Integracja siłą bezpiecznego przemysłu

Większość osób odpowiedzialnych za bezpieczeństwo sieci przemysłowych doskonale zdaje sobie sprawę, że w obecnych czasach to konieczność. Na jakie wyzwania warto się przygotować? Odpowiedzi znajdziecie w artykule, przygotowanym przez ekspertów, na co dzień zajmujących się sieciami OT.

Z artykułu dowiesz się:

  • od czego zacząć i jak dobrze zaplanować bezpieczeństwo sieci
  • jak skutecznie zarządzać bezpieczeństwem

W ciągu ostatnich dwóch lat obserwujemy na rynku wzmożone zainteresowanie ochroną sieci przemysłowych. Wynika to między innymi z wprowadzonej ustawy o krajowym systemie cyberbezpieczeństwa oraz przyszłych aktualizacji, związanych z europejską dyrektywą NIS2. Choć ten drugi dokument wymaga wprowadzenia bezpieczeństwa do sieci przemysłowych to nie wskazuje na konkretne narzędzia, za pośrednictwem których miałoby to być realizowane.

Przeciwieństwem jest tu seria norm IEC62443, szczegółowo określających, jak zabezpieczyć przemysł. Mimo braku możliwości uzyskania certyfikacji, firmy coraz częściej podążają zgodnie z tymi wytycznymi i wdrażają rekomendacje w nich zawarte.

Bardzo pozytywnym zjawiskiem jest fakt, że klienci, którzy się do nas zgłaszają, w większości przypadków wiedzą już o potrzebie zapewnienia bezpieczeństwa swoich sieci przemysłowych. Jednak z uwagi na to, że zabezpieczanie sieci ICS (Industrial Control Systems) było do tej pory tematem tabu, nie jest dla nich do końca jasne, od czego zacząć. Do niedawna mówiono, że sieć ICS powinna być w pełni odizolowana (ang. air-gapped) od świata zewnętrznego. Dziś, w dobie transformacji cyfrowej, każdy ma świadomość, że te systemy coraz częściej łączą się ze światem IT. Zjawisko to określane jest mianem konwergencji OT i IT – wyjaśnia Artur Madejski, Product Manager Fortinet w Exclusive Networks Poland.

Pandemia wpłynęła również na zwiększenie zainteresowania pracą zdalną oraz ilość serwisów maszyn przez internet. W efekcie wiele elementów sieci ICS zaczęło łączyć się z siecią, czego dowodem jest duża ilość sterowników, dostępnych na publicznych adresach IP, w bazach takich jak Shodan czy Zoomeye. Jest to sytuacja wysoce niebezpieczna – sterowniki PLC to urządzenia z natury proste, często niezabezpieczone przed zaawansowanymi cyberatakami. Może to narazić ciągłość działania firmy, powodując zatrzymanie linii produkcyjnej lub też integralność sieci, w przypadku wykorzystania takiego sterownika do bardziej rozległego ataku.

Skuteczne zarządzanie bezpieczeństwem

Naturalnym więc wydaje się, że zapewnienie kontroli ruchu w sieciach przemysłowych jest jednym z najważniejszych etapów prowadzących do ich bezpieczeństwa. Można to osiągnąć na wiele sposobów.

Najważniejszym, ale też najtrudniejszym jest logiczne i granularne posegmentowanie takiej sieci. To też sugeruje norma IEC62443. Warto posługiwać się w tym przypadku modelem Purdue, stworzonym na potrzeby sieci przemysłowych, w którym każdy poziom charakteryzuje się innym typem komunikacji i obecnością różnego rodzaju urządzeń. Jednak w przypadku rozbudowanych sieci nie jest to ergonomiczne rozwiązanie – lepsze będzie podejście z wykorzystaniem wydzielonych stref (Zone) – segmentu zawierającego różne typy urządzeń, realizujących jeden lub kilka elementów procesu biznesowego.

W obu przypadkach świetnie sprawdzą się firewalle FortiGate, które występują także w wersji rugged (wzmocnionej). Są one przystosowane do pracy w trudnych warunkach, montowane na szynie DIN, zasilane z dostępnej w przemyśle sieci stałego napięcia. Zapewniają odpowiednią szczelność konstrukcji i zróżnicowane temperatury. Dodatkowym atutem jest też sprzętowe przetwarzanie ruchu, co generuje bardzo niskie opóźnienia. W połączeniu z FortiSwitch pozwala to na mikrosegmentację. Dzięki temu komunikacja każdego z urządzeń jest rejestrowana i może zostać poddana analizie silników wykrywania zagrożeń. Nawet jeżeli nic aktywnie nie będzie blokowane to rozpoznawanie zagrożeń (m.in. komunikacja spoza segmentu sieci czy wykrycie wykorzystania podatności sterownika) pozwoli zareagować odpowiednim zespołom ds. cyberbezpieczeństwa i automatyków – dodaje Artur Madejski.

 

Segmentacja i co dalej?

Segmentacja pozwala na odseparowanie kluczowych elementów, ale także zapewnienie widoczności ruchu pomiędzy strefami. Niestety nie jest to wystarczające rozwiązanie, dlatego sugerujemy klientom stosowanie pasywnych rozwiązań IDS, zależnych od posiadanej infrastruktury – takich jak np. Nozomi Guardian lub Tenable OT Security.

Rozwiązania te gwarantują pełną widoczność zarówno ruchu północ-południe, jak i wschód-zachód, nawet pomiędzy poszczególnymi końcówkami sieci przemysłowej. Umożliwiają także sprawdzenie, jakie funkcje i zmienne są między urządzeniami wymieniane. Dzięki wykorzystaniu modeli uczenia maszynowego pozwalają one również na szybkie i skuteczne wykrywanie anomalii w sieciach przemysłowych. Dodatkowo dzięki pracy na kopii ruchu ich wdrożenie jest relatywnie proste. Atutem jest też fakt, że urządzenia te nie powodują opóźnień lub przerw w komunikacji, co jest szczególnie istotne w infrastrukturze przemysłowej. Należy jednak pamiętać, że takie rozwiązania nie będą w stanie proaktywnie odpierać prób ataków i usuwać anomalii. Dlatego proponujemy klientom integracje Guardiana z FortiGate, w celu dynamicznego tworzenia polityk – tłumaczy Artur Madejski.

Coraz więcej przedsiębiorstw decyduje się przyznawać zdalny dostęp firmom serwisującym automatykę. W tym wypadku kluczowe jest więc stosowanie systemów zapewniających kontrolę nad tym dostępem. Naszym klientom proponujemy rozwiązanie polegające na integracji rozwiązania FortiClient (agent VPN z funkcjonalnościami antywirusa, tagowania stacji oraz centralnego zarządzania) z nowym produktem FortiPAM (narzędzie do zarządzania poświadczeniami i dostępem do zasobów firmowych). Dzięki mechanizmowi ZTNA dostępnemu na FortiClient możemy jasno zweryfikować, kto i z jakiego urządzenia łączy się z danym systemem. FortiPAM z kolei pozwala na zapewnienie izolowanego dostępu do stacji inżynierskich oraz nagrywanie sesji, co może być później wykorzystane jako dowód lub element szkoleniowy.

Tego typu systemy cieszą się zainteresowaniem osób odpowiedzialnych za nadzór i utrzymanie sieci OT. Choć rozwiązania do zarządzania dostępem uprzywilejowanym nie są nowością w IT, to w ICS pozwalają rozwiązać wiele występujących obecnie problemów, związanych z uzyskiwaniem dostępu do konkretnych urządzeń przez podmioty zewnętrzne. Ponadto umożliwiają kontrolę nad wprowadzanymi zmianami – podsumowuje ekspert Exclusive Networks Poland.

Sprowadzić złego na złą drogę

Wiele firm obawia się ataku z wnętrza swojej sieci, ze stacji inżynierskiej lub z zainfekowanego komputera serwisanta. Systemy IDS i segmentacja dobrze sobie z tym radzą, jednak już na etapie faktycznego działania atakującego. Klientom sugerujemy często odwrócenie uwagi agresora od istotnych urządzeń, stosując pułapki dostępne w ramach rozwiązania FortiDeceptor. Dzięki szerokiemu spectrum takich pułapek (od sterowników PLC po systemy SAP czy kontrolery domeny) możemy skutecznie zwieść atakującego na te Decoye (wabiki, systemy, które naśladują elementy infrastruktury OT, ale jednocześnie analizują komunikację do nich i alarmują o nieprawidłowościach). Następnie po zdemaskowaniu jego działań, dzięki integracji z systemami firewall jesteśmy w stanie automatycznie dodać go do kwarantanny lub wydzielonego środowiska, w celu uniemożliwienia dalszych działań. W przypadku, gdy przedsiębiorstwo posiada więcej niż jedną lokalizację, dane o atakującym mogą być dystrybuowane do urządzeń w pozostałych lokalizacjach i w ten sposób przeciwdziałać potencjalnym atakom tego samego “aktora” w tych sieciach.

Monitoring i analityka optymalizowana pod przemysł

Zwieńczeniem takiego zintegrowanego systemu bezpieczeństwa powinien być mechanizm zbierania i korelacji logów. Do tego doskonale nadaje się system klasy SIEM, taki jak np. FortiSIEM, który ma przeznaczone do tego pulpity, zawierające informacje z systemów OT. Ciągłe kontrolowanie wielu konsol zarządzania może być uciążliwe, dlatego sugerujemy skonsolidowanie logów, również tych z części IT, w jednym miejscu. Umożliwi nam to łatwiejsze i skuteczniejsze analizowanie incydentów. Jest to szczególnie istotne pod kątem wcześniej wspomnianych regulacji, zawierających zapisy o konieczności raportowania incydentów do sektorowych CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Dział automatyki, dzięki stale aktualizowanym mechanizmom wykrywania podatności i znanych ataków na infrastrukturę OT, uzyskuje również skonsolidowaną informację na temat poziomu bezpieczeństwa w części przemysłowej.

Tak obrana ścieżka wymaga zaangażowania wielu zasobów związanych z utrzymaniem działania przedsiębiorstwa, ale w ostatecznym rozrachunku przynosi największe korzyści w zapewnieniu wielowarstwowego cyberbezpieczeństwa.

Skrócona wersja artykułu została opublikowana w ostatnim wydaniu IT Professional. Znajdziesz go tutaj.

 

Chcesz dowiedzieć się więcej na temat oferty Fortineta dla przemysłu? 

Skontaktuj się z Arturem Madejskim – Product Manager Exclusive Networks Poland

artur.madejski@exclusive-networks.pl

+48 609 801 014