Всім відомо, що для ефективної боротьби з новими кіберзагрозами на пристрої завжди повинна бути найсвіжіша версія захисного рішення. Для офісних машин процес оновлення простий: вони підключені до Інтернету і отримують оновлення автоматично. Однак в мережах промислових підприємств системи, які потребують оновлення, можуть не мати постійного підключення або ж взагалі в режимі фізичної ізоляції. Як же підтримувати захисні рішення на цих системах в актуальному стані, не піддаючи ризику середу АСУ ТП? 
Ручна робота
Один з найпопулярніших способів - так званий sneakernet, або метод ручного перенесення: адміністратор викачує оновлення з сервера розробників захисного ПЗ на спеціально виділений для цього комп'ютер, записує файли на знімний носій і вручну копіює їх на кожен пристрій. Цей метод не вимагає прямого з'єднання між сервером оновлень і кінцевими пристроями.
Головний недолік ручного методу в тому, що для того, щоб він був ефективним, адміністратори повинні проробляти цей фокус регулярно і правильно. А це трудомісткий процес, який забирає багато часу. Тому багато мереж АСУ ТП використовують рішення з застарілими сигнатурними базами. Ми постійно стикаємося з такими ситуаціями, коли проводимо оцінку захищеності АСУ ТП.
Метод ручного перенесення вимагає дисциплінованості виконавців. Крім того, для його коректного застосування, рішення, які захищають робочі станції, повинні підтримувати установку оновлень з знімних носіїв. Причому доведеться постійно вручну встановлювати оновлення для програм під усіма ОС, для систем управління і для мікропрошівок пристроїв. Щоб це працювало, потрібно недосяжний на поточний момент рівень співпраці між розробниками захисних рішень і творцями обладнання.
справжня кібербезпека
Набагато швидше і зручніше використовувати для оновлень централізований виділений сервер. Тому ми рекомендуємо вибрати захисне рішення для кінцевих пристроїв, яке може оновлюватися через єдиний локальний джерело.
Однак слід пам'ятати, що одного антивірусного движка недостатньо, щоб адекватно захистити все кінцеві пристрої в мережі АСУ ТП від сучасних кіберзагроз. Необхідний комплексний, багаторівневий підхід. Рішення не повинно покладатися тільки на антивірусні бази . У ньому повинні працювати і інші методи захисту: наприклад, система захисту від шифрування, яка може впоратися з атаками нових програм-вимагачів , технологія вайтлістінга , Система контролю пристроїв, що обмежує використання флешок і USB-модемів. Все це значно зміцнює захист системи в цілому і робить її менш залежною від оновлень.
У той же час захисне рішення повинно бути компактним і адаптованим для промислової середовища. Воно повинно бути протестовано з програмами для АСУ ТП, працювати зі старими ОС, що не споживати багато ресурсів, а також підтримувати локальне оновлення і такі режими захисту, як моніторинг процесів без втручання і блокування. Нарешті, гарне захисне рішення для промислових середовищ повинно вміти довго працювати без перезавантаження.
Для захисту технологічної мережі з усіма її пристроями і програмованими контролерами, для яких не існує окремих захисних рішень, необхідно використовувати інші методи. Тут ми рекомендуємо інструменти, які дозволять здійснювати моніторинг і настройку безпеки мережі і стежити за цілісністю логіки контролерів.
Важливо розуміти, що рішення для кінцевих пристроїв недостатньо, щоб впоратися з просунутою промислової атакою. Тільки спільне застосування засобів для виявлення аномалій в АСУ ТП і спеціалізованого захисного рішення для кінцевих пристроїв може забезпечити як захист від звичайних кіберзагроз, так і виявлення складних атак і несанкціонованих дій.
Треба сказати, над проблемою відновлення захисту в промислових мережах розмірковуємо не тільки ми. Не так давно наші колеги з NCCIC / ICS-CERT опублікували документ під назвою Recommended Practice: Updating Antivirus in an Industrial Control System, в якому можна знайти докладні поради для промислових підприємств за різними стратегіями поновлення антивірусів.
Як же підтримувати захисні рішення на цих системах в актуальному стані, не піддаючи ризику середу АСУ ТП?