A kritikus infrastruktúra kiberbiztonsága az ausztrál SOCI-törvény alapján

Az ausztrál SOCI-törvény (a kritikus infrastruktúra biztonságáról szóló törvény) átalakította azt, ahogyan a felelős szervezetek kezelik a kiber- és működési kockázatokat. A törvény a hangsúlyt a magas szintű politikai összehangolásról a bizonyítható, működési rugalmasságra helyezi át, amelyet bizonyított kockázatkezelési gyakorlatok támasztanak alá.

A legújabb módosítások megerősítik az ausztrál kormány elvárását, miszerint a kritikus infrastruktúra-tulajdonosok lépjenek túl a statikus keretrendszereken, és térjenek át gyakorlati, operatív ellenőrzési intézkedésekre, különösen a kiber- és információbiztonság terén.

A SOCI-törvény 2A. része értelmében a felelős szervezeteknek létre kell hozniuk, fenn kell tartaniuk és be kell tartaniuk a CIRMP-t (kritikus infrastruktúra kockázatkezelési program). Ez a követelmény az alábbi ágazatokra is kiterjed:

A CIRMP előírja a szervezetek számára, hogy négy veszélyforrás tekintetében kezeljék a kockázatokat. Minden egyes veszélyforrás esetében végrehajtható, ellenőrizhető ellenőrző intézkedésekre van szükség, amelyek csökkentik a kritikus infrastruktúra-elemeket érintő lényeges kockázatokat.

A veszélyforrások közé tartoznak:

1. Kiber- és információbiztonság
2. Személyzet
3. Ellátási lánc
4. Fizikai biztonság

A következő szakaszok bemutatják, hogy ezek a veszélykategóriák hogyan tükröződnek a kritikus infrastruktúrák környezetében alkalmazott operatív biztonsági intézkedésekben.

A CIRMP előírja a szervezetek számára, hogy olyan ellenőrző intézkedéseket vezessenek be, amelyek minimálisra csökkentik azokat a jelentős kiberbiztonsági kockázatokat, amelyek megzavarhatják a kritikus infrastruktúra-elemek rendelkezésre állását, integritását vagy megbízhatóságát. A leggyakoribb kiberfenyegetések közé tartoznak az adathalászat, a rosszindulatú szoftverek, a zsarolóvírusok és a szolgáltatásmegtagadási támadások.

A fájlalapú fenyegetések továbbra is az egyik leggyakoribb kezdeti behatolási útvonalat jelentik. A szervezeteknek gondoskodniuk kell arról, hogy a fájlok feltöltése, letöltése, továbbítása és az IT- és OT-környezetekbe való bevitele biztonságos módon történjen.

OPSWAT MetaDefender úgy tervezték, hogy megakadályozza a fájlokon keresztül terjedő fenyegetéseket, mielőtt azok eljutnának a felhasználókhoz vagy a kritikus rendszerekhez. A rendszer beépül a meglévő infrastruktúrába, és a működési folyamatok megzavarása nélkül ellenőrzi a feltöltéseket, letöltéseket, e-mail mellékleteket és fájlátviteleket.

MetaDefender Core többféle észlelési technológiátCore a többszintű védelmi ellenőrzés támogatására, többek között:

• Metascan™ többszintű víruskereső technológia, több mint 30 kártevőellenes motorral
• Aláírásalapú, heurisztikus és gépi tanuláson alapuló észlelés
• Mesterséges intelligenciával támogatott, gépi tanuláson alapuló, végrehajtás előtti zero-day-felfedezés
• Fájlhírnév és hash-elemzés

Az ismeretlen és zero-day fenyegetések esetén a Deep CDR™ technológia mélyreható fájltisztítást hajt végre, hogy rekurzív módon eltávolítsa a beágyazott fenyegetéseket – például a szkripteket, makrókat és a szabályzatnak nem megfelelő tartalmakat –, majd az üzleti funkcionalitás megőrzése mellett biztonságos és használható fájlokat állít elő.

Adaptive elemzés lehetővé teszi a viselkedés megfigyelését ellenőrzött környezetben. A Proactive DLP™ ellenőrzi a fájlok tartalmát az érzékeny adatok felismerése érdekében, és szabályalapú intézkedéseket hajt végre – például a tartalom eltávolítását, kitakarását vagy vízjelekkel való ellátását –, mielőtt a fájlok a felhasználókhoz vagy a rendszerekhez kerülnének.

További ellenőrzési lehetőségek:

• A fájltípus pontos ellenőrzése
• Archívum kibontása és rekurzív vizsgálat
• File-based vulnerability assessment
• Adatvesztés-megelőzés és tartalomellenőrzés

Ezek a képességek a következőképpen támogatják a CIRMP célkitűzéseit:

• Az egyetlen érzékelési technológiától való függőség csökkentése
• A zero-day támadások felismerése és megelőzése
• A fenyegetések felismerése során a kellő gondosságra vonatkozó, ellenőrizhető bizonyítékok előállítása

A CIRMP értelmében a személyi kockázatok közé tartoznak azok a kockázatok, amelyeket az alkalmazottak, a vállalkozók, az alvállalkozók, a gyakornokok és a kritikus infrastruktúra-létesítményekhez hozzáféréssel rendelkező egyéb személyek jelentenek. A szervezeteknek fel kell mérniük, hogy kik minősülnek kritikus munkavállalónak, milyen szintű hozzáféréssel rendelkeznek, és hogy ez a hozzáférés jelenthet-e lényeges kockázatot.

A cserélhető adathordozók és a hordozható eszközök továbbra is gyakori csatornák a rosszindulatú szoftverek OT-környezetekbe való bejutásához, különösen az elszigetelt vagy szegmentált hálózatokban. Hatékony ellenőrzési mechanizmusok hiányában ezek az útvonalak képesek megkerülni a külső védelmi vonalakat.

MetaDefender és Media MetaDefender Media célja a biztonsági ellenőrzések érvényesítése a média beérkezési pontjain és az ember-gép interfész (HMI) rétegén.

Kiosk MetaDefender Kiosk a cserélhető adathordozók ellenőrzését és tisztítását, mielőtt a fájlok bejutnának a biztonságos környezetbe. Végrehajtja az előre meghatározott biztonsági szabályzatokat, és naplókat készít az ellenőrzési követelmények teljesítése érdekében.

Firewall MetaDefender Media Firewall beépített ellenőrzést és szabályok érvényesítésétFirewall a hálózatok közötti adatátvitel során, beleértve az operatív technológiai (OT) szegmenseket is. Megakadályozza, hogy jogosulatlan vagy veszélyes fájlok kerüljenek a kritikus rendszerekbe.

Ezek az ellenőrzések a következőképpen segítik elő a CIRMP személyzetre vonatkozó veszélyességi követelmények betartását:

• A rosszindulatú vagy gondatlan belső tevékenységek kockázatának csökkentése
• A cserélhető adathordozók biztonságos kezelésének érvényesítése az OT-hálózatokon belül
• A nem engedélyezett eszközök használatának korlátozása
• A fájlok feltöltőinek és a feltöltés időpontjának jobb nyomon követése

A SOCI törvény a CIRMP keretében kifejezetten az ellátási láncból eredő veszélyeket sorolja a lényeges kockázati kategóriák közé. A felelős szervezeteknek kezelniük kell a beszállítók, alvállalkozók, OEM-gyártók (eredeti berendezésgyártók) és harmadik fél szolgáltatók által okozott kockázatokat.

Az ellátási lánc kockázata a következő okokból merülhet fel:

• Kritikus hálózatokhoz csatlakozó külső végpontok
• Távoli hozzáférési útvonalak az OT-környezetekbe
• A vállalkozók által a helyszínre hozott hordozható eszközök
• Software és karbantartási feladatok

Számos kritikus infrastruktúra-üzemeltető támaszkodik a távoli hozzáférésre az eszközök felügyelete, a diagnosztikai feladatok elvégzése, valamint a szétszórt vagy regionális telephelyeken végrehajtott frissítések során. Megfelelő ellenőrzési mechanizmusok hiányában ezek a hozzáférési csatornák kiberfenyegetéseket juttathatnak be az érzékeny környezetekbe, beleértve a fizikailag elszigetelt vagy részlegesen összekapcsolt operatív technológiai (OT) hálózatokat is.

MetaDefender OPSWAT MetaDefender és MetaDefender Access™ célja, hogy csökkentsék a kritikus rendszerekkel való külső eszközökkel való interakciókból fakadó kockázatokat.
MetaDefender Drive MetaDefender Drive a vendég operációs rendszeren kívülDrive és értékeli az ideiglenesen csatlakozó laptopokat, asztali számítógépeket és szervereket, mielőtt azok csatlakoznának a biztonságos környezetekhez. Felismeri a rosszindulatú programokat, azonosítja a sebezhetőségeket, és ellenőrzi az eszközök integritását, hogy biztosítsa: csak megbízható rendszerek lépjenek be az ellenőrzött vagy fizikailag elszigetelt hálózatokba.

OT Access MetaDefender OT Access kifejezetten operatív technológiai (OT) és kiberfizikai rendszerek (CPS) környezetekhez kifejlesztett, biztonságos távoli hozzáférési megoldás. Lehetővé teszi a harmadik felek és a távoli munkatársak számára az ellenőrzött kapcsolódást, miközben részletes hozzáférés-vezérlési és munkamenet-kezelési szabályokat érvényesít.

Ezek a képességek a következőképpen támogatják a CIRMP ellátási láncra vonatkozó veszélykezelési követelményeit:

• A kritikus rendszerek védelme a harmadik felek eszközei által okozott zavarásokkal vagy megszakításokkal szemben
• A jogosult rendszerekhez és funkciókhoz való hozzáférés korlátozása
• A kritikus infrastruktúrával kapcsolatos beszállítói és vállalkozói kapcsolatok átláthatóságának javítása

A fizikai és környezeti veszélyek továbbra is a CIRMP központi elemei. A modern kritikus infrastruktúrákban a fizikai biztonság egyre inkább összefonódik a kiberbiztonsági kockázatokkal, különösen ott, ahol az OT-rendszerek az IT- és OT-hálózatok közötti szabályozott adatáramlásra támaszkodnak.

Számos kritikus infrastruktúra-környezetben olyan régebbi OT-rendszerek működnek, amelyekre a hagyományos végpontbiztonsági eszközök nem telepíthetők. Ezért a biztonsági intézkedéseket a hálózati határokon és az adatátviteli pontokon kell végrehajtani.

A szabályozási iránymutatások és az iparági szabványok általában egyirányú átjárók – más néven adatdiódák – használatát javasolják az érzékeny OT-hálózatok védelme érdekében. Ezek az intézkedések egyirányú adatáramlást biztosítanak, hogy megakadályozzák a jogosulatlan hozzáférést, a parancsbehatolást vagy az adatok kiszivárogtatását a kritikus rendszerekből.

MetaDefender hardveralapú, egyirányú adatátvitelt biztosít. Azáltal, hogy fizikailag megakadályozza a visszafelé irányuló forgalmat, kiküszöböli a szegmentált környezetekben a bejövő hálózati támadások kockázatát.

DMZ (demilitarizált zóna) architektúrában való alkalmazás és a többszintű tűzfal-ellenőrzésekkel való kombinálás esetén ez a megközelítés a következőket támogatja:

• Csökkent a rosszindulatú programok terjedésének kockázata az IT- és az OT-hálózatok között
• Védelem a kritikus rendszerekbe történő jogosulatlan távoli hozzáférés ellen
• A működés folyamatosságának biztosítása
• A CIRMP-elvekkel összhangban lévő, bizonyíthatóan kockázattudatos hálózattervezés

Azáltal, hogy szabályozzák az adatok mozgását a bizalmi zónák között, a szervezetek megerősíthetik mind a fizikai, mind a kiberbiztonsági ellenálló képességüket olyan környezetekben, ahol a rendelkezésre állás és a biztonság kritikus fontosságú.

Az ausztrál SOCI-törvény és a CIRMP a szabályozási elvárásokban bekövetkezett érzékelhető változást jelenti. A felelős szervezeteknek túl kell lépniük a dokumentált szándékokon, és be kell bizonyítaniuk, hogy a kockázatkezelési intézkedéseket a gyakorlatban is végrehajtják és folyamatosan fejlesztik.

A szabályozó hatóságok elvárják a szervezetektől, hogy igazolják:

• Az eszköz kritikus fontosságához és fenyegetettségi profiljához igazodó
• A működési munkafolyamatokba integrálva
• Naplózás, felügyelet és irányítási ellenőrzés által támogatva
• Képes ellenállni a testületi és a szabályozó hatóságok ellenőrzésének

A CIRMP nem egy statikus megfelelési keretrendszer. Megelőző, végrehajtható és ellenőrizhető ellenőrzési intézkedéseket ír elő a kiberbiztonsági, személyzeti, ellátási láncbeli és fizikai veszélyforrások tekintetében.

A megelőző biztonsági intézkedések központi szerepet játszanak ezen elvárások teljesítésében. Az ellenőrző mechanizmusoknak a közös belépési pontokon, az IT, az OT és az ICS határain átnyúlva, valamint a külső felekkel való interakciós csatornákon belül is működniük kell. Emellett biztosítaniuk kell az irányítás, a biztosítás és a szabályozó hatóságokkal való együttműködés alátámasztásához szükséges átláthatóságot és bizonyítékokat.

OPSWATkritikus infrastruktúra védelmére irányuló tevékenysége közvetlenül támogatja az ausztrál SOCI-törvény operatív és szabályozási követelményeit. A CIRMP keretében végrehajtott, érvényesíthető műszaki ellenőrzések mind a szabályozási megfelelést, mind a valós helyzetekben való ellenálló képességet erősítik.

A kritikus infrastruktúrák területén a megelőző biztonsági intézkedések nem csupán opcionálisak. Ezek alapvető fontosságúak a rendelkezésre állás, a biztonság és a közbizalom fenntartása szempontjából. Ha szeretné megtudni, hogyan hangolhatja össze CIRMP-stratégiáját a végrehajtható megelőző ellenőrzési intézkedésekkel, vegye fel a kapcsolatot az OPSWAT szakértőivel.