3ащита на критичната инфраструктура с усъвършенстван мониторинг на мрежи

Начало
3ащита на критичната инфраструктура с усъвършенстван мониторинг на мрежи
Zdravko Bodzhov
0

Увеличаването на киберзаплахите и атаките накара съвременните организации да се фокусират върху мониторинга на мрежите за ОТ, тъй като той се превърна в защитна линия срещу кибератаките. С нарастването на нивото на заплахите ролята на мониторинга в киберсигурността на OT (оперативни технологии) не може да бъде подценена. Ефективният мониторинг осигурява на организациите критична видимост на мрежовия трафик, за да откриват аномалии, признаци на кибератаки или повреди в оборудването. Това е още по-критично в средите за управление на процеси и ICS (индустриални системи за управление), тъй като тук отказите могат да бъдат катастрофални.

Усъвършенстваният мониторинг на мрежи за ОТ променя сигурността на ICS с използването на адаптивни инструменти като изкуствен интелект (AI) и машинно обучение (ML). Тези технологии създават поведенчески базисни линии, за да можете да откривате аномалии в реално време и да реагирате бързо на заплахите. Чрез непрекъснато учене и адаптиране системите, базирани на ИИ, подобряват точността на откриване на заплахи, намаляват фалшивите положителни резултати и осигуряват непрекъснатост на дейността.

Интелигентността на заплахите, съчетана с наблюдение на мрежи ОТ, добавя още защити. Проактивните мерки като прогнозен анализ и лов на заплахи ви позволяват да защитите по-добре средата си. Тъй като OT мрежите стават все по-атакувани от рансъмуер и държавно спонсорирани заплахи, планирането за бъдещето не може да се пренебрегва. Разходите за най-новите технологии за наблюдение, насърчаването на екипите по ИТ и ОТ да работят заедно и възприемането на култура, ориентирана към сигурността, ще бъдат рецептата за защита на критичната инфраструктура в свят на все повече свързани устройства.

Критична роля на мрежовия мониторинг в киберсигурността на ОТ

Industrial Cyber се обърна към експерти по индустриална киберсигурност, за да анализира как заплахите, насочени към OT мрежите, са се развили през последните години и каква е ролята на мрежовия мониторинг за намаляване на тези рискове.

Джефри Макре, архитект на решенията за индустриална сигурност в Darktrace, заяви пред Industrial Cyber, че заплахите, насочени към мрежите на ОТ, са се развили значително, като значително се е увеличил и броят на атаките, насочени от групи за напреднали постоянни заплахи (APT), които са станали по-сложни и по-опитни в своите атаки. „Освен това се появи създаването на модулни рамкови атаки, което позволява на нападателите да използват повторно тези рамки, за да се насочат към широк спектър от устройства на индустриалните системи за управление (ICS).“

Последните данни установиха, че появата на нов зловреден софтуер, свързан с OT/ICS, наред с продължаващото разпространение на групите за рансъмуер, насочени към уязвими отрасли, представлява все по-голяма заплаха за мрежите OT.

„Мониторингът на мрежите играе решаваща роля за намаляване на тези рискове, като осигурява непрекъсната видимост на мрежовите дейности, открива аномалии и дава възможност за бърза реакция на потенциални заплахи“, каза Макре. „Чрез наблюдение на мрежовия трафик и поведение организациите могат да идентифицират и да се справят със заплахите, преди те да са засегнали системите, като по този начин повишават цялостната сигурност на мрежите OT.“

„Основните тенденции в цифровата трансформация, като например интелигентното производство, машинният анализ, дистанционните операции и модернизацията на SCADA, промениха формата на OT мрежите от изолирани системи, защитени от въздушни въздействия, към динамични хибридни среди с повишена IT и облачна свързаност и санкциониран отдалечен достъп“, каза за Industrial Cyber Цианг Хуанг, вицепрезидент по управление на продуктите в Palo Alto Networks. „Тази промяна значително разшири повърхността за атаки на OT, като IIoT разби традиционните модели за сигурност като Purdue. В същото време противниците използват полиморфни атаки, управлявани от изкуствен интелект, които са по-бързи, по-широкомащабни и по-трудни за откриване.“

Тъй като тези заплахи се развиват, Хуанг добави, че мониторингът на мрежите и сигурността играе все по-важна роля за непрекъснатото разбиране на инвентара на активите на OT, моделите на комуникация и рисковете. „Въпреки това фрагментираните инструменти за сигурност и липсата на цялостно покритие все още създават слепи петна. Укрепването на възможностите за мониторинг на мрежата помага за преодоляване на тези пропуски, като подобрява видимостта в реално време, намалява риска и подобрява възможностите за реакция.“

Карлос Буено, главен технологичен директор за ОТ в Armis, заяви, че заплахите, насочени към мрежите за ОТ, са се развили значително през последните няколко години. „Исторически погледнато, мрежите OT, които управляват индустриални операции като производство и комунални услуги, бяха относително изолирани и работеха в силози, което ги правеше по-малко привлекателни цели за кибератаки. С възхода на индустриалния интернет на нещата (IIoT) и конвергенцията на OT с ИТ мрежите обаче уязвимостите станаха по-очевидни, което позволява на нападателите да експлоатират тези системи по-лесно.“

„Заплахите преминаха от базов зловреден софтуер към високоцелеви атаки, включително ransomware, Advanced Persistent Threats (APTs) и zero-day exploits, специално насочени към компрометиране на критичната инфраструктура“, каза Буено пред Industrial Cyber. „Нападателите вече използват по-сложни техники, като например социално инженерство и атаки по веригата на доставки, за да получат първоначален достъп до средите на ОТ. Освен това повишеното търсене на отдалечен достъп поради оперативни нужди допълнително излага OT мрежите на потенциални пробиви. В този контекст мониторингът на мрежите играе решаваща роля за намаляване на тези рискове.“

Той добави, че непрекъснатият мониторинг на мрежата позволява на екипите по OT и сигурността да откриват аномално поведение и уязвимости в реално време, което позволява бързи реакции на потенциални заплахи. Чрез използване на усъвършенствани анализи, изкуствен интелект (AI) и машинно обучение (ML) екипите по ОТ и сигурност могат да подобрят видимостта си в средите на ОТ, като идентифицират подозрителни дейности, които се отклоняват от установените базови стойности.

Даниел дос Сантос, ръководител на отдела за изследвания в областта на сигурността във Forescout, заяви пред Industrial Cyber, че това, което някога е било изключителна сфера на спонсорирани от държавата участници, използващи високотехнологичен зловреден софтуер, специфичен за ОТ (напр. Stuxnet, Industroyer, Triton), сега включва рансъмуер на киберпрестъпници и опортюнистични атаки от хактивисти и ботнети. „Въпреки че обемът на атаките се е увеличил, насочеността и сложността им са намалели.“

Той добави, че атаките почти винаги оставят следи – независимо дали по време на първоначалния достъп, страничното движение или въздействието – което прави наблюдението на мрежата от решаващо значение за защитата. „Признаците включват използване на известни уязвимости, идентифициране на шумен трафик от мрежови скенери, комуникация с подозрителни IP адреси, на които се намира C2 сървър, изпълнение на рискови актуализации на фърмуера и промяна на параметрите на процесите.“

Грант Гайер, главен стратегически директор на Claroty, заяви пред Industrial Cyber, че двете основни заплахи, които напоследък оказват влияние върху мрежите за ОТ, са спонсорирани от национални държави хакерски действия и ransomware, като всяка от тях използва различни методи с уникални цели. „И в двата случая мониторингът на мрежите и крайните точки може да послужи за предоставяне на индикации, че нападателят се опитва да проникне в средата. Тъй като TTP на видовете атаки се различават, от решаващо значение е да се създаде устойчив подход за мониторинг на сигурността, който използва различни източници на телеметрия и разузнавателни данни.“

Гайер добави: „този подход на хакер, който заобикаля отстрани кибернетичната трипситура, можете да го хванете с други методи за откриване на кибернетични атаки. Целта е да се създадат достатъчно много трипсвири, притискащи плочи и детектори за движение в цифровия свят, така че винаги да има някакво средство за откриване на аномалия и за действие по нея.“

Революция в сигурността на ICS с мониторинг на мрежи ОТ

Ръководителите разглеждат най-важните технологични постижения в областта на OT мрежовия мониторинг и проучват как тези иновации се справят със специфичните предизвикателства, пред които са изправени ICS средите.

Макре заяви, че един от най-забележителните постижения е прилагането на множество различни видове изкуствен интелект, включително контролирано и неконтролирано машинно обучение, за мониторинг на мрежи. „Тези техники драстично подобриха разбирането и моделирането на комуникациите на ICS устройствата, като помогнаха да се установи модел на нормална дейност. Това задълбочено разбиране позволява много точно откриване на аномалии, което дава възможност на организациите да предприемат проактивни мерки за спиране на аномалния мрежов трафик. В миналото целенасочените действия за реагиране са били предизвикателство за безопасно прилагане в мрежите за ОТ; с напредъка на ИИ обаче организациите от критичната инфраструктура вече могат бързо да идентифицират заплахите и да реагират уверено.“

Той добави, че тези иновации са от решаващо значение за оперативните процеси в индустриалните среди. Индустриалните системи отдавна са оборудвани с аварийни спирателни клапани и различни физически контроли за безопасност. „С помощта на ИИ сега разполагаме с подобни възможности за безопасност от гледна точка на киберсигурността, което гарантира надеждна защита на ICS.“

„Мониторингът на мрежата и сигурността, управляван от ИИ, трансформира видимостта на мрежата OT, справяйки се с ключови предизвикателства в ICS средите“, каза Хуанг. „Тези постижения подобряват откриването и идентифицирането на активи, анализират моделите на комуникация и откриват уязвимости и експозиции. Освен това те спомагат за идентифициране на поведенчески аномалии, отклонения от OT процеси и злонамерени дейности, осигурявайки цялостен подход за откриване на заплахи и сигурност.“

Хуанг отбеляза, че с нарастването на динамиката на OT мрежите непрекъснатият мониторинг е станал съществен отвъд традиционните статични инвентаризации и сегментиране на активите. „Все по-често тези възможности за мониторинг на сигурността се интегрират в основните платформи за сигурност, което позволява по-унифициран подход в ИТ и ОТ средите и по-активно намаляване на риска за защита на трудно поправимите уязвими OT активи. Възможността за проследяване на активността в реално време и откриване на аномалии намалява фалшивите положителни резултати и дава възможност за прогнозно откриване на заплахи, като облекчава тежестта върху операторите. Това е особено важно в средите на ICS, където компромисите със сигурността могат да застрашат целостта на данните, да нарушат операциите, да причинят финансови загуби и в най-лошия случай да застрашат безопасността на хората.“

Буенаньо заяви, че една от най-значимите иновации е възприемането на решения за мониторинг, базирани на облак, което позволява централизирана видимост и управление на разпределени OT среди. „Тези платформи не само осигуряват мащабируемост и гъвкавост, но и подобряват сътрудничеството между екипите, улеснявайки по-бързото реагиране на инциденти и подобрените стандарти за оперативна съвместимост, като например приемането на рамката Open Process Automation (OPA). Тази стандартизация позволява по-всеобхватни възможности за мониторинг, които могат да обобщават данни от различни източници, което води до по-информирано вземане на решения.“

Друга иновация, която допълва предишната, е интегрирането на AI и ML в инструментите за наблюдение на мрежата, което позволява откриване на аномалии и прогнозни анализи в реално време.

„Освен това разработването на усъвършенствани системи за откриване на заплахи и ранно предупреждение, които използват анализ, базиран на поведението, вместо традиционните методологии, базирани на сигнатури, позволява на тези инструменти адаптивно да се учат от поведението на мрежата, което ги прави по-ефективни срещу сложните киберзаплахи, които често са насочени към средите на ICS, особено в наследените системи и патентованите протоколи“, каза Буено. „И накрая, значителен напредък е прилагането на модели за сигурност с нулево доверие, което променя из основи начина, по който се управляват контролът на достъпа и идентичностите. Като приемат, че заплахите могат да произхождат както от вътрешността на организацията, така и извън нея, архитектурите с нулево доверие налагат строг контрол на достъпа и непрекъсната проверка, което е от решаващо значение за защитата на чувствителните мрежи OT от вътрешни заплахи и външни атаки.“

Дос Сантос заяви, че откриването на заплахи на базата на сигнатури и аномалии е минимумът за решенията за наблюдение на мрежи OT/ICS. Организациите трябва да използват допълнителни иновации, специфични за сигурността на ICS, включително разузнаване на заплахите за OT/ICS, което трябва да включва индикатори за компрометиране, списъци на експлоатирани уязвимости и информация за отстраняване на нередности. Тя може да бъде получена от собственици на активи, ISAC, изследователи по сигурността или доставчици.

Той допълни, че проактивното управление на риска чрез наблюдение на ОТ дава дълбока представа за риска на активите въз основа на конфигурациите, поведението и уязвимостите. Това подобрява конфигурациите за сигурност и времето за работа на OT/ICS. Откриването и анализът на инциденти, управлявани от изкуствен интелект, помагат да се съпоставят огромни количества данни в разбираеми прозрения, като насочват анализаторите на разследвания и намаляват риска.

Гайер спомена, че един от най-важните постижения е използването на машинно обучение, за да не се разглеждат OT активите като отделни „атоми“, а вместо това да се разглеждат активите, участващи в ключови критични бизнес процеси, като „молекули“. „Като разбират тези ключови зони, организациите могат да установят политики за това какъв трафик е нормален между зоните и да разследват всякакви отклонения от политиката. Това е още един набор от техники както за разбиране на това, което е най-критично, така и за наблюдение на мрежовия трафик, който може да представлява злонамерен трафик.“

 

Повишаване на сигурността на мрежите за ОТ с адаптивни технологии

Ръководителите разгледаха значението на създаването на поведенческа база за ефективно откриване на аномалии в мрежите с повишено напрежение и анализираха как адаптивните технологии, като изкуствен интелект и ML, подобряват този процес.

„Установяването на поведенческа база е от решаващо значение за откриването на аномалии в мрежите OT, тъй като позволява на организациите да разберат нормалните комуникационни модели на техните ICS“, каза Макре. „Научавайки какво представлява типичното поведение, организациите могат бързо да идентифицират отклоненията, които могат да показват потенциални заплахи, независимо дали става въпрос за външни или вътрешни атаки. Това разбиране дава възможност на организациите да реагират уверено на тези заплахи, без да нарушават работата или да рискуват да повредят скъпо оборудване и, най-важното, без да застрашават безопасността на служителите, които работят с тези системи.“

Той добави, че адаптивните технологии като AI и ML значително подобряват този процес. Те могат да дадат възможност за непрекъснато обучение и адаптиране на рутинните комуникации в средите на ICS. „AI/ML технологиите подобряват точността на откриване на аномалии, като намаляват фалшивите положителни резултати и осигуряват по-дълбоко разбиране на нормалното спрямо необичайното поведение. Това дава възможност за по-прецизни и навременни реакции на заплахите, като се гарантира защитата на критичната инфраструктура.“

„AI и ML все по-често се използват за идентифициране на устройства, базисно определяне на поведението и откриване на аномалии, което позволява откриването на сложни атаки в мрежите за ОТ“, каза Хуанг. „Много устройства от областта на IoT и OT проявяват предсказуемо поведение, поради което е от съществено значение да се установи базова линия на нормалната дейност. Чрез разбиране на общите модели на поведение решенията, базирани на ИИ, могат бързо да идентифицират аномалии, неправилни конфигурации или злонамерени събития, които могат да компрометират целостта на OT процесите. Тези технологии също така помагат на операторите да реагират по-бързо на заплахите, като същевременно се справят с недостига на умения в областта на киберсигурността.“

Буенаньо заяви, че установяването на ясно разбиране за нормалното поведение на ICS оборудването е от съществено значение за откриването на аномалии, които биха могли да означават кибератаки, неизправности в оборудването или неефективност. „Като анализират историческите данни, за да определят какво представлява нормалното функциониране, екипите по ОТ и сигурността могат да създадат база, която обхваща типичните модели на използване, комуникационните протоколи и оперативните показатели. Тази базова линия помага на специалистите по сигурността бързо да разграничат доброкачествените колебания от истинските заплахи.“

Въпреки това той добави, че динамичният характер на мрежите за ОТ, които често изпитват колебания поради промени в производствените процеси, графиците за поддръжка или неочаквани фактори на околната среда, изисква тези базови измервания да бъдат адаптивни. Именно тук влизат в действие адаптивните технологии като AI и ML; тези методологии подобряват разбирането на оперативното поведение и процесите на откриване на аномалии чрез автоматично обучение от текущите потоци от данни и непрекъснато актуализиране на поведенческите модели въз основа на информация в реално време.

Буено добави, че алгоритмите на AI/ML могат да обработват огромни количества данни по-ефективно от традиционните методи, като разпознават фини модели и корелации, които може да не са лесно забележими за човешките анализатори. „Тъй като тези алгоритми се учат както от нормални, така и от аномални събития, те стават все по-ефективни във филтрирането на шума от легитимните аномалии, което повишава тяхната точност и намалява фалшивите положителни резултати.“

„Базовите линии на поведение позволяват на защитниците да идентифицират необичайни и злонамерени дейности, като например промяна на фърмуера на програмируемите логически контролери (PLC) или на логическата стълба“, според дос Сантос. „Откриването на аномалии в ИТ мрежите е възможно, но ОТ мрежите имат по-малък достъп до непознати IP адреси и по-редовни модели на трафик, което улеснява установяването на базови линии. AI/ML помага за корелиране на данните, създавайки по-добри модели за „нормална“ мрежова активност. Моделите на GenAI също така помагат за опростяване на обясненията за това защо нещо е аномално при разследванията.“

Гайер каза, че едно от нещата, които са в полза на защитниците, е цикличният характер на комуникациите „машина-машина“ в средите на ОТ. „Това прави възможно установяването на базова линия и е от решаващо значение за откриването на аномалии в OT мрежите, за да могат организациите да правят разлика между нормални и подозрителни дейности. Постигането на тази базова линия изисква цялостно разбиране на откриването на активите, активността на потребителите, пътищата на свързаност и моделите на комуникация на активите в мрежата. Тази многоизмерна видимост е от ключово значение за определянето на това как изглежда „нормалното“ поведение.“

Той добави, че технологиите за изкуствен интелект и ML подобряват този процес, като непрекъснато анализират мрежовия трафик и поведението на потребителите, за да идентифицират отклоненията от установената базова линия. Тези технологии могат да откриват едва доловими промени, които биха могли да бъдат индикация за заплаха, което позволява по-точни и навременни реакции.

Интегриране на разузнаване на заплахите за проактивна OT сигурност

Ръководителите оценяват как интегрирането на разузнаването за външни заплахи в системите за наблюдение на ОТ позволява на организациите да преминат от реактивна към проактивна стратегия за сигурност.

Макре заяви, че интегрирането на разузнаването за външни заплахи в системите за наблюдение на ОТ значително подобрява способността на организацията да премине от реактивен към проактивен подход към сигурността. „Разузнаването на външните заплахи предоставя подробна информация за тактиките и техниките на заплахите, което помага на екипите да подобрят ситуационната си осведоменост. Чрез предварителното разбиране на потенциалните заплахи организациите могат да предвиждат и да се подготвят за атаки по-ефективно.“

„Подобрената ситуационна осведоменост също така подобрява възможностите за реагиране при инциденти, което позволява на организациите да реагират по-бързо и по-точно на потенциални заплахи“, според Макре. „Важно е обаче да се отбележи, че организациите могат да възприемат различни други подходи за подобряване на цялостната си позиция по отношение на сигурността, преди да интегрират разузнаване на заплахите. Тези основополагащи стъпки могат да окажат положително въздействие върху техните мерки за сигурност, което прави интегрирането на разузнаване на заплахите още по-ефективно, когато бъде приложено.“

Хуанг отбеляза, че това по същество дава възможност за стратегия за „защита, основана на информация за заплахите“, като измества фокуса от изчакване на атака към активно издирване и намаляване на заплахите преди това.

„Собствениците на активи могат да знаят предварително кои участници в заплахи и атаки са най-подходящи и активни в тяхната индустрия, което позволява по-добра мобилизация на SOC ресурсите за систематична оценка на наличието на заплахи в тяхната среда“, добави Хуанг. „Добрата информация идва и с насоки за смекчаване на последиците, така че организациите също така са в състояние да реагират по-добре и своевременно и дори да използват автоматизирани наръчници за сигурност за по-нататъшен анализ и ограничаване. Разбира се, навременното ограничаване е от първостепенно значение за управлението на риска, който в средите на ОТ може да ескалира много бързо и да застраши свързаните с него основни промишлени бизнес операции.“

Буенаньо уточни, че чрез включването на външна разузнавателна информация за заплахите организациите получават цялостна перспектива за пейзажа на заплахите, включително нововъзникващи уязвимости, тактики, техники и процедури, използвани от кибернетичните противници, насочени към OT инфраструктури. „Тези обогатени данни позволяват на екипите по OT и сигурността да предвиждат потенциални атаки, а не само да реагират на инциденти след тяхното възникване.“

Например, той добави, че чрез анализ на индикатори за компрометиране от външни източници, екипите по ОТ и сигурност могат да прецизират своите системи за мониторинг, за да открият специфична злонамерена дейност, свързана с текущи заплахи, което позволява ранно откриване и реакция. Разузнаването на заплахите също така улеснява процесите на оценка на риска, като позволява на екипите по OT и сигурност да приоритизират усилията си за сигурност въз основа на данни в реално време за текущи заплахи, които могат да повлияят на техните операции.

„Разузнаването на заплахите традиционно се отъждествява с индикатори за компрометиране, използвани за откриване на заплахи и реактивно реагиране на инциденти“, според дос Сантос. „Но знанията за експлоатираните в момента уязвимости и целевите типове устройства могат също така да помогнат на защитниците да фокусират вниманието си върху активи с висока стойност и да се справят с рисковете, преди те да бъдат експлоатирани. Дългосрочната стратегическа информация може също така да помогне на собствениците на активи да определят приоритетите на инвестициите в мрежови защити.“

Гайер отбеляза, че докато вътрешните инструменти за мониторинг могат да откриват известни заплахи, външната разузнавателна информация предоставя информация за тактиките, използвани от нападателите, когато те се „обаждат у дома“ на сървърите за управление и контрол. Въпреки това, тъй като унция превенция – намаляване на риска – винаги ще бъде по-добра от килограм лечение – откриване на заплахи – едно от най-важните приложения на разузнаването за заплахи е да се коригират експозициите и известните експлоатирани уязвимости в критичните зони, преди да могат да бъдат атакувани.

 

Подготовка за нови заплахи за сигурността на мрежите за ОТ

Ръководителите се съсредоточиха върху тенденциите, които се очакват в мониторинга на сигурността на мрежите за ОТ през следващите три до пет години, и как индустриалните предприятия могат да се подготвят за предстоящите предизвикателства.

Макре заяви, че заплахите за системите OT се увеличават по сложност, скорост и мащаб – и тази тенденция ще продължи през следващите няколко години. За да могат организациите да изпреварят тези заплахи, от решаващо значение ще бъде разрушаването на силозите, интегрирането на инструменти, задвижвани от изкуствен интелект, и преминаването към проактивни стратегии.

„Много организации днес използват изолиран подход, при който ИТ и ОТ мрежите използват отделни инструменти за мониторинг“, според Макре. „Този метод все повече се оказва неефективен, като организациите признават предизвикателствата, свързани с наличието на различни инструменти, които изпращат огромен обем сигнали до отделни центрове за операции по сигурността (SOC) на ИТ и ОТ или дори до един и същ SOC. Преминаването към унифицирана платформа в ИТ и ОТ мрежите ще рационализира процесите на откриване и реагиране, което ще доведе до по-организирана и ефективна работа с киберзаплахите в мрежите на критичната инфраструктура.“

В допълнение към единния подход за IT и OT мрежите, Макре установи, че „ще продължим да наблюдаваме възприемането на инструменти, задвижвани от изкуствен интелект, за по-бързо и точно откриване на заплахи в средите на ICS. И накрая, прилагането на проактивни действия за реагиране с цел незабавно спиране на заплахите, а не традиционния подход на карантина и оценка, ще се превърне в стандартна практика в средите на ICS. Тази промяна ще даде възможност на организациите да намаляват рисковете по-ефективно и да поддържат непрекъснатостта на операциите.“

„Мониторингът на сигурността на ОТ се измества от нишови инструменти за видимост към интеграция с основните средства за контрол на мрежовата сигурност като NGFW, за да се използва видимостта за по-добро налагане на сегментация и намаляване на риска“, каза Хуанг. „ИИ играе все по-голяма роля в откриването и смекчаването на все по-задвижваните от ИИ атаки, подобрявайки откриването на заплахи и реакцията. Организациите също така дават приоритет на цялостната видимост на експозицията, за да разберат по-добре рисковете в ИТ и ОТ средите.

Той допълни, че използването на усъвършенствани анализи става от съществено значение за получаване на по-задълбочени прозрения и осигуряване на възможност за проактивни мерки за сигурност. „Чрез интегрирането на тези възможности предприятията могат да подобрят устойчивостта си, да изпреварят развиващите се заплахи и да вземат по-информирани решения в областта на сигурността.“

Буенаньо определи, че една от най-значимите тенденции ще бъде интегрирането на AI и ML в системите за мониторинг на сигурността, което ще позволи откриване на аномалии в реално време и автоматизирани механизми за реакция, които могат да се адаптират към нови заплахи по-бързо от традиционните методи.

Освен това, тъй като IIoT продължава да се разширява, броят на свързаните устройства в OT средите ще се увеличи, което изисква подобрена видимост и контрол за ефективно управление на потенциалните уязвимости и потока от данни между устройствата. По подобен начин по-големият регулаторен контрол върху киберсигурността ще принуди промишлените предприятия да възприемат по-строги практики за сигурност, което ще доведе до внедряване на архитектури с нулево доверие.

„Индустриалните предприятия могат да се подготвят, като инвестират в солидно обучение по сигурност за служителите на всички нива, за да насърчат културата на осведоменост за киберсигурността, като гарантират, че персоналът може да разпознава и реагира своевременно на потенциални заплахи“, според Буено. „Те трябва също така да дадат приоритет на разработването и усъвършенстването на планове за реакция при инциденти и възстановяване след бедствие, като включат учения и симулации за подготовка за различни сценарии на атаки. Прилагането на цялостни стратегии за управление на активите позволява на организациите да поддържат видимост и контрол върху всички устройства в мрежите си, включително версиите и конфигурациите на софтуера.“

Той добави, че предприятията трябва да обмислят и използването на усъвършенствани рамки за сигурност и сътрудничество с партньори в областта на киберсигурността, за да подобрят възможностите си за разузнаване на заплахите, за да осигурят проактивна, а не реактивна позиция срещу възникващите заплахи. „Редовното одитиране и актуализиране на политиките и протоколите за сигурност може да се съобрази с новите технологии и пейзажи от заплахи, за да се поддържа адаптивна позиция за сигурност. И накрая, участието в браншови сътрудничества и групи за обмен на информация може да даде възможност на организациите да бъдат в крак с разузнавателните данни за заплахите, нововъзникващите уязвимости и най-добрите практики в областта на сигурността на ОТ.“

 

Дос Сантос посочи, че мониторингът на ОТ ще бъде интегриран в цялата екосистема за сигурност на предприятието. „Организациите, които използват мониторинг на OT мрежи, често използват и оценки на уязвимостите, защита на крайни точки и бази данни за управление на конфигурацията за сигурност. Интегрирането на тези решения е от решаващо значение за споделянето на информация, откриването на заплахи и организирането на действия в системите за защита от бъдещи заплахи.“

Той добави, че тъй като сигурността преминава от реактивна към проактивна, все по-голямо внимание се отделя на съответствието. Това включва рамки, разпоредби, най-добри практики в индустрията, специфични за организацията политики и нови насоки, като например постквантовата криптография.

И накрая, за да използват по-добре тези случаи на използване и технологии като AI/ML, собствениците на активи все повече възприемат облачни решения. Това отразява предишна промяна, при която собствениците на активи признаха, че някои активни заявки в мрежите за ОТ могат да се извършват безопасно, като същевременно се подобрява видимостта.

Дос Сантос също така отбеляза, че за да се справят с предизвикателства като конвергенцията на ОТ/ИТ и напредналите киберзаплахи, организациите трябва да разполагат с основите: видимост за всеки тип устройство, непрекъснати оценки на риска и съответствието за устройствата, добре сегментирани мрежи, които ограничават страничното движение, и надеждно откриване на заплахи за корелиране на сигналите в екосистемите за сигурност за по-бърза реакция и отстраняване на заплахите.

Гайер заяви, че най-голямата тенденция, „която трябва да очакваме, е разпадането на модела „Пърдю“ в много индустрии, тъй като организациите се стремят да се възползват от нововъзникващите технологии и възможности, базирани на облака. Без прилагането на модела на нулево доверие за OT това ще доведе до разширяване на зоната на повърхността на атака – което ще позволи на нападателите да получат лесен достъп до критични OT среди и активи.“

Той заключи, че макар че AI и ML несъмнено ще подпомогнат по-добре откриването на заплахи, най-важното действие на киберзащитниците е да установят целенасочени стратегии за блокиране на комуникациите между потребители, между машини и машини и между облачни работни натоварвания, за да ограничат излагането на атакуващите.

Автор: Анна Рибейро, Industrial Cyber

Източник: e-security.bg

Сподели в:

Още публикации:

Equal1 представя първия в света квантов компютър на силициева основа

Equal1 представя първия в света квантов компютър на силициева основа

Прочети още
Повечето средства от най-големия крипто обир в историята са изпрани

Повечето средства от най-големия крипто обир в историята са изпрани

Прочети още
WatchGuard получава най-високото признание

WatchGuard получава най-високото признание

Прочети още
FireCloud Internet Access : Бъдещето на сигурната отдалечена свързаност

FireCloud Internet Access : Бъдещето на сигурната отдалечена свързаност

Прочети още
Ръководство за инвестиции в киберсигурността

Ръководство за инвестиции в киберсигурността

Прочети още
5 начина да приведете киберсигурността си в съответствие с насоките на Световния икономически форум (СИФ)

5 начина да приведете киберсигурността си в съответствие с насоките на Световния икономически форум (СИФ)

Прочети още

Последни публикации:

Equal1 представя първия в света квантов компютър на силициева основа
Equal1 представя първия в света квантов компютър на силициева основа
Повечето средства от най-големия крипто обир в историята са изпрани
Повечето средства от най-големия крипто обир в историята са изпрани
WatchGuard получава най-високото признание
WatchGuard получава най-високото признание

Категории:

Анализи

Следвай ни в:

Facebook Linkedin

Етикети

Заяви продуктова консултация или ДЕМО

Антивирус БГ ЕООД

След повече от 20 години успешно представителство на Panda Security за България, а днес като златен партньор на WatchGuard® – световен лидер в решенията за сигурност, Антивирус БГ предлага пълна гама от решения и продукти за защита на информационната инфраструктура и активи от злонамерени действия и атаки, както и средства за защита на крайни устройства и неприкосновеност на лични или служебни данни.

Facebook Linkedin

Услуги

Продукти

Грижа за клиента

Доверие