Безопасность и надежность для сетей ICS

Когда вы думаете о кибербезопасности, вам может прийти в голову фраза «это все о данных». Мы произносим такие высказывания, как «защитить конфиденциальные данные от посторонних глаз». И хотя это правда, что во многих случаях кибербезопасность сводится к защите данных, помимо этого специалисты по безопасности также знают, что кибер-«божественная триада» включает в себя конфиденциальность, целостность и доступность.

Все три элемента являются центральными в программах ИТ безопасности. Тем не менее, если толчок наступает, и в системе обнаруживается вредоносное ПО или, например, злоумышленник скрывается в сети технической компании, первым ответом службы безопасности может быть: «Выключите его!»

Это может работать нормально для ИТ-безопасности, когда происходит инцидент (хотя не без последствий и раздражения со стороны не связанных с безопасностью руководителей), но когда мы говорим об ОТ - операционной технологии: аппаратном и программном обеспечении, которое отслеживает и контролирует работу физических устройств очень важна доступность. Для таких отраслей, как здравоохранение, коммунальные услуги, телекоммуникации, логистика и транспорт, хотя потеря данных - это плохо, потеря производительности и доступности - еще хуже. Если на энергетическую компанию нападают и записи клиентов теряются, это плохо. Но перебои в подаче электроэнергии миллионам клиентов на несколько часов (или дней, если инцидент достаточно серьезный) хуже. Кибератака на энергосистему Украины, хотя этот инцидент длился всего около часа, является признаком потенциального нападавшего.

Stuxnet, кибератака на иранский завод по обогащению урана в 2010 году, остается лучшим (или худшим, в зависимости от вашей точки зрения) примером того, что может произойти при атаке систем ОТ. Тем не менее, можно также посмотреть, как NotPetya в течение двух недель (и, по оценкам, 300 млн. Долл. США) уничтожила Maersk, глобальную компанию-перевозчик контейнеров, или как атака Shadow Brokers распространилась на более чем 75 стран, вызвав, например, сбои в работе британских больниц, вынуждая их прекратить прием пациентов и переносить операции по спасению жизни.

Управление конвергентной сетью IT / OT

Конвергенция ОТ и ИТ создает серьезные риски и вопросы о том, как действовать. Учитывая, как часто операционные технологии внедряются в ИТ-инфраструктуру организаций сегодня, существует больше векторов угроз, чем когда-либо. Последствия кибератаки или даже невинной ошибки конфигурации в сети OT влияют больше, чем данные, как показано в примерах выше.

Это миссия, против которой работает 5-летняя охранная система систем промышленного контроля (ICS) Indegy. Indegy помогает защищать промышленные сети посредством видимости активов, управления уязвимостями и контроля конфигурации. Старший директор по маркетингу Майкл Ротшильд и директор по маркетингу Джо Скотто объяснили, что пакет Industrial Cybersecurity Control Suite можно развернуть как аппаратное обеспечение, виртуальное устройство или даже в облаке с помощью предложения CIRRUS, что делает компанию первым поставщиком безопасности ICS, предложившим облачный сервис. После установки датчики Indegy проверяют сеть на наличие устройств и соединений, позволяя им идентифицировать и контролировать OT во время связи. Ключом к возможностям Indegy является его патент на активное обнаружение киберугроз.

Пассивный мониторинг сам по себе не может обеспечить видимость критически важных систем, в которых нуждаются наши клиенты. Патент запрашивает исходный код с программируемых логических контроллеров в промышленных сетях, а затем сравнивает сообщаемый код с сохраненной базовой версией». Если два источника не совпадают, отправляется предупреждение, и оператор может предпринять действия. Чтобы включить активное обнаружение, это простое дополнение. Кроме того, решение может быть полностью подключено к облаку, что особенно привлекательно, когда развертывание дополнительного оборудования нецелесообразно, например, в больших распределенных площадках или в небольших клиентских средах.

Базовое поведение и деятельность

При работе в среде клиента Indegy просматривает трафик от OT, поведение устройств, сигнатуры устройств и целостность самих устройств на основе моделей встроенного программного обеспечения, серийных номеров, версий и исправлений. Эта технология также объединяет информацию об угрозах, полученную из Национальной базы данных уязвимостей (NVD), ICS-CERT, Suricata и Indegy Labs, так что известные угрозы можно быстро идентифицировать и предупреждать о них. Кроме того, Indegy отслеживает и отслеживает изменения установленных контроллеров, предоставляя контрольный журнал и позволяя операторам проверять, что изменения были запланированы и выполнены уполномоченными операторами.

Благодаря информации, собранной с помощью вышеуказанных процессов, Indegy не только сообщает о том, как, когда и с чем OT обменивается информацией в среде клиентов, но и, как и любой хороший инструмент кибербезопасности сегодня, предоставляет оценку рисков, которую операторы могут использовать для отслеживания прогресса со временем и сортировка критических оповещений.

Будущие челленджи

Конвергенция ИТ и OT дала командам кибербезопасности больший контроль над типами устройств, работающих в их сетях, как они настроены, как и когда они общаются, и возникают ли какие-либо проблемы. Тем не менее, сети ОТ ставят свои собственные проблемы сверх традиционной ИТ-сети: сети ОТ не обязательно согласованы; устройства могут находиться вне диапазона, они могут быть грязной мешаниной с технологией, а устройства могут иметь воздушный зазор из соображений безопасности. Кроме того, активы OT не похожи на традиционные ИТ-активы с точки зрения сети, и системы могут быть устаревшими, не имея каких-либо вариантов исправлений.

Платформа Indegy (которая интегрируется со сторонними инструментами, такими как NG Firewalls и SIEM) может прямо сейчас решить некоторые из этих проблем и обеспечить улучшенную наглядность, мониторинг, оповещение и отчетность по взаимодействующим ресурсам в конвергентных средах ИТ / ОТ клиентов.

Более сложная задача, которая позволяет операторам ICS работать по ночам, заключается в поиске неизвестных в сети сигналов, подобных Stuxnet, которые могут нанести физический ущерб, создать угрозу для людей или помешать нормальной работе критически важных служб. Без активной связи устройства OT остаются неизвестными и неуправляемыми и очень рискованными.

Indegy помогает обнаруживать известные и неактивные устройства, а благодаря предложению CIRRUS проигрыватели ICS малых и средних размеров теперь могут управлять своей средой. Если вы управляете сетью OT, большой или маленькой, я рекомендую вам оценить, как Indegy может помочь вам обуздать риски от неуправляемых, незащищенных систем. Нетрудно представить, что атаки на критически важную инфраструктуру станут более распространенными в будущем; некоторые скептики могут сказать, что вероятнее всего злоумышленники находятся внутри ваших сетей. Не лучше ли использовать такой инструмент, как Indegy, для поиска вторжений и событий до того, как они повлияют на ваши операции?

Softprom - Vallue Added Distributor компании Indegy