Ipari és gyártó rendszerek fejlődése
Az ipari és gyártó rendszerek robbanásszerű fejlődése magával hozta ezen rendszerek klasszikus zártságának feloldását, az ágazatra régebben jellemző légrés megszűnését. Megjelent az igény az ipari rendszerek távfelügyelhetőségére, távmenedzselhetőségére és az üzemeltetés magas fokú automatizációjára. Ezen igények kielégítése érdekében elkezdődött a zárt ipari, üzemeltetési rendszerek IP protokoll alapú kommunikációval történő bővítése és a vállalati IT rendszerekkel történő összekapcsolása, integrációja.
Ezek egy új támadási felületet (attack surface) nyitottak a zárt rendszerek fele, melyek kihasználását azon tények is segítik, hogy:
- az ipari rendszerek elsődleges célja a termelési feladatok ellátása és kevésbé az informatikai jellegű támadásokkal szemben történő védekezés
- a folyamatos termelés és a működési biztonság magasabb prioritású, mint az eszközökön alkalmazott szoftver vagy firmware verziók frissítettsége, ezért ezek ritkábban, és kevésbé ütemezetten kerülnek alkalmazásra
- az ipari rendszerek valós hálózati kommunikációja gyakran nem feltérképezett és nem monitorozott
- gyakran tapasztalható, hogy az OT és irodai IT rendszerek elválasztása, nem teljeskörűen megoldott
- az ipari környezet üzemeltetőinek gondolkodásában történeti okokból kifolyólag jellemzően kevésbé van jelen az IT rendszerek esetében már megszokott fenyegetettség érzés.
Milyen veszély fenyegeti az ipari és gyártó rendszereket ?
Az elmúlt években az OT technológia fejlődésével együtt jelentős számban megnőttek a célzott támadások ezen rendszerek és ezáltal a rendszereket használó vállalatok ellen. A támadások célja jellemzően közvetlen anyagi haszonszerzés (pl. zsarolóvírusok által), más esetekben az ipari környezetek működésének megzavarása vagy a tevékenységek teljes megakadályozása.
Az elmúlt évek sikeres ipari vállalatok ellen indított kibertámadásait elemezve megállapítható, hogy a támadások terület és iparágfüggetlenül okoztak jelentős szolgáltatás vagy termelés kieséseket és ezáltal óriási anyagi károkat. A támadások közös tulajdonsága, hogy az üzletmenet folytonosság helyreállítása óriási költségekkel járt az érintett vállalatok számára.
Tehát a modern ipari és szolgáltató vállalatoknak manapság a rendszereik fizikai védelme, azok folyamatos felügyelete és rendszeres karbantartása mellet kiemelt figyelmet kell fordítaniuk a digitalizált rendszereik és folyamataik védelmére is. Az ipari és termelőrendszerek védelmének kialakításában a legnagyobb kihívás az, hogy azok üzemeltetése, felügyelete és menedzselése megfeleljen a legmodernebb kihívásoknak, mindemellett a rendszerek belső architektúrája érintetlen, és ezáltal a működési folytonossága biztosított legyen.
Néhány ismert támadás gyártó és ipari rendszerek ellen
| Iparág | Szervezet | Támadási típus | Jelenség és hatás | Költség |
| Energia | Ukrenergo Villamos energiaszolgáltató |
OT specifikus malware (Crashoverride, Blackenergy) |
Kijev áramellátásának részleges kiesése | 225.000 fogyasztó áramellátás nélkül |
| Fémipar |
Norsk Hydro
|
Ransomware | Az automatizált gyártói rendszerek kiesése | 70M USD |
| Szállítmányozás | Fedex | Ransomware, NotPetya | IT üzemeltetési kiesés, szállítási és értékesítési kieséssel | 300M USD |
| Olajipar | Colonial Pipeline | Ransomware | Üzemanyagellátási problémák 6 napon keresztül az USA nyugati partján és a repülőtereken | 4.4M USD váltságdíj és egyéb kereskedelmi károk |
| Gyógyszeripar | Merck | Ransomware, NotPetya | Gyártás és értékesítés leállítás | 670M USD |
| Szállítmányozás és Logisztika |
A.P. Moller Maersk
|
Ransomware, NotPetya | A működés 2 hetes leállása az informatikai rendszerekhez történő hozzáférés hiánya miatt | 300M USD |
| Energia/hadiipar | iráni atomprogram | Stuxnet | Termelő eszközök fizikai tönkretétele, program visszavetése évekkel | ismeretlen |
A területen, főleg a ransomware fertőzések esetében különösen jellemző az alacsony láthatóság. Sok szervezet inkább fizet, rövid távon ezzel kerüli el a következményeket. Közép távon ezek a szervezetek a váltságdíj megfizetése mellett ugyanúgy végre kell hajtsanak egy biztonsági programot. Hosszabb távon a befolyó váltságdíjak tartják fent a támadók motivációját.
Feladatok és megoldások ipari és gyári rendszerek esetén
Irányítási, és szabályozási feladatok:
- A kiberbiztonsági kockázatok felmérése, értékelése és kezelése biztosított legyen
- Naprakész üzletmenet folytonossági, és katasztrófa helyreállítási tervek álljanak rendelkezésre
- Katasztrófa helyreállítási terv rendszeresen tesztelve legyen
- Legyenek szabályozott szerepkörök a kialakított biztonsági funkciók vonatkozásában
- Legyenek konfigurációkezelési és változtatási folyamatok
- Működési határértékek legyenek ismertek és legyenek dokumentálva
Megoldási javaslat:
- A belső folyamatok és szabályozások teljes áttekintése és aktualizálása
- A kialakított tervek rendszeres tesztelése
- Külső szakértői támogatás igénybevétele a teljeskörű megoldás érdekében
Vagyonleltár
Technológiai feladatok:
- Az eszközök és rendszerek nyilvántartása és folyamatos nyomonkövetése
- Az eszközök aktuális szoftver verzióinak és konfigurációinak nyilvántartása
- Az eszközök kommunikációs térképének nyilvántartása
Megoldási javaslat:
- A vagyonleltár elkészítésének és folyamatos karbantartásának automatizálása
- Az automatizálás elvégezhető a Nozomi Networks megoldásaival vagy a Cisco Systems Cyber Vision termékével
Hozzáférés vezérlés
Technológiai feladatok:
- Az eszközökhöz való hozzáférés felügyelt és védett módon legyen biztosítva
- A hozzáférés engedélyezés a legkisebb szükséges hozzáférési elv szerint legyen szabályozva
- A hozzáférések biztosítása legyen naplózva és a jogosulatlan hozzáférések legyenek megtagadva
Megoldási javaslat:
- Az Ipari rendszerek hozzáférés vezérlési megoldásokkal történő kiegészítése
- Cisco ISE-NAC rendszer és Cisco Cyber Vision termékekkel
Adatbiztonság
Technológiai feladatok:
- Az eszközök közötti adatáramlás titkosított protokollokon keresztül történjen
- Az adatok tárolása titkosítva történjen
- Az eszközök szoftvereinek és firmwareinek illetve a tárolt adatok integritásának ellenőrzése egy jól definiált mechanizmussal legyen biztosítva
Megoldási javaslat:
- Az eszközök közötti kommunikációra használt protokollok a végberendezéseken állíthatóak be
Az eszközök és a hálózatok védelme
Technológiai feladatok:
- Az eszközök és a hálózati forgalmak monitorozása folyamatosan megoldott legyen
- Kártékony kódok azonosítása megoldott legyen
- Incidens riasztások és riasztási szintek legyenek meghatározva
- Az IT és az ipari hálózat biztonságos szétválasztása
- Ipari protokollok megfelelő használata legyen ellenőrizve
Megoldási javaslat:
- Az eszközök hálózati forgalmának monitorozása és kártékony kódok azonosítása a Nozomi Networks megoldásaival, vagy a Cisco Systems Cyber Vision termékével is biztosítható
- Az IT és OT környezetek közötti kommunikáció szabályozott módon történjen
- Protokollszintű elemzés tűzfal eszközökben
Folyamatos biztonsági monitoring
Technológiai feladatok:
- A hálózat legyen monitorozva és lehetséges biztonsági események legyenek azonosítva
- A fizikai környezet legyen monitorozva és a lehetséges biztonsági események legyenek azonosítva
- Eszközök és rendszerek napló üzeneteinek rögzítése, tárolása és feldolgozása megoldott legyen
- Külső szolgáltatók működése monitorozva legyen, hogy azonosíthatóak legyenek kártékony események
- Nem azonosított személyek, eszközök, szoftverek, kapcsolatok monitorozása megoldott legyen
- Szoftver sérülékenységeket feltáró rendszer legyen alkalmazva
Megoldási javaslat:
- A folyamatos biztonsági monitoring számára a Nozomi Networks megoldásai vagy a Cisco Cyber Vision terméke biztosítja az alapot, amiket egy naplóelemző vagy a beavatkozásokat automatikusan kezelő XDR (eXtended Detection and Resposne) rendszerrel érdemes kiegészíteni a rendszerüzenetek hatékony és automatizált elemzése és kezelése érdekében
- Komplex gyártói, ipari megoldások esetén alkalmazható a felhasználóra vagy ipari, gyártói rendszerre vonatkozó viselkedés elemző (UEBA – User and Entity Behavior Analytics) megoldás is
- A fenti rendszerek egy hatékony Security Operations Center (SOC) működésének az alapját tudják megteremteni
- Azonosított sérülékenységeket kockázatkezelési metódusokkal kell priorizálni. Abban az esetben, ha nem végezhető el rövid időn belül a szoftver, vagy firmware frissítés, a rendszerek sérülékenységgel érinett részének a hálózati kommunikációját célszerű korlátozni, vagy legalább kiemelten monitorozni a frissítés elvégzéséig
Rendellenes események észlelése
Technológiai feladatok:
- A rendszerek és a hálózati alapkonfigurációk és normál üzemű kommunikációk legyenek rögzítve
- A rendellenes működés és rendszer események észlelése és azok kezelése biztosított legyen
- Az események és az adatok több forrásból összesítve és korrellálva kerülnek kezelésre
Megoldási javaslat:
- Az alapkonfigurációk és a normál üzemű kommunikáció rögzítését, illetve az azoktól való eltérést mind a Nozomi Networks megoldásai vagy a Cisco Cyber Vision terméke tudja biztosítani
A témához kapcsolódó szakmai tartalmak a Kontron Hungary Kft. ajánlásával:
