в их среде. Отсутствие понимания специфических для OT угроз и способов реагировать на эти события. Первым шагом, который мы предприняли, чтобы решить эти проблемы, было обеспечение видимости противников ICS, нацеленных на отрасль ICS, особенно на электрические.  Каждый месяц наша разведывательная группа выпускает частные отчеты Intel через свою подписку WorldView, поэтому компании не только видят какие-либо угрозы или уязвимости, конкретно относящиеся к электроэнергетике, но и получают рекомендации по их выявлению и реагированию на них. Чтобы эффективно реагировать на угрозы в случае их возникновения, платформа Dragos предоставляет аналитикам этой утилиты уникальный пошаговый учебный пособие по расследованию в рабочей среде и инструменте управления делами, чтобы помочь в проведении расследований, сократить время задержки и предложить информацию от нашей команды как лучше расследовать инциденты. Учебные пособия по расследованию созданы нашей командой по работе с угрозами и содержат пошаговые инструкции для аналитиков этой утилиты, чтобы найти правильный (и эффективный) путь реагирования на потенциальные угрозы. Поскольку наша группа по работе с угрозами имеет непосредственный опыт поиска и реагирования на угрозы ICS, их руководство не только дополняет команду этой утилиты, но и помогает сократить время на действия и повышает эффективность их реагирования.