Porady dotyczące cyberbezpieczeństwa sieci przemysłowych

Fot. Brett Sayles

Producenci i firmy zajmujące się automatyką przemysłową stawiają cyberbezpieczeństwo na pierwszym miejscu. Wiedza o tym, od czego zacząć i na co położyć nacisk, może być wyzwaniem. Przedstawiamy kilka wskazówek, które pomogą poprawić cyberbezpieczeństwo sieci przemysłowych.


Informacje na temat cyberbezpieczeństwa

Istnieje większe ryzyko ataku cybernetycznego na cele związane z technologią operacyjną (OT), ponieważ maszyny stają się zintegrowane z systemami informatycznymi (IT).

 

Konsultacje z ekspertami merytorycznymi (MŚP) i integratorami systemów, którzy posiadają wiedzę na ten temat, mogą pomóc w wyjaśnieniu wyjątkowych sytuacji.

 

Producenci i firmy zajmujące się automatyką przemysłową muszą zachować czujność i uważać na potencjalne ataki cybernetyczne.


Producenci i firmy zajmujące się automatyką przemysłową stawiają cyberbezpieczeństwo na pierwszym miejscu. Rozwój Przemysłu 4.0 i Przemysłowego Internetu Rzeczy (IIoT) sprawia, że gromadzenie informacji o operacjach i potencjale zakładu jest łatwiejsze niż kiedykolwiek. Problem polega na tym, że rośnie również potencjał cyberataków. Dla tych firm wiedza o tym, od czego zacząć i na co zwrócić uwagę w zakresie cyberbezpieczeństwa, może być wyzwaniem. Przedstawiamy spostrzeżenia integratora systemów na temat ochrony cyberbezpieczeństwa oraz wskazówki, w jaki sposób producenci i inżynierowie mogą lepiej chronić siebie i sieci przemysłowe.

Jak powszechne są sieci przemysłowe jako środek wejścia dla włamań cyberbezpieczeństwa? Jak można zmniejszyć ryzyko?

Wraz z szybką konwergencją technologii informatycznych (IT) i operacyjnych (OT) systemy automatyki i sterowania na praktycznie wszystkich rynkach przemysłowych i segmentach rynku stają się coraz bardziej podatne na cyberataki. Włamania do sieci pochodzą zarówno z góry, jak i z dołu. Producenci powinni monitorować swoje sieci lub zlecać monitorowanie sieci 24/7/365.

Rewolucja przemysłowa 4.0 i Przemysłowy Internet Rzeczy umożliwiają korzystanie z większej liczby połączonych urządzeń i stosów technologii oprogramowania od hali produkcyjnej po najwyższe piętro. Producenci muszą być w stanie identyfikować i szybko usuwać wszelkie cyberzagrożenia, które mogłyby naruszyć ciągłość działania sieci zakładu/obiektu. Bez względu na to, czy producent wdrożył tradycyjne sieci modelu Purdue z połowy lat 80-tych, czy też przyjął najnowszą ujednoliconą przestrzeń nazw cyfrowo przekształconej organizacji, proszę nigdy nie odrywać wzroku od sieci.

Alternatywnym podejściem do zabezpieczania sieci jest wykorzystanie modeli uczenia maszynowego do wykrywania nieprawidłowych zachowań. Zamiast ograniczać łączność, co utrudnia gromadzenie danych z hali produkcyjnej, korzystanie z usługi monitorowania ruchu na kablu umożliwia udostępnianie danych w całym przedsiębiorstwie.

Istnieje wiele firm oferujących tę usługę, które działają zarówno w chmurze, jak i lokalnie. W przypadku wykrycia anomalii wysyła ona alert wraz z oceną zagrożenia do osób odpowiedzialnych za bezpieczeństwo w celu zbadania sprawy. Jeśli istnieje problem, zakład może odpowiednio zareagować. Jeśli nie, wynik jest wykorzystywany do zwiększenia możliwości algorytmu uczenia maszynowego.

Jednym ze współczesnych wyzwań dla administratorów bezpieczeństwa zarówno IT, jak i OT jest powszechność ruchu szyfrowanego.  Sprawia to, że inspekcja ruchu na najgłębszych poziomach jest znacznie trudniejsza, zwłaszcza przez urządzenia pośredniczące, takie jak zapory ogniowe, które klasycznie polegały na głębokiej inspekcji pakietów niezaszyfrowanego ruchu w celu podejmowania szczegółowych decyzji dotyczących dopuszczalności ruchu sieciowego.

Teraz, gdy większość ruchu poza sieciami OT jest szyfrowana (w tym ruch wykorzystywany przez podmioty stanowiące zagrożenie do ustanowienia przyczółków w systemach IT/OT), widoczność warstwy aplikacji, którą kiedyś miały zapory sieciowe w ruchu północ/południe (ruch wychodzący lub wchodzący do sieci OT) jest znacznie ograniczona.  Problem ten staje się coraz większym wyzwaniem, ponieważ sieci OT zaczynają wykorzystywać szyfrowane protokoły do transmisji danych do i z brzegu sieci OT.

Zapory sieciowe są nadal ważną częścią każdej strategii obrony w głąb.  Aby jednak uzyskać niezbędny wgląd w sieć w celu skutecznego wykonywania polityki bezpieczeństwa, a co za tym idzie, możliwość proaktywnego monitorowania ogólnego stanu sieci OT, potrzebne są rozwiązania dla punktów końcowych.  Pomysł polega na tym, że tam, gdzie to możliwe, dodanie klienta punktu końcowego, który egzekwuje politykę w każdym węźle sieci, zapewnia nam widoczność, ponieważ inspekcja jest wykonywana przed wysłaniem ruchu do sieci. Klienci punktów końcowych mogą znajdować się pomiędzy punktami końcowymi lub bezpośrednio na nich (w zależności od urządzenia sieciowego).

Dzięki inspekcji punktów końcowych i centralnemu silnikowi polityk wydającemu dyrektywy dla punktów końcowych, mamy środki do kontrolowania i monitorowania ruchu sieciowego i stanu urządzeń, nawet w przypadku korzystania z nowoczesnych protokołów, które są szyfrowane.

Dzięki tym technikom gromadzenia danych możliwe jest dodanie modeli uczenia maszynowego do wykrywania włamań. System może reagować, powiadamiając kluczowe osoby w zakładzie lub nawet ekspertów spoza OT, jeśli zakład nie ma dedykowanego inżyniera bezpieczeństwa OT. Widoczność jest kluczem do wczesnego wykrywania i powiadamiania. Bez dobrej widoczności uczenie maszynowe nie będzie miało wystarczającej ilości informacji, aby zapewnić znaczną ochronę.

Jeśli dojdzie do najgorszego, a wskaźniki kompromitacji zostaną potwierdzone, posiadanie dobrze opracowanego planu odzyskiwania danych ma kluczowe znaczenie. Najszybsze odzyskiwanie to takie, które zostało zaplanowane i przećwiczone.  Opracowanie takich planów to temat na osobny artykuł, ale w skrócie opisują one, jak przywrócić krytyczne komponenty za pomocą dowolnych środków, które mają sens w danym przypadku.  Kluczem jest to, że środki te są dostępne dzięki przygotowaniom wykonanym przed wystąpieniem incydentu.  Może to być wszystko, od wymiany sprzętu (zimne części zamienne), przez przywracanie ze znanych dobrych kopii zapasowych, po izolację kluczowych systemów.

Poza tradycyjnymi potrzebami w zakresie sieci przemysłowych istnieje coraz większa potrzeba komunikacji w ramach IIoT oraz inicjatyw Industry 4.0 i Smart Manufacturing. Jak można złagodzić te zagrożenia?

Te organizacje produkcyjne, które rozpoczynają lub planują swoją cyfrową transformację (I4.0), mają realną szansę na zabezpieczenie swoich systemów sieciowych zarówno dla starszych, jak i nowych urządzeń i systemów.

Wymaga to jednak wielu przemyśleń, przyszłościowego myślenia, dogłębnego zrozumienia technologii i architektur sieciowych z przeszłości, teraźniejszości i przyszłości oraz solidnego planowania. Po pierwsze, proszę zapoznać się z ruchem czwartej rewolucji przemysłowej oraz najnowszymi technologiami i architekturami sieci, które okazały się bezpieczne. Proszę zwrócić szczególną uwagę na te organizacje produkcyjne, które obniżyły ryzyko związane z sieciami przemysłowymi i szukać pomocy u członków społeczności integracji systemów z ugruntowaną i znaczącą praktyką w zakresie infrastruktury systemów produkcyjnych.

Wiele z naszych praktyk bezpieczeństwa sieciowego opiera się na starszej architekturze serwer-klient wykorzystującej metodę ankieta-odpowiedź do zbierania danych. W tych systemach serwer tworzy połączenie z klientem, które wymaga otwarcia portu sieciowego. Wprowadza to ryzyko.

Preferowanym podejściem jest zmiana tego modelu, w którym klient tworzy instancję połączenia z innym systemem. Podobnie jak w przypadku łączenia się z bezpiecznymi witrynami w celu wykonywania zadań takich jak bankowość, klient, taki jak brama przemysłowa, nawiązuje połączenie. Eliminuje to potrzebę otwierania portu do systemu o podwyższonym ryzyku. Jeśli wystąpi problem, urządzenie klienckie może po prostu rozłączyć się, zamykając połączenie.

Ryzyko można dodatkowo ograniczyć na kilka różnych sposobów. Wraz ze wzrostem potrzeby udostępniania informacji systemom spoza klasycznego środowiska OT, wzrasta również ryzyko narażenia. Kluczem do zmniejszenia ryzyka jest widoczność i zarządzanie udostępnianiem informacji.

Bezpieczny transport informacji jest jednym z aspektów zarządzania.  Szyfrowanie komunikacji, zwłaszcza podczas przechodzenia przez mniej zaufane sieci, pomaga zapewnić integralność i poufność informacji.

Protokół i infrastruktura modelu udostępniania informacji mogą mieć również znaczący wpływ na bezpieczeństwo. Protokoły takie jak MQTT używane w połączeniu z brokerem danych pozwalają na łatwiejsze poruszanie się po granicach bezpieczeństwa, w dużej mierze ze względu na fakt, że urządzenie generujące dane jest tym, które inicjuje komunikację.

W połączeniu z ujednoliconą przestrzenią nazw, dzięki której granularna kontrola może być utrzymywana przy użyciu ustrukturyzowanego, hierarchicznego modelu danych, umożliwia rozszerzenie metodologii najmniejszych uprawnień na każdy aspekt danych.

Jakie są najnowsze technologie i procesy zmniejszające ryzyko związane z sieciami przemysłowymi?

Przemysłowa strefa zdemilitaryzowana (IDMZ) w sieciach przemysłowych to warstwa bezpieczeństwa sieci pomiędzy sieciami IT/OT. Jest to bufor między nimi, który zapewnia, że żadna bezpośrednia komunikacja sieciowa nie jest dozwolona między tymi dwiema warstwami.

Usłyszą Państwo, jak mówi się o serwerach IDMZ, serwerach wirtualnych sieci prywatnych (VPN), zaporach ogniowych i urządzeniach zabezpieczających, przełącznikach, routerach itp. Najlepiej zapoznać się z technologiami brokerów i koncepcją sieciową ujednoliconej przestrzeni nazw.

Jedną z najpopularniejszych technologii pośrednictwa jest MQTT. Jest to lekki protokół przesyłania wiadomości, który został opracowany dla aplikacji SCADA pod koniec lat 90-tych. Chociaż na początku był stosowany głównie w aplikacjach nieprodukcyjnych, takich jak komunikatory telefoniczne, ostatnio stał się popularnym sposobem łączenia się z systemami hali produkcyjnej.

W aplikacjach brokerskich klient, nazywany urządzeniem, nawiązuje bezpieczne połączenie z serwerem, powszechnie nazywanym brokerem. Zamiast metody ankieta-odpowiedź w celu zebrania danych, urządzenie opublikuje wszelkie zmiany, gdy wystąpią. Nazywa się to raportowaniem przez wyjątek. Ta metoda jest nie tylko bezpieczniejsza, ale także wykorzystuje mniejszą przepustowość sieci.

Ujednolicona przestrzeń nazw sama w sobie polega bardziej na posiadaniu logicznego, dobrze ustrukturyzowanego pojedynczego źródła prawdy dla wszystkich danych. Jednak korzyścią z posiadania danych zorganizowanych i wykorzystywanych w taki sposób jest to, że znacznie łatwiej jest zarówno kontrolować, jak i zarządzać ich wykorzystaniem.  Zasady bezpieczeństwa o najniższych uprawnieniach mogą być nakładane na ujednoliconą przestrzeń nazw w sposób, który ma intuicyjny sens dla firmy (ponieważ ujednolicona przestrzeń nazw jest tworzona przy użyciu struktur biznesowych).  Powierzchnia ataku jest zmniejszona, gdy tylko ci, którzy potrzebują dostępu do informacji, mają taką możliwość.  Gdy jest to łatwe w utrzymaniu, ustanawiany jest zrównoważony model zarządzania danymi, a system pozostaje bezpieczniejszy niż w przypadku, gdyby zarządzanie danymi stało się chaotyczne.

Czy integratorzy systemów pomagają klientom zajmować się cyberbezpieczeństwem sieci przemysłowych, nawet jeśli nie jest to projekt związany z sieciami przemysłowymi?

Wielu integratorów systemów przemysłowych posiada obecnie pewien poziom wiedzy w zakresie architektury sieci i technologii, ale koncentruje się ona głównie na zabezpieczaniu warstwy OT, aż do IDMZ, o której wspomniałem wcześniej, ale nie wkracza na poziom 4 lub warstwę IT.

Ci integratorzy systemów, którzy koncentrują się na stosach rozwiązań i technologiach czwartej rewolucji przemysłowej, są dobrze zaznajomieni z całą siecią IT/OT i odpornością cyberbezpieczeństwa potrzebną do zabezpieczenia się przed najnowszymi zagrożeniami i złymi aktorami.

To powiedziawszy, te “zagrożenia” zmieniają się każdego dnia, a miliardy dolarów są wydawane rocznie na finansowanie i rozwój złych aktorów i najnowszych błędów na całym świecie.

Najlepszą strategią ograniczania zagrożeń dla cyberbezpieczeństwa jest stosowanie bezpiecznej technologii. Zamiast tradycyjnej architektury serwer-klient, która wymaga otwarcia portów, należy wdrożyć systemy, w których połączenie nawiązuje klient lub urządzenie. Strategia ta może być stosowana w całym przedsiębiorstwie.

Inną strategią jest wykorzystanie uczenia maszynowego do monitorowania sieci. Zbieranie większej ilości danych oznacza, że istnieje znacznie więcej urządzeń i połączeń. Wiąże się to z ryzykiem. Zamiast ograniczać przepływ informacji, usługi monitorowania będą śledzić ruch sieciowy i ostrzegać ludzi o wszelkich potencjalnych zagrożeniach.

Każdy projekt należy traktować jako część większej całości. Chociaż bieżące działania mogą nie obejmować cyberbezpieczeństwa sieci, bezpieczeństwo powinno być zawsze brane pod uwagę. Integratorzy mogą to ułatwić, stosując rozwiązania, które można rozszerzyć w przyszłości bez konieczności wprowadzania zmian lub zwiększania ryzyka.

Jaką rolę odgrywają szkolenia w ograniczaniu ryzyka związanego z cyberbezpieczeństwem przemysłowym poza technologiami?

Szkolenia mają ogromny wpływ na ograniczanie ryzyka związanego z cyberbezpieczeństwem przemysłowym. Dziś nie wiemy, czego nie wiemy i po prostu nie wystarczy robić to, co wiemy dziś, jeśli chodzi o cyberbezpieczeństwo. Prawdopodobnie, jeśli działają Państwo w taki sposób, to już mają Państwo kłopoty. Istnieje wiele możliwości szkoleniowych, zarówno płatnych, jak i bezpłatnych. Udemy, Coursera, NexGenT i CISA to tylko niektóre z nich.

To, co powszechnie określa się mianem konwergencji IT/OT, dotyczy bardziej strategii niż technologii. IT musi rozumieć technologię operacyjną. OT musi rozumieć sieci i związane z nimi zagrożenia. Podobnie jak w przypadku kultury bezpieczeństwa, należy ustanowić kulturę cyberbezpieczeństwa. Jest to obowiązek każdego. W tym celu każdy powinien przejść szkolenie na pewnym poziomie.

Operatorzy na hali produkcyjnej powinni przejść podstawowe szkolenie na temat sieci, sposobu ich działania i bezpieczeństwa. Powinno to być traktowane jako szkolenie w zakresie najlepszych praktyk.

Inżynierowie ds. kontroli powinni przejść szkolenie na poziomie średniozaawansowanym. Obejmuje to takie pojęcia jak segmentacja sieci, sieci VLAN i bezpieczne łączenie technologii. Należy rozważyć uzyskanie podstawowej certyfikacji. Zaleca się rozważenie ustanowienia łącznika OT z IT.

Duże przedsiębiorstwa powinny zatrudniać kilka osób posiadających certyfikaty IEC 62443. Istnieje wiele renomowanych organizacji, które zapewniają szkolenia i certyfikację.

Jakie zdroworozsądkowe zasady są potrzebne w sieciach przemysłowych?

Ponownie, producenci powinni monitorować swoje sieci lub zlecać monitorowanie sieci 24/7/365.

Najlepiej być na bieżąco z najnowszymi trendami i szkoleniami dotyczącymi złych aktorów i superbłędów, które tworzą każdego dnia.  Należy planować swoją pracę i realizować swój plan. Planowanie już dziś na przyszłość jest absolutną koniecznością, zwłaszcza jeśli chcą Państwo przyspieszyć swoją cyfrową transformację. Mapa drogowa najlepszych praktyk powinna obejmować następujące cztery aspekty:

1. Mapowanie sieci i analiza łączności. Mapowanie sieci pomaga pozostać w kontakcie z systemem w czasie rzeczywistym (najlepiej). Zapewnia duży obraz tego, co znajduje się w sieci i jak jest ona fizycznie połączona. W zależności od rodzaju oprogramowania i integracji z infrastrukturą fizyczną i logiczną, może zapewnić użytkownikom takie rzeczy, jak inwentaryzacja sieci i sposób podłączenia urządzeń sieciowych (do jakiego przełącznika i portu). Może również oferować widoczność aplikacji, zapewniając wgląd w czasie rzeczywistym w sposób komunikacji między urządzeniami. Muszą Państwo wiedzieć, co mają i jak jest to połączone, zanim będą mogli to chronić.

2. Proszę rozważyć zainstalowanie systemu zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM). SIEM to system, który zbiera informacje z monitorowanych węzłów w sieci. Zawiera logikę umożliwiającą podejmowanie dalszych działań, takich jak tworzenie powiadomień, gdy widzi skorelowane fragmenty informacji spełniające określone kryterium. SIEM jest jednym z narzędzi zapewniających wgląd w codzienne operacje systemu, szczególnie w przypadku konieczności korelacji zdarzeń w wielu punktach końcowych.

3. Proszę rozważyć narzędzia uwierzytelniania wieloskładnikowego (MFA) lub jakiś poziom struktury zerowego zaufania. Uwierzytelnianie wieloskładnikowe zwiększa trudność złych aktorów w podszywaniu się pod użytkownika. Wiele systemów zostaje naruszonych przy użyciu legalnych danych uwierzytelniających, które zostały skradzione, często najpierw od użytkownika o niższych uprawnieniach. Po ustanowieniu podstawowej łączności, podmiot stanowiący zagrożenie będzie następnie dążył do uzyskania podwyższonych uprawnień, aby zapewnić sobie autorytatywną pozycję.  Zwiększając trudność wykorzystania skradzionych danych uwierzytelniających, można ograniczyć tego typu ataki.

4. Proszę zbadać i wybrać odpowiednie narzędzia zdalnego dostępu. Właściwe narzędzie/rozwiązanie zdalnego dostępu będzie miało następujące możliwości:

  • Silne rejestrowanie,
  • Uwierzytelnianie wieloskładnikowe,
  • Ścisła kontrola dostępu (kto może się łączyć, z czym, kiedy może się łączyć, skąd może się łączyć itp.),
  • Szyfrowana komunikacja,
  • Zarządzanie środowiskiem (zdalny użytkownik nie powinien być zależny od niczego, co znajduje się na urządzeniu, którego używa do zainicjowania zdalnego połączenia w celu wykonania zadań). Wszystkie potrzebne narzędzia powinny być kontrolowane i znajdować się w systemie sterowania, z wyjątkiem samego klienta połączenia.

W jaki sposób ludzie powinni otrzymywać aktualizacje dotyczące luk w zabezpieczeniach urządzeń sieciowych związanych z cyberbezpieczeństwem przemysłowym?

CISA to dobry początek. Ich National Cyber Awareness System jest na bieżąco aktualizowany. Kilka innych obejmuje stronę internetową alertów US-CERT i listę wspólnych luk w zabezpieczeniach (CVE) Mitre Corp.

Zanim coś trafi do wiadomości, może być już za późno. Jakie są najnowsze zagrożenia? W jaki sposób osoby odpowiedzialne za przemysł mogą być na bieżąco?

Proszę wziąć pod uwagę dzisiejsze punkty dyskusji, zachować czujność w odniesieniu do sieci IT/OT i zrozumieć, że cyberbezpieczeństwo jest najważniejszą częścią firmy, poza zatrudnianymi pracownikami. Może ono przyczynić się do sukcesu lub upadku firmy.


Jim Mansfield jest starszym menedżerem w Matrix Technologies