Küberturvalisuse suurendamine OT (operatsioonitehnoloogia) süsteemides nende integreerimisel IT-võrkudega

Kuna OT-süsteemid integreeruvad jätkuvalt IT-võrkudega, vajavad tootmisettevõtted riskide maandamiseks tugevamaid küberturvalisuse meetmeid.

Tööstusliku asjade Interneti (IIoT) tõus on vaieldamatult laiendanud ühenduvust seadme tasemelt pilveni, suurendades seeläbi automatiseeritud rajatiste rünnakupinda. Kuigi otseühendused pilvega pakuvad kaalukaid ärieeliseid, nagu kaughoolduse jälgimine, võtmenäitajate (KPI) jälgimine ja protsesside optimeerimine, tulevad need eelised nõrgenenud turvalisuse hinnaga. ODVA turundusdirektor Steve Fales selgitab: "Need uued ühendused võivad lubada halbadel osalejatel tungida tööstusvõrkudesse, suurendades keskendumist sellistele turvakontseptsioonidele nagu Zero Trust, mis nõuab enne mis tahes seadmega ühenduse loomist valideerimist. Lisaks on mitme seadme kasutuselevõtt oluline. turvalisuse lähenemisviisid võrgu kõikide osade katmiseks on märkimisväärselt suurenenud.

Zero Trust kontseptsioon eeldab, et võrk on juba ohustatud. See tähendab, et iga ühendus, olenemata päritolust, tuleb valideerida, pakkudes vaid minimaalset juurdepääsu võimalikult lühikese aja jooksul. Lisaks peab kogu side olema turvaline. Nullusalduse suunas liikumiseks peavad ettevõtted side krüpteerima, pakkuma rollipõhist juurdepääsu, autentima lõpp-punkte ja tagama, et side on võltsimiskindel.

Lisaks Zero Trusti kasutuselevõtule soovitab Steve kasutada tööstuslike juhtimisvõrkude turvalisuse tagamiseks süvakaitsestrateegia osana mitmeid turbemeetodeid. Protsessile orienteeritud tervikliku lähenemise osana on füüsiline turvalisus ja töötajate koolitus suurepärased lähtekohad. Need on kaks lihtsat, kuid tõhusat meetodit halbade näitlejate peletamiseks.

Ohtude modelleerimise rakendamine on veel üks oluline viis võrgu haavatavuste mõistmiseks ja reageerimisplaanide koostamiseks. Selle põhjal juurutatakse korrapäraselt kommutaatoripõhised tulemüürid, sügav pakettide kontroll, valge nimekirja lisamine ja muud võrgukaitsed. Steve jätkab: "Kui otseühenduse tõttu avatakse teise kanali võrk, on samuti oluline kaitsta seadmekihti. Seadme kihi kaitse näiteks on EtherNet/IP CIP Security, mis tagab seadme autentimise, identiteedi, andmete terviklikkuse, konfidentsiaalsuse, Kasutaja autentimine ja poliitika jõustamine pakub ka paindlikku kaitset profiilide kaudu, mida saab vastavalt vajadusele rakendada, kuna võrgurünnakute käitumine ja meetodid arenevad pidevalt, on vaja regulaarselt üle vaadata ja üle vaadata turvastrateegiad, koolitused ja koolitused. kaitsemeetmed."

Seoses pilvega otse ühendatud automatiseeritud seadmete arvu suurenemisega ja võrkude ühtlustumisega on hästi varustatud ja planeeritud turbestrateegia ülioluline. "Uus reaalsus on see, et tõenäoliselt ilmnevad haavatavused, mis toovad kaasa nullikindluse turvalisuse lähenemisviisi, mis nõuab iga ühenduse valideerimist ja võimaldab ainult vajalikku juurdepääsu. Sama oluline on meeles pidada, et füüsiline turvalisus, töötajate koolitus ja protsessi põhinevad lähenemisviisid võivad pakkuda väga kõrget investeeringutasuvust." Steve usub, et kaitset tuleb rakendada kõige madalamal tasemel. Turvalisus on automatiseeritud seadmete pilvega ühendamise peamine tegur, mis toob kaasa märkimisväärse tootlikkuse kasvu, muutes selle väärtuslikuks investeeringuks tulevastes tööstustoimingutes.

Turvalisuse kujundamine algusest peale

Traditsiooniliselt on tööstusettevõtted tuginenud Purdue mudelile, et luua turvalisi OT-keskkondi, segmenteerides füüsilisi protsesse, andureid, jälgimise juhtelemente, toiminguid ja logistikat. Kuid nagu oleme kuulnud, toovad avatumad platvormid nüüd OT-võrgu turvalisuse teravamalt fookusesse.

Emersoni küberjulgeoleku strateegia, juhtimise ja arhitektuuri direktor Michael Lester ütleb: "Organisatsioonid peavad nüüd arvestama küberturvalisusega juhtimissüsteemide projektide esiotsa projekteerimise ja projekteerimise etapis, muutes süsteemi turvaliseks. Varem oli küberjulgeolek kaitsed lisati sageli hiljem. See on kulukam ja vähem tõhus kui küberturvalisuse lisamine projekti algusest peale.

Seetõttu peavad tootmisettevõtted nüüd nullist usalduse põhimõtetel põhinevad OT-tarkvararakendused nullist üles ehitama, et luua oma olemuselt turvalised tehased. Emersoni tehnoloogiadirektor Peter Zornio usub, et tehase loomupärase turvalisuse saavutamine projekteerimise teel ei toimu üleöö; See võtab aastaid pingutusi, seda saab täielikult realiseerida alles siis, kui süsteemitarkvara värskendatakse järk-järgult, et kaasata turbearhitektuur. Iga kord, kui see suhtleb teise tarkvaraga, peab see otsima autentimist ja omama õigeid andmetele juurdepääsu õigusi. Mõned Emersoni uusimad tooted sisaldavad juba oma disainiturbega tarkvara, kuid realistlikult võib kuluda 5–10 aastat, enne kui kogu tehastes olev tarkvara saab Zero Trusti toetada. Kui see aga reaalsuseks saab, on see küberjulgeolekuprobleemide ülim lahendus.

Veelgi enam, küberturvalisus nõuab enamat kui lihtsalt tehnoloogiat. Michael usub, et küberturvalisus nõuab ka muutusi käitumises ja kultuuris. Kogu organisatsioon peab sügavalt mõistma, miks ja kuidas saavutada küberturvalisus, mis on käitumise sisukaks muutmiseks ülioluline. Seetõttu on inimesi, protsesse ja tehnoloogiat hõlmava küberturvalisuse kultuuri ülesehitamine oluline.

Tugevamad meetmed OT-süsteemi kaitseks

Kuna OT-süsteemid jätkavad integreerumist IT-võrkudega, võttes kasutusele Interneti-põhised sideprotokollid, nagu MQTT, ja olemasolevad andmeedastusprotokollid, nagu HTTPS, CsCAN ja Modbus, laieneb ründepind, tuues kaasa uusi rünnakute vektoreid. See eeldab riskide vähendamiseks tugevamate küberjulgeolekumeetmete kogumit. Horner Irelandi küberturvalisuse insener Sean Mackey soovitab järgmisi meetmeid, et aidata kontrolliinseneridel oma OT-keskkonda paremini kaitsta.

1. Mõista keskkonda: mõistate täielikult OT infrastruktuuri, sealhulgas tööstuslikke juhtimissüsteeme, SCADA-sid, PLC-sid ja muid omavahel ühendatud seadmeid. Tehke kindlaks võimalikud haavatavused, dokumenteerides varad, võrguarhitektuuri, protokollid ja sideteed.
2. Riskianalüüs ja varade inventuur: viige läbi põhjalik riskianalüüs, et tuvastada kriitilised varad ja võimalikud haavatavused. Looge varade loend, kategoriseerige süsteemid nende kriitilisuse alusel ja hinnake seotud riske. Eelistage turvameetmed selle hinnangu põhjal.
3. Võrgu segmenteerimine: rakendage võrgu tugevat segmenteerimist, nagu õhuvahed, tulemüürid liikluse filtreerimiseks ja jälgimiseks ning kriitiliste süsteemide isoleerimine, et hoida peamised OT-varad lahus mittekriitilistest süsteemidest ja välisvõrkudest. Piirake haavatavuste või rünnakute mõju, hoides need teatud võrgusegmentides ja vähendades rünnaku pinda.
4. Juurdepääsu kontroll ja autentimine: Rakendage tugevaid juurdepääsukontrolli ja autentimismehhanisme, et piirata volitamata juurdepääsu OT-süsteemidele. Tuleks jõustada mitmefaktoriline autentimine, rollipõhine juurdepääsukontroll ja vähimate privileegide põhimõte tagamaks, et kriitilistele süsteemidele pääsevad ligi ainult volitatud töötajad.
5. Plaaster haldamine: töötage välja ja rakendage range paigahaldusprotsess, et hoida OT-süsteemid teadaolevate haavatavustega kursis. See hõlmab püsivara ja tarkvara värskendusi, mis on seotud PLC-de/HMI-de haavatavuse parandustega. Seadistage plaastrid prioriteediks kriitilisuse alusel.
6. Võrgu jälgimine ja sissetungimise tuvastamine: juurutage tugevad võrguseire tööriistad ja sissetungimise tuvastamise süsteemid (IDS), et tuvastada ebatavalisi tegevusi ja reageerida neile reaalajas. Jälgige võrguliiklust, süsteemiloge ja käitumismustreid, et tuvastada kiiresti võimalikud ohud või turvarikkumised.
7. Lõpp-punkti turvalisus: juurutage sama võrgu sarnaste seadmete jaoks lõpp-punkti kaitse lahendusi, nagu tulemüürid, viirusetõrjetarkvara ja sissetungimise vältimise süsteemid, et kaitsta oma tööstusseadmeid pahavara ja volitamata juurdepääsu eest.
8. Krüpteerimine: krüptige andmed nii edastamisel kui ka puhkeolekus, et vältida volitamata pealtkuulamist või rikkumist. Rakendage võrgusuhtluseks tugevaid krüpteerimisprotokolle, nagu transpordikihi turvalisus (TLS), eriti kui kasutate X.509 sertifikaate MQTT-ga rasketes tööstusharudes, ja krüpteerige OT-seadmetesse salvestatud tundlikud andmed.
9. Juhtumitele reageerimise plaan: Töötage välja põhjalik intsidentidele reageerimise plaan, mis kirjeldab küberjulgeolekuintsidentide tuvastamise, ohjeldamise ja leevendamise protseduure. Määratlege rollid ja kohustused, koostage suhtlusprotokollid ja viige läbi regulaarseid õppusi, et tagada valmisolek küberrünnakuteks.
10. Töötajate koolitus ja teadlikkus: koolitage OT töötajaid küberturvalisuse parimate tavade, sealhulgas andmepüügikatsete äratundmise, kahtlaste tegevuste tuvastamise ja turvaintsidentidele reageerimise kohta. Edendada küberturvalisuse teadlikkuse kultuuri, mis võimaldab töötajatel aktiivselt osaleda OT-süsteemide kaitsmises.
11. Müüja riskijuhtimine: hinnata ja hallata küberturvalisuse riske, mis on seotud OT komponente või teenuseid pakkuvate kolmandatest osapooltest tarnijatega. Töötage välja turvanõudeid sätestavad lepingulised kokkulepped ja auditeerige regulaarselt hankijaid.
12. Vastavus ja regulatiivsed nõuded: Olge kursis OT küberturvalisusega seotud tööstusharu spetsiifiliste eeskirjade ja vastavusstandarditega, nagu NIST SP 800-82 ja ISA/IEC 62443. Õiguslike ja regulatiivsete tagajärgede vältimiseks ja OT-riski minimeerimiseks veenduge, et OT-süsteemid vastavad neile nõuetele. kehvast küberturvalisuse rakendamisest tingitud rikkumisi.

OT-süsteemide täieliku kaitse tagamine

OT-keskkondades on enamik süsteeme kriitilised, mis tähendab, et mis tahes häiretel või kompromissidel võivad olla kaugeleulatuvad tagajärjed. Daniel Sukowski, Paessleri globaalse äriarenduse IIOT, rõhutab, et panuseid arvestades pole OT-keskkondade tõhus kaitsmine kunagi olnud olulisem. Selle eesmärgi saavutamine pole aga kunagi olnud keerulisem. Omavahel ühendatud ja digitaalses maailmas põhjustab IIOT-seadmete eksponentsiaalne kasv üha keerukamaid süsteeme. Varem isoleeritud OT-võrgud avatakse nüüd uute süsteemide ja seadmete ühendamiseks välistest allikatest, sageli piirkondade vahel. Kuigi see ühenduvus pakub palju eeliseid, toob see kaasa ka olulisi riske.

OT-süsteemide täielikuks kaitsmiseks peaksid ettevõtted investeerima seiretehnoloogiasse. Daniel soovitab: "Tõhus seiresüsteem koos tsentraliseeritud armatuurlaua ja hoiatusvõimalustega võib anda ettevõtetele terviklikuma pildi. See võib koondada andmeid kõigist asukohtadest (OT-keskkonnad, IIoT-andurid, traadiga ja traadita võrgud ning traditsioonilised IT-seadmed ja -süsteemid). Üks kaitseplatvorm pakub igakülgset nähtavust, mis on küberkurjategijate arenedes ja küpsedes olulisem kui kunagi varem.

Lisaks peavad ettevõtted regulaarselt läbi viima oma operatsioonisüsteemide turvaauditeid ja riskianalüüse, et aidata tuvastada nõrkusi. See peaks hõlmama infoturbe riske, küberriske ja kõiki tavalisi OT operatsiooniriske. Teine osa väljakutsest on jätkuv koolitus kõigile asjaomastele töötajatele. Koolituse sisu tuleks regulaarselt ajakohastada, et tagada ettevõtete tegutsemine viimaste juhiste ja eeskirjade kohaselt. Näiteks kui tulevane NIS2 direktiiv muutub 2024. aasta oktoobris kõigis EL-i liikmesriikides siseriiklikuks seaduseks, peavad töötajad tagama, et nad ja nende laiem äritegevus vastavad nõuetele.

NIS2 direktiiv põhineb esialgsel NIS-direktiivil (NISD), ajakohastades kehtivaid ELi küberjulgeoleku seadusi. Selle eesmärk on tugevdada OT-turvalisust, tõhustada aruandlust ning luua ühtsed eeskirjad ja karistused kogu ELis. Laiendades oma ulatust, nõuab NIS2 rohkem ettevõtteid ja sektoreid küberjulgeolekumeetmete rakendamiseks.

Lisateabe saamiseks klõpsake alloleval lingil:

Tutvustame Reeman Moon Knight roboti šassiid

Tutvustame Flash-toidu kohaletoimetamise robotit

Tutvustame õdede haigla kohaletoimetamise robotit