Необходима е защита на индустриалните системи с ефективни програми за киберсигурност

Необходима е защита на индустриалните системи с ефективни програми за киберсигурност

Развиващите се киберзаплахи и атаки подчертават критичната необходимост от ефективни програми за киберсигурност на ОТ, които да защитават индустриалните системи и инфраструктура. За разлика от традиционните ИТ системи, средите на OT (оперативни технологии) се състоят от хардуер и софтуер, които извършват откривания или промени, и правят това чрез пряко наблюдение и контрол на физически устройства, процеси и събития. Поради това организациите трябва да конструират и изградят ефективна програма за киберсигурност на OT, която отчита няколко уникални предизвикателства, извлечени от наследени системи, оперативни нужди в реално време, критични за безопасността функции и други.

На първо място е необходима подробна оценка на риска. Тя включва идентифициране на критичните активи, уязвимостите и потенциалните заплахи за OT средите. Като се има предвид разбирането за точното естество на рисковете, тогава мерките за защита могат да бъдат уникално адаптирани към тези рискове. След това е необходимо да се създаде рамка за сигурност с няколко най-добри практики за сигурност: сегментиране на мрежата, за да се изолират критичните OT системи от ИТ мрежите и системите за откриване на проникване, както и строг контрол на достъпа.

Непрекъснатият мониторинг и реакцията при инциденти са основни стъпки. Първата дава възможност за ранно откриване на аномалии и потенциални нарушения и осигурява процедури за реагиране при инциденти, необходими за бързи действия за ограничаване на щетите. Освен това редовното обучение и програмите за повишаване на осведомеността на персонала могат да допринесат много за идентифицирането и предотвратяването на потенциални заплахи за сигурността.

И накрая, доставчиците и заинтересованите страни работят съвместно по текущите мерки за сигурност в интерес на спазването на индустриалните стандарти. Всичко това и още много други неща могат да бъдат направени от програмите за киберсигурност в областта на ОТ при защитата на критичната инфраструктура срещу развиващите се киберзаплахи.

Ключови елементи на програмите за киберсигурност на ОТ

Industrial Cyber се обърна към експерти по индустриална киберсигурност, които въз основа на своя опит определиха основните основополагащи елементи, които са от съществено значение за ефективните програми за киберсигурност на ОТ.

„Най-фундаменталните изисквания в една програма за OT сигурност са дълбоки, подробни, контекстуални данни – нито една отделна точка от данни не е много полезна в OT без допълнителен контекст“, заяви пред Industrial Cyber Рик Каун, вицепрезидент по решенията във Verve Industrial. „Програмата трябва да се основава на активите (инвентара) като отправна точка.“

Каун също така посочи възможността да се действа за предпочитане по някакъв автоматизиран начин – твърде много ИТ инструменти се въвеждат в OT, имат пропуски и очакването е пропуските да се покриват ръчно – което рядко се случва ефективно и никога не се случва, без да се пренасочи значителен труд към повтарящи се задачи. „Възможност за измерване/проследяване/отчитане. Трябва да разберем как се справяме спрямо бързо променящия се рисков профил и възникващите нужди“, добави той.

„За да бъде успешна една програма за киберрискове, е от решаващо значение нейното приемане от ключовите лица, вземащи решения в организацията“, заяви Блейк Бенсън, ръководител на практиката за индустриална киберсигурност в ABS Consulting, пред Industrial Cyber. „Обикновено това се постига чрез наличието на показатели (или за съответствие, или за управлявани от сигурността ключови показатели за ефективност), които помагат за създаването на рамка за съобщаване на резултатите и напредъка в оперативен план. Оперативната „леща“ е лексиконът, който всяка организация използва, за да съобщава резултатите в други успешни програми, като например безопасност или реакция при извънредни ситуации“, добави той.

Крис Бихари, главен изпълнителен директор и съосновател на Garland Technology, заяви пред Industrial Cyber, че сигурността не е нещо, към което трябва да се подхожда несериозно в мрежата OT. „Ключовият основополагащ елемент е получаването на видимост, а това започва от физическия слой. Винаги казвам: „Истината винаги е в пакетите“. С други думи, видимостта е жизненоважна за целите на мониторинга и сигурността.“

Бихари добави: „Имате нужда от сензори в мрежата си, като в идеалния случай започнете от най-критичните активи и процеси, които могат да извличат и предават данни на ниво пакети към устройствата за сигурност.“

„Силните защити на периметъра са необходими, но сами по себе си не са достатъчни за ефективна киберсигурност на ОТ“, казва Рик Тиене, вицепрезидент по бизнес развитие, правителство и критична инфраструктура в Mission Secure пред Industrial Cyber. „Многопластовият подход, или защитата в дълбочина, се счита за най-добра практика както за ИТ, така и за ОТ киберсигурността.“

 

Тиене подчерта, че ефективната програма за киберсигурност на ОТ трябва да включва откриване на активи, управление на уязвимостите, наблюдение на мрежата, сегментиране и защита на мрежата, откриване на заплахи и единно управление. „Екипите за киберсигурност на ОТ трябва да определят и приоритизират конкретните цели и да ги съпоставят с функциите на платформата“, добави той.

Предизвикателства и стратегии за внедряване на киберсигурността на ОТ

Ръководителите изследват общите предизвикателства, с които се сблъскват оперативните и индустриалните организации при прилагането на мерки за киберсигурност на ОТ, и обсъждат ефективни стратегии за преодоляване на тези пречки.

„Става въпрос за нюансите и критичните характеристики на OT. ИТ правят всичко хомогенно, но OT трябва да разбира многобройните реколти, платформи, взаимозависимости, оперативни и логистични пречки“, отбеляза Каун. „За да се ориентирате в действителния, контекстуален риск, трябва да изградите многоизмерен поглед върху актива. Това позволява на специалистите по OT да филтрират хилядите уязвимости или липсващи пачове до критичния риск на критичното OT оборудване, което позволява лазерен фокус върху това, което наистина е критично, за разлика от справянето с всички публикувани уязвимости, което не е практично или възможно.“

Той допълни, че това се простира отвъд уязвимостите до проектиране и осигуряване на сигурен отдалечен достъп, възстановяване при бедствия/базиране/възстановяване, укрепване на системата, управление на жизнения цикъл и др. „Без многостранно разбиране на активите традиционните практики за сигурност не могат да бъдат ефективно внедрени или поддържани.“

Бенсън посочи превода, като добави, че в много случаи специалистите по сигурността са добронамерени в тази област, но невинаги разбират оперативните въздействия/специфичните предизвикателства на околната среда, които са пречка за прилагането на традиционно ефективни изисквания за сигурност в ИТ пространството.

„Управителните съвети и ръководителите на C-Suite са свикнали сигурността да се прилага във физически контекст в рамките на оперативната среда, а киберсигурността се комуникира на ниво предприятие, така че това е нюанс, който често се нуждае от превод“, според Бенсън. „Много от проблемите „gotcha“ в областта на ОТ не са нови, те просто се увеличават от неразбирането и лошото приоритизиране на добронамерените усилия за намаляване на риска. Наличието на експерт в стаята, който може да разговаря между ръководителите на контрола на ICS и екипите по сигурността на предприятието, за да помогне и на двете страни да разберат приоритета на дейностите за намаляване на риска, е от критично значение за успешната програма.“

Бихари определи, че организациите могат да използват два основни метода за извличане на данни на ниво пакет от мрежата. „SPAN портовете – понякога наричани „огледални портове“ – са софтуерни решения, вградени в управляван комутатор и създават копия на избрани пакети, които се изпращат обратно към SPAN порта. Мрежовите TAPs – точки за тестов достъп (TAPs) – са специално създадени устройства, които се поставят между две мрежови устройства, за да копират трафика към инструмент за пасивно наблюдение. Въпреки че са достъпен вариант, SPAN портовете често изискват сложни конфигурации, които могат да бъдат трудни за управление и могат да доведат до грешки“, добави той.

„Освен това SPAN портовете могат да преместват трафика на пакети двупосочно към И от мрежата – което прави комутаторите уязвими към хакерски атаки и пробиви в сигурността. Мрежите OT често използват неуправляеми комутатори, което премахва възможността за използване на SPAN портове“, според Бихари. „Мрежовите TAP решават всички предизвикателства на SPAN портовете, като същевременно осигуряват постоянен достъп до данни. Мрежовите TAP могат също така да осигурят на инструментите за сигурност достъп до мрежовия трафик с несъвместими типове носители или скорости. TAPs предлагат допълнителни защити, като например да позволяват на пакетите с данни да се движат само в една посока и да нямат IP адрес – което ги прави устойчиви на хакерски заплахи.“

Тиене отбеляза, че най-често срещаната пречка пред киберсигурността на ОТ е страхът, че решенията за сигурност по някакъв начин ще нарушат производството. „Това е опасение, което трябва да се вземе на сериозно, защото ако използвате инструменти за сигурност, които са създадени за ИТ среди, съществува реален риск да сбъркате нещо. Ето защо е от съществено значение да се използват технологии за сигурност, които са разработени специално за OT мрежи и OT активи.“

„В допълнение към различните приоритети и цели по отношение на киберсигурността, технологията, използвана във физическите системи, често е много различна от технологията в информационните системи“, споменава Тиене. „Тези разлики могат значително да повлияят не само на състоянието на киберсигурността на системите, но и на наличните подходи за тяхната защита. Системите за ОТ често включват наследено оборудване, което вече е въведено в експлоатация и е създадено за 30-годишен жизнен цикъл. Това оборудване може да е било проектирано за епоха, когато ОТ е било безопасно изолирано от останалия свят. Това вече не е така.“

Въздействие на развиващите се киберзаплахи върху програмите за киберсигурност на ОТ

Ръководителите анализират как еволюиращите киберзаплахи определят развитието и поддържането на програмите за киберсигурност на ОТ.

„Тук се появява концепцията за автоматизация“, каза Каун, добавяйки, че автоматизираната инвентаризация, съпоставянето на заплахите с инвентаризацията и прилагането на множество контекстуални механизми за риск и защита са единствените начини да се позволи на крайните потребители да разберат текущото си състояние, риска, напредъка и новите заплахи. „Наричаме го концепция „мисли глобално, действай локално“, отбеляза той.

Той допълни, че трябва да се съберат всички активи във всички обекти в един изглед; да се оборудва този изглед със спецификата на активите (операционна система, софтуер, хардуер, потребители, конфигурация (укрепване)) плюс OT контекст (въздействие върху операциите, по линии, функции, съоръжения, продукти, региони и т.н.), да се добавят уязвимости, експлойти, липсващи кръпки, след което да се добавят индикатори за защита.

„Дайте възможност за автоматизирано, безопасно за ОТ отстраняване на нередности, когато това е възможно (поправки, конфигурация/твърдост и т.н.), и свързано с проекта отстраняване на нередности, когато това е необходимо (модернизация на оборудването, подобрен защитен отдалечен достъп, модернизация на системата)“, според Каун. „Този подход актуализира състоянието на активите и защитата и се отразява в глобалния изглед при намаляване на риска или при поява на нови заплахи, така че винаги да преглеждате и реагирате на текущото състояние.“

„Това зависи до голяма степен от зрелостта на сектора/организацията – реалността е, че много от заинтересованите страни в областта на КИ не обръщат голямо внимание на „заплахите“, защото нямат наличен ресурс, който да е в крак с потока от заплахи за тези системи“, казва Бенсън. „Заплахите без контекст за операциите не са приложими, така че препоръчването на действия и приоритизиране на еволюиращото поведение на заплахите не е толкова въздействащо, колкото подпомагането на заинтересованите страни да имат по-устойчиви операции и по-стабилни мерки за възстановяване.“

Тиен каза, че заплахите за системите за ОТ могат да идват от различни видове  заплахи, които обикновено се класифицират според мотивацията им или връзката им с организациите, които атакуват. „Един хактивист може да е мотивиран от убеждението, че даден производител има неприемливи екологични практики, докато един служител може да е мотивиран от желанието за отмъщение срещу своя работодател. Терористите или националните държави могат да бъдат мотивирани от желанието си да създадат хаос или да постигнат политическа цел по друг начин“, добави той.

В исторически план Тиен установи, че системите за ОТ са били недостъпни за всички, освен за най-упоритите и опитни нападатели, но сега, при достатъчно време и усилия, дори и най-добре защитените обекти могат да бъдат уязвими за атаки. „За повечето организации възможността да поддържат истинска въздушна междина между ИТ и ОТ системите е на практика невъзможна.“

„Търсенето на новини може да направи нещата да изглеждат ужасни, но от друга страна има много заинтересовани страни, които се фокусират върху поддържането на безопасността на секторите на критичната инфраструктура“, каза Бихари. „Работейки по мрежови проекти в областта на ОТ през последното десетилетие, станах свидетел на органичното развитие на една вълнуваща и стабилна екосистема. Компании, доставчици, дистрибутори и системни интегратори работят заедно, за да се учат, адаптират и подобряват решенията.“

 

Стратегии за поддържане на съответствие с променящите се стандарти за киберсигурност

Ръководителите проучват как организациите могат да запазят съответствие с променящите се стандарти и разпоредби за киберсигурност.

Каун определя това като естествено продължение на подхода „мисли глобално, действай локално“. „Регулаторните стандарти изискват множество междуфункционални доказателствени точки, като напр: Разполагате ли с пълен инвентар? Имате ли инвентар, обозначен като критичност на активите? Осигурили ли сте защита на активите в съответствие с тяхната критичност? Можете ли да докажете, че сте го въвели и че е актуален? Всички тези въпроси изискват състояние в почти реално време на множество контроли за сигурност, съпоставени една с друга, за да се постигне и докаже съответствие“, добави той.

Бенсън каза, че най-добрият начин да се започне е да се избере рамка (NIST, SANS 5 критични контроли, каквото е подходящо за организацията) и да се започне прилагането на основните елементи на тези програми.

„Зрелите заинтересовани страни в тези области не се притесняват от спазването на нови стандарти и разпоредби, защото вече правят повече от минимума“, според Бенсън. „Повечето от изискванията, които се появиха през последните три години, се основават на повишаването на изискванията за докладване – за да направите това, трябва да имате висококачествен регистър на активите/софтуера и начин за консолидиране и обобщаване на съответната системна информация, за да достигнете прага за докладване за минимално съответствие. Как организациите могат да докладват за уязвимостите, ако не знаят какви кибернетични активи имат или как са свързани в мрежа?“, добави той.

„Използвайте рамки за сигурност като Петте критични контрола за киберсигурност на ICS на SANS и Рамката за сигурност на NIST, за да изградите план за вашата програма за сигурност на ОТ. Винаги помнете, че едно решение няма да ви направи сигурни“, каза Бихари. „Поддържането на силна позиция изисква многопластов контрол от хора, процеси и технологии. Освен това хардуерните диоди за данни са полезни и икономически ефективни решения, които помагат да се осигури допълнителен слой на сигурност. Използването на хардуерни диоди за данни елиминира двупосочния трафик, като гарантира, че никакви данни не се предават обратно в мрежата“, добави той.

Тиен спомена, че има много несигурност по отношение на регулациите за киберсигурността на ОТ и вероятно винаги ще има. „В някои отрасли има доста зрели режими за съответствие – добър пример е CERC CIP в енергийния сектор, но в много други сектори изискванията са непоследователни или изобщо не съществуват. Най-добрият залог за повечето организации е да приведат стратегиите си за киберсигурност в съответствие с Рамката за киберсигурност на NIST, която често е образец за нови индустриални или правителствени регулации.“

„Също така е важно да се помни, че спазването на изискванията не е непременно равнозначно на сигурност, така че организациите трябва да направят реалистична оценка дали правят достатъчно, за да защитят своите ОТ системи от заплахи, независимо от това какви са техните задължения за спазване на изискванията“, добави той.

Ръководство за стратегии за осигуряване на бъдещето на програмите за киберсигурност на ОТ

Накрая, ръководителите предлагат насоки за това как организациите, които започват своите програми за киберсигурност на ОТ, могат да осигурят бъдещи стратегии срещу променящите се заплахи.

„Единствената защита на бъдещето, която можете да изградите, е да създадете динамичен, постоянно развиващ се поглед както върху вашите активи, така и върху откритите заплахи“, според Каун. „Ако се снабдим с автоматизиран, мултидисциплинарен поглед, ние се приспособяваме и адаптираме при появата на нови заплахи, за да се развиваме заедно със заплахите с течение на времето, и ако заплахите се разпространяват или предават по нови и иновативни начини, ние (от страна на защитата) познаваме нашия технически и рисков отпечатък, за да проектираме нови и по-добри инструменти за защита, практики и отговори.“

Бенсън заяви, че „за първи път е чул „KISS“ или „Keep it Simple, Stupid“, когато бил в USAF – и това е подходящо обобщение за състоянието на много от програмите в секторите, които обслужваме в момента. „Няма магически куршум под формата на нова технологична платформа или решение за мониторинг, което да реши всеки проблем, който може да има дадена организация. Започнете с основните неща – създайте харта, получете подкрепата на ръководството, сложете си шапката и се захванете за работа“, добави той.

„Да имаш страхотна таксономия на активите не е толкова забавно, колкото да гледаш табло за заплахи от доставчик на решения, но е много по-ценно в дългосрочен план“, уточнява Бенсън. „Технологиите имат място във всяка програма, но ако организациите не разбират защо ги купуват или се абонират за тях, те се връщат в изходна позиция по отношение на проблема с приоритизирането.“

Тиен заяви, че първата стъпка е да се установи ясна отговорност за предизвикателството на киберсигурността на ОТ. „Това се подобри през последните години, но в някои организации все още има объркване или конфликт между ИТ отдела и оперативния отдел за това кой трябва да отговаря за усилията. Това трябва да бъде съвместно усилие, но в крайна сметка всички трябва да знаят и да се съгласят къде е мястото на отговорността“, добави той.

„След това оценките са логична следваща стъпка, но твърде много организации в крайна сметка изразходват твърде много време и пари в тази фаза“, отбеляза Тиен. „Целта трябва да бъде да се премине към фазата на защита възможно най-бързо. Хакерите може да не са достатъчно учтиви, за да ви изчакат да приключите с прегледа на доклада за оценка.“

„Въпреки че никога не трябва да смесвате ИТ и ОТ активите в една и съща среда, трябва да се сприятелите с колегите си от ИТ, за да създадете хармония между двете страни“, каза Бихари. „Отделете време, за да разберете техните уникални цели и болезнени точки, за да можете да се подготвите за най-лошото. Междуфункционалните дейности като планирането на реакцията при инциденти ще включват както бизнес, така и оперативни заинтересовани страни. И могат да ви дадат солиден план за действие, ако възникне нарушение“, заключи той.

Автор: Анна Рибейро, Industrial Cyber

Източник: e-security.bg

Сподели в: