Побољшање сајбер безбедности у системима ОТ (оперативна технологија) док се интегришу са ИТ мрежама

Како ОТ системи настављају да се интегришу са ИТ мрежама, производним компанијама су потребне робусније мере сајбер безбедности за ублажавање ризика.

Успон индустријског интернета ствари (ИИоТ) је несумњиво проширио повезаност са нивоа уређаја на облак, чиме је повећао површину напада аутоматизованих објеката. Док директне везе са облаком нуде убедљиве пословне предности, као што је даљинско праћење одржавања, праћење кључних индикатора учинка (КПИ) и оптимизација процеса, ове предности долазе по цену ослабљене безбедности. Стив Фалес, директор маркетинга у ОДВА, објашњава: „Ове нове везе могу дозволити лошим актерима да се инфилтрирају у индустријске мреже, подстичући повећан фокус на безбедносне концепте као што је Зеро Труст, који захтева валидацију пре повезивања са било којим уређајем. Поред тога, важност примене вишеструких безбедносни приступи за покривање свих делова мреже значајно су повећани“.

Концепт Зеро Труст претпоставља да је мрежа већ угрожена. То значи да свака веза, без обзира на порекло, мора бити валидирана, обезбеђујући само минималан приступ потребан за најкраће могуће време. Штавише, све комуникације морају бити безбедне. Да би кренуле ка нултом поверењу, компаније морају да шифрују комуникацију, да обезбеде приступ заснован на улозима, аутентификују крајње тачке и обезбеде да су комуникације заштићене од неовлашћеног приступа.

Поред усвајања Зеро Труст-а, Стив препоручује употребу вишеструких безбедносних метода као део стратегије одбране у дубини како би се осигурала безбедност индустријских контролних мрежа. Као део процесно оријентисаног холистичког приступа, физичка безбедност и обука запослених су одличне полазне тачке. Ово су две једноставне, али ефикасне методе за одвраћање лоших актера.

Имплементација моделирања претњи је још један суштински начин за разумевање рањивости мреже и формулисање планова реаговања. На основу тога, заштитни зидови засновани на прекидачима, дубока инспекција пакета, стављање на белу листу и друге заштите мреже ће бити постављене на уредан начин. Стив наставља: ​​„Ако је мрежа другог канала отворена због директне повезаности, такође је кључно заштитити слој уређаја. Пример заштите слоја уређаја је ЕтхерНет/ИП-ова ЦИП безбедност, која обезбеђује аутентификацију уређаја, идентитет, интегритет података, поверљивост, аутентикација корисника и примена политике ЦИП Сецурити такође нуди флексибилну заштиту кроз профиле који се могу применити на захтев на основу употребе. заштитне мере“.

Са све већим бројем аутоматизованих уређаја директно повезаних са облаком и изравнавањем мрежа, критична је безбедносна стратегија са добрим ресурсима и планирање. "Нова реалност је да ће се вероватно појавити рањивости, што ће довести до пораста безбедносног приступа Зеро Труст, који захтева валидацију за сваку везу и дозвољава само неопходан приступ. Једнако је важно запамтити да физичка безбедност, обука запослених и процес- засновани приступи могу понудити веома висок повраћај улагања." Стив сматра да се заштита мора спроводити на најнижим нивоима. Безбедност је кључни покретач повезивања аутоматизованих уређаја са облаком, што доводи до значајног повећања продуктивности, што га чини вредном инвестицијом за будуће индустријске операције.

Дизајнирање безбедности из темеља

Традиционално, индустријска предузећа су се ослањала на Пурдуе модел за креирање безбедних ОТ окружења сегментирањем физичких процеса, сензора, контрола надзора, операција и логистике. Међутим, као што смо чули, отвореније платформе сада стављају ОТ мрежну безбедност у оштрији фокус.

Мајкл Лестер, директор стратегије сајбер-безбедности, управљања и архитектуре у компанији Емерсон, каже: „Организације сада морају да размотре сајбер безбедност у фази пројектовања предњег дела и пројектовања пројеката система контроле – чинећи систем сигурним по дизајну. У прошлости, сајбер безбедност Одбрана је често додавана касније. Ово је скупље и мање ефикасно од инкорпорирања сајбер безбедности у пројекат од самог почетка.

Због тога, производне компаније сада морају да дизајнирају ОТ софтверске апликације из темеља, на основу принципа нултог поверења, да би креирале инхерентно безбедне фабрике по дизајну. Емерсонов главни технолошки директор, Петер Зорнио, верује да се постизање инхерентне фабричке безбедности по дизајну неће догодити преко ноћи; биће потребне године труда, само у потпуности реализован пошто се системски софтвер постепено ажурира да би укључио безбедносну архитектуру. Сваки пут када комуницира са другим софтвером, мораће да тражи аутентификацију и да поседује исправна права приступа подацима. Неки од најновијих производа компаније Емерсон већ укључују софтвер са инхерентном сигурношћу дизајна, али реално, може проћи 5 до 10 година пре него што сав софтвер у фабрикама може да подржи Зеро Труст. Међутим, када ово постане стварност, то ће бити коначно решење за питања сајбер безбедности.

Штавише, сајбер безбедност захтева више од саме технологије. Мајкл верује да сајбер безбедност такође захтева промене у понашању и култури. Цела организација треба да дубоко разуме зашто и како постићи сајбер безбедност, што је кључно за подстицање смислене промене понашања. Стога је изградња културе сајбер безбедности која укључује људе, процесе и технологију важна.

Јаче мере за заштиту ОТ система

Како ОТ системи настављају да се интегришу са ИТ мрежама, уводећи комуникационе протоколе засноване на Интернету као што је МКТТ и постојеће протоколе за пренос података као што су ХТТПС, ЦсЦАН и Модбус, површина напада се шири, доносећи нове векторе напада. Ово захтева скуп јачих мера сајбер безбедности за смањење ризика. Сеан Мацкеи, инжењер за сајбер безбедност у Хорнер Иреланд, предлаже следеће мере како би помогли инжењерима контроле да боље заштите своја ОТ окружења:

1. Разумети животну средину: Потпуно разуме ОТ инфраструктуру, укључујући индустријске системе управљања, СЦАДА, ПЛЦ-ове и друге међусобно повезане уређаје. Идентификујте потенцијалне рањивости документовањем имовине, мрежне архитектуре, протокола и комуникационих путева.
2. Процена ризика и попис имовине: Извршите детаљну процену ризика да бисте идентификовали критична средства и потенцијалне рањивости. Направите инвентар средстава, категоризујте системе на основу њихове критичности и процените повезане ризике. Дајте приоритет мерама безбедности на основу ове процене.
3. Сегментација мреже: Имплементирајте робусну сегментацију мреже, као што су ваздушни јазови, заштитни зидови за филтрирање и надгледање саобраћаја, и изоловање критичних система како би кључна ОТ средства била одвојена од некритичних система и екстерних мрежа. Ограничите утицај рањивости или напада тако што ћете их задржати у одређеним сегментима мреже и смањити површину напада.
4. Контрола приступа и аутентификација: Имплементирајте снажну контролу приступа и механизме аутентикације да бисте ограничили неовлашћени приступ ОТ системима. Вишефакторска аутентикација, контрола приступа заснована на улогама и принцип најмање привилегија треба да се примењују како би се осигурало да само овлашћено особље може да приступи критичним системима.
5. Патцх Манагемент: Развити и имплементирати стриктан процес управљања закрпама како би ОТ системи били ажурни са познатим рањивостима. Ово укључује ажурирања фирмвера и софтвера која се односе на било какве поправке рањивости за ПЛЦ/ХМИ. Дајте приоритет закрпама на основу критичности.
6. Мониторинг мреже и откривање упада: Примените робусне алате за праћење мреже и системе за откривање упада (ИДС) да бисте открили и одговорили на необичне активности у реалном времену. Пратите мрежни саобраћај, системске евиденције и обрасце понашања да бисте одмах идентификовали потенцијалне претње или кршења безбедности.
7. Ендпоинт Сецурити: Имплементирајте решења за заштиту крајњих тачака, као што су заштитни зидови, антивирусни софтвер и системи за спречавање упада, за сличне уређаје на истој мрежи, како бисте заштитили своје индустријске уређаје од малвера и неовлашћеног приступа.
8. Шифровање: Шифрујте податке и у преносу и у мировању да бисте спречили неовлашћено пресретање или неовлашћено мењање. Имплементирајте јаке протоколе за шифровање за мрежну комуникацију, као што је безбедност транспортног слоја (ТЛС), посебно када користите Кс.509 сертификате у МКТТ индустријама и шифрујте осетљиве податке ускладиштене на ОТ уређајима.
9. План реаговања на инциденте: Развити свеобухватан план реаговања на инциденте који описује процедуре за откривање, обуздавање и ублажавање инцидената сајбер безбедности. Дефинишите улоге и одговорности, успоставите комуникационе протоколе и спроводите редовне вежбе како бисте осигурали спремност за сајбер нападе.
10. Обука запослених и подизање свести: Обучите ОТ особље о најбољим праксама у области сајбер безбедности, укључујући препознавање покушаја пхисхинга, идентификацију сумњивих активности и реаговање на безбедносне инциденте. Негујте културу свести о сајбер безбедности, омогућавајући запосленима да активно учествују у заштити ОТ система.
11. Управљање ризиком добављача: Процена и управљање ризицима сајбер безбедности повезаним са независним добављачима и добављачима који пружају ОТ компоненте или услуге. Развити уговорне споразуме који предвиђају безбедносне захтеве и редовно ревидирати добављаче.
12. Усклађеност и регулаторни захтеви: Будите информисани о прописима специфичним за индустрију и стандардима усклађености који се односе на ОТ сајбер безбедност, као што су НИСТ СП 800-82 и ИСА/ИЕЦ 62443. Уверите се да су ОТ системи у складу са овим захтевима како бисте избегли правне и регулаторне последице и смањили ризик од ОТ-а кршења због лоше имплементације сајбер безбедности.

Обезбеђивање пуне заштите ОТ система

У ОТ окружењима, већина система је критична, што значи да сваки поремећај или компромис може имати далекосежне последице. Даниел Суковски, Глобал Бусинесс Девелопмент ИИОТ у компанији Паесслер, наглашава да с обзиром на улог, ефикасна заштита ОТ окружења никада није била важнија. Међутим, постизање овог циља никада није било изазовније. У међусобно повезаном и дигиталном свету, експоненцијални раст ИИОТ уређаја доводи до све сложенијих система. Раније изоловане ОТ мреже се сада отварају за повезивање нових система и уређаја из спољних извора, често широм региона. Иако ова повезаност нуди многе предности, она такође уводи значајне ризике.

Да би у потпуности заштитиле ОТ системе, компаније би требало да инвестирају у технологију праћења. Даниел предлаже: „Ефикасан систем за праћење са централизованом контролном таблом и могућностима упозорења може дати предузећима свеобухватнију слику. Може да консолидује податке са свих локација (ОТ окружења, ИИоТ сензори, жичане и бежичне мреже и традиционални ИТ уређаји и системи) под Једна заштитна платформа пружа свеобухватну видљивост, што је важније него икад јер сајбер криминалци настављају да се развијају и сазревају.

Штавише, компаније морају редовно да спроводе безбедносне ревизије и процене ризика својих оперативних система како би помогле у идентификацији рањивости. Ово би требало да укључује ризике безбедности информација, сајбер ризике и све уобичајене оперативне ризике ОТ. Други део изазова је стална обука за све релевантне запослене. Садржај обуке треба редовно ажурирати како би се осигурало да компаније раде у складу са најновијим смерницама и прописима. На пример, када предстојећа НИС2 Директива постане национални закон у свим државама чланицама ЕУ у октобру 2024. године, запослени треба да се постарају да они и њихово шире пословање остану у складу.

Директива НИС2 се надограђује на оригиналну НИС Директиву (НИСД) ажурирањем важећих закона ЕУ о сајбер безбедности. Његов циљ је да ојача безбедност ОТ, поједностави извештавање и створи доследна правила и казне широм ЕУ. Проширујући свој обим, НИС2 ће захтевати од више компанија и сектора за спровођење мера сајбер безбедности.

Кликните на линк испод да бисте прочитали више:

Представљамо шасију робота Рееман Моон Книгхт

Представљамо Фласх робота за доставу хране

Представљамо робота за испоруку у болницу за медицинске сестре