Poboljšanje kibernetičke sigurnosti u sistemima OT (operativna tehnologija) kako se integriraju s IT mrežama

Kako OT sistemi nastavljaju da se integrišu sa IT mrežama, proizvodnim kompanijama su potrebne robusnije mere sajber bezbednosti za ublažavanje rizika.

Uspon industrijskog interneta stvari (IIoT) je neosporno proširio povezanost sa nivoa uređaja na oblak, čime je povećana površina napada automatizovanih objekata. Dok direktne veze s oblakom nude uvjerljive poslovne prednosti, kao što je daljinsko praćenje održavanja, praćenje ključnih indikatora performansi (KPI) i optimizacija procesa, ove prednosti dolaze po cijenu oslabljene sigurnosti. Steve Fales, direktor marketinga u ODVA-i, objašnjava: "Ove nove veze mogu omogućiti lošim akterima da se infiltriraju u industrijske mreže, podstičući povećan fokus na sigurnosne koncepte kao što je Zero Trust, koji zahtijeva validaciju prije povezivanja na bilo koji uređaj. Osim toga, važnost implementacije višestrukih sigurnosni pristupi za pokrivanje svih dijelova mreže značajno su povećani."

Koncept Zero Trust pretpostavlja da je mreža već ugrožena. To znači da svaka veza, bez obzira na porijeklo, mora biti validirana, pružajući samo minimalan pristup potreban za najkraće moguće vrijeme. Štaviše, sve komunikacije moraju biti bezbedne. Da bi krenule ka nultom povjerenju, kompanije moraju šifrirati komunikaciju, obezbijediti pristup zasnovan na ulozima, autentifikovati krajnje tačke i osigurati da su komunikacije zaštićene od neovlaštenog pristupa.

Osim usvajanja Zero Trust-a, Steve preporučuje korištenje više sigurnosnih metoda kao dio strategije odbrane u dubini kako bi se osigurala sigurnost industrijskih kontrolnih mreža. Kao dio holističkog pristupa orijentiranog na procese, fizička sigurnost i obuka zaposlenika su odlične polazne tačke. Ovo su dvije jednostavne, ali efikasne metode za odvraćanje loših glumaca.

Implementacija modeliranja prijetnji je još jedan bitan način za razumijevanje ranjivosti mreže i formuliranje planova odgovora. Na osnovu toga, firewall bazirani na prekidačima, duboka inspekcija paketa, stavljanje na bijelu listu i druge zaštite mreže bit će postavljene na uredan način. Steve nastavlja: "Ako se mreža drugog kanala otvori zbog direktne povezanosti, također je ključno zaštititi sloj uređaja. Primjer zaštite sloja uređaja je EtherNet/IP-ova CIP Security, koja osigurava autentifikaciju uređaja, identitet, integritet podataka, povjerljivost, provjera autentičnosti korisnika i provedba politike CIP Security također nudi fleksibilnu zaštitu kroz profile koji se mogu implementirati na zahtjev na osnovu upotrebe. zaštitne mjere."

Uz sve veći broj automatiziranih uređaja direktno povezanih s oblakom i izravnavanje mreža, kritična je sigurnosna strategija sa dobrim resursima i planiranjem. "Nova realnost je da će se ranjivosti vjerovatno pojaviti, što će dovesti do porasta sigurnosnog pristupa Zero Trust, koji zahtijeva validaciju za svaku vezu i dozvoljava samo neophodan pristup. Jednako je važno zapamtiti da fizička sigurnost, obuka zaposlenika i proces- zasnovani pristupi mogu ponuditi vrlo visok povrat ulaganja." Steve smatra da zaštita mora biti implementirana na najnižim nivoima. Sigurnost je ključni pokretač povezivanja automatiziranih uređaja s oblakom, što dovodi do značajnog povećanja produktivnosti, što ga čini vrijednom investicijom za buduće industrijske operacije.

Dizajniranje sigurnosti iz temelja

Tradicionalno, industrijska preduzeća su se oslanjala na Purdue model za stvaranje sigurnih OT okruženja segmentiranjem fizičkih procesa, senzora, kontrola nadzora, operacija i logistike. Međutim, kao što smo čuli, otvorenije platforme sada stavljaju OT mrežnu sigurnost u fokus.

Michael Lester, direktor strategije za kibernetičku sigurnost, upravljanje i arhitekturu u Emersonu, kaže: "Organizacije sada moraju razmotriti kibernetičku sigurnost u fazi front-end inženjeringa i dizajna projekata kontrolnih sistema, čineći sistem sigurnim po dizajnu. U prošlosti, sajber sigurnost Odbrana je često dodavana kasnije. Ovo je skuplje i manje efikasno od inkorporiranja sajber sigurnosti u projekat od samog početka.

Stoga, proizvodne kompanije sada moraju dizajnirati OT softverske aplikacije iz temelja, zasnovane na principima Zero Trust, kako bi kreirale inherentno sigurne tvornice po dizajnu. Emersonov glavni tehnološki direktor, Peter Zornio, vjeruje da se postizanje inherentne tvorničke sigurnosti po dizajnu neće dogoditi preko noći; biće potrebne godine truda, koji se u potpunosti realizuje tek pošto se sistemski softver postepeno ažurira da bi uključio sigurnosnu arhitekturu. Svaki put kada komunicira s drugim softverom, morat će tražiti autentifikaciju i posjedovati ispravna prava pristupa podacima. Neki od najnovijih Emersonovih proizvoda već uključuju softver sa inherentnom sigurnošću dizajna, ali realno, može proći 5 do 10 godina prije nego što sav softver u tvornicama može podržati Zero Trust. Međutim, kada to postane stvarnost, to će biti konačno rješenje za pitanja kibernetičke sigurnosti.

Štaviše, sajber sigurnost zahtijeva više od same tehnologije. Michael vjeruje da sajber sigurnost također zahtijeva promjene u ponašanju i kulturi. Cijela organizacija treba duboko razumjeti zašto i kako postići sajber sigurnost, što je ključno za pokretanje smislene promjene ponašanja. Stoga je izgradnja kulture kibernetičke sigurnosti koja uključuje ljude, procese i tehnologiju važna.

Jače mjere za zaštitu OT sistema

Kako OT sistemi nastavljaju da se integrišu sa IT mrežama, uvodeći komunikacijske protokole zasnovane na Internetu kao što je MQTT i postojeće protokole za prenos podataka kao što su HTTPS, CsCAN i Modbus, površina napada se širi, donoseći nove vektore napada. To zahtijeva skup jačih mjera kibernetičke sigurnosti za smanjenje rizika. Sean Mackey, inženjer kibernetičke sigurnosti u Horner Ireland, predlaže sljedeće mjere kako bi pomogli inženjerima kontrole da bolje zaštite svoja OT okruženja:

1. Shvatite životnu sredinu: Potpuno razumjeti OT infrastrukturu, uključujući industrijske upravljačke sisteme, SCADA, PLC-ove i druge međusobno povezane uređaje. Identifikujte potencijalne ranjivosti dokumentovanjem imovine, mrežne arhitekture, protokola i puteva komunikacije.
2. Procjena rizika i popis imovine: Izvršite detaljnu procjenu rizika kako biste identifikovali kritična sredstva i potencijalne ranjivosti. Napravite inventar imovine, kategorizirajte sisteme na osnovu njihove kritičnosti i procijenite povezane rizike. Dajte prioritet sigurnosnim mjerama na osnovu ove procjene.
3. Segmentacija mreže: Implementirajte robusnu segmentaciju mreže, kao što su vazdušni jazovi, zaštitni zidovi za filtriranje i praćenje saobraćaja, i izolovanje kritičnih sistema kako bi ključna OT sredstva bila odvojena od nekritičnih sistema i eksternih mreža. Ograničite uticaj ranjivosti ili napada tako što ćete ih zadržati u određenim segmentima mreže i smanjiti površinu napada.
4. Kontrola pristupa i autentikacija: Implementirati snažnu kontrolu pristupa i mehanizme provjere autentičnosti kako bi se ograničio neovlašteni pristup OT sistemima. Višefaktorska autentikacija, kontrola pristupa zasnovana na ulogama i princip najmanjih privilegija treba da se primjene kako bi se osiguralo da samo ovlašteno osoblje može pristupiti kritičnim sistemima.
5. Patch Management: Razviti i implementirati strogi proces upravljanja zakrpama kako bi OT sistemi bili ažurni sa poznatim ranjivostima. Ovo uključuje ažuriranja firmvera i softvera koja se odnose na bilo kakve popravke ranjivosti za PLC/HMI. Dajte prioritet zakrpama na osnovu kritičnosti.
6. Monitoring mreže i otkrivanje upada: Uvedite robusne alate za praćenje mreže i sisteme za otkrivanje upada (IDS) kako biste otkrili i odgovorili na neobične aktivnosti u realnom vremenu. Nadgledajte mrežni promet, sistemske evidencije i obrasce ponašanja kako biste odmah identificirali potencijalne prijetnje ili kršenja sigurnosti.
7. Endpoint Security: Implementirajte rješenja za zaštitu krajnjih točaka, kao što su zaštitni zidovi, antivirusni softver i sistemi za sprječavanje upada, za slične uređaje na istoj mreži, kako biste zaštitili svoje industrijske uređaje od zlonamjernog softvera i neovlaštenog pristupa.
8. Enkripcija: Šifrirajte podatke u prijenosu iu mirovanju kako biste spriječili neovlašteno presretanje ili neovlašteno mijenjanje. Implementirajte jake protokole šifriranja za mrežnu komunikaciju, kao što je sigurnost transportnog sloja (TLS), posebno kada koristite X.509 certifikate u MQTT industrijama i šifrirajte osjetljive podatke pohranjene na OT uređajima.
9. Plan odgovora na incidente: Razviti sveobuhvatan plan reagovanja na incidente koji opisuje procedure za otkrivanje, obuzdavanje i ublažavanje incidenata u sajber sigurnosti. Definirajte uloge i odgovornosti, uspostavite komunikacijske protokole i provodite redovne vježbe kako biste osigurali spremnost za sajber napade.
10. Obuka i podizanje svijesti zaposlenih: Obučite OT osoblje o najboljim praksama u vezi sa sajber-bezbednošću, uključujući prepoznavanje pokušaja krađe identiteta, identifikaciju sumnjivih aktivnosti i reagovanje na bezbednosne incidente. Negujte kulturu svesti o sajber bezbednosti, omogućavajući zaposlenima da aktivno učestvuju u zaštiti OT sistema.
11. Upravljanje rizikom dobavljača: Procijenite i upravljajte rizicima kibernetičke sigurnosti povezanim sa dobavljačima i dobavljačima trećih strana koji pružaju OT komponente ili usluge. Razviti ugovorne sporazume koji predviđaju sigurnosne zahtjeve i redovno revidirati dobavljače.
12. Usklađenost i regulatorni zahtjevi: Budite informisani o industrijskim specifičnim propisima i standardima usklađenosti koji se odnose na OT kibernetičku sigurnost, kao što su NIST SP 800-82 i ISA/IEC 62443. Osigurajte da OT sistemi budu u skladu sa ovim zahtjevima kako biste izbjegli pravne i regulatorne posljedice i smanjili rizik od OT-a kršenja zbog loše implementacije sajber sigurnosti.

Osiguravanje pune zaštite OT sistema

U OT okruženjima većina sistema je kritična, što znači da svaki poremećaj ili kompromis može imati dalekosežne posljedice. Daniel Sukowski, Global Business Development IIOT u Paessleru, naglašava da s obzirom na uloge, efikasna zaštita OT okruženja nikada nije bila važnija. Međutim, postizanje ovog cilja nikada nije bilo izazovnije. U međusobno povezanom i digitalnom svijetu, eksponencijalni rast IIOT uređaja dovodi do sve složenijih sistema. Ranije izolovane OT mreže se sada otvaraju za povezivanje novih sistema i uređaja iz eksternih izvora, često širom regiona. Iako ova povezanost nudi mnoge prednosti, ona također uvodi značajne rizike.

Da bi u potpunosti zaštitile OT sisteme, kompanije bi trebalo da investiraju u tehnologiju praćenja. Daniel predlaže: "Efikasan sistem nadzora sa centralizovanom kontrolnom pločom i mogućnostima upozorenja može dati preduzećima sveobuhvatniju sliku. Može da konsoliduje podatke sa svih lokacija (OT okruženja, IIoT senzori, žičane i bežične mreže i tradicionalni IT uređaji i sistemi) pod Jedna zaštitna platforma pruža sveobuhvatnu vidljivost, što je važnije nego ikad jer sajber kriminalci nastavljaju da se razvijaju i sazrijevaju."

Štaviše, kompanije moraju redovno da provode bezbednosne revizije i procene rizika svojih operativnih sistema kako bi pomogle u identifikaciji ranjivosti. Ovo bi trebalo da uključuje rizike informacione sigurnosti, sajber rizike i sve uobičajene operativne rizike OT. Drugi dio izazova je stalna obuka za sve relevantne zaposlene. Sadržaj obuke treba redovno ažurirati kako bi se osiguralo da kompanije rade u skladu sa najnovijim smjernicama i propisima. Na primer, kada predstojeća NIS2 Direktiva postane nacionalni zakon u svim zemljama članicama EU u oktobru 2024. godine, zaposleni treba da se postaraju da oni i njihovo šire poslovanje ostanu u skladu sa njima.

Direktiva NIS2 se nadograđuje na originalnu NIS Direktivu (NISD) ažuriranjem važećih zakona EU o sajber bezbednosti. Njegov cilj je ojačati sigurnost OT, pojednostaviti izvještavanje i stvoriti dosljedna pravila i kazne širom EU. Proširenjem svog delokruga, NIS2 će zahtevati više kompanija i sektora za sprovođenje mera sajber bezbednosti.

Molimo kliknite na link ispod da pročitate više:

Predstavljamo šasiju robota Reeman Moon Knight

Predstavljamo Flash robota za dostavu hrane

Predstavljamo robota za dostavu u bolnicu za medicinske sestre