Az adatdiódák, amelyek korábban egy szűk körű katonai és nukleáris biztonsági technológiát jelentettek, mára az ipari és vállalati kiberbiztonság elengedhetetlen elemeivé váltak. Mivel a kiberbiztonsági incidensekből eredő veszteségek 2017 óta megnégyszereződtek, és közel 2 milliárd dollárt tesznek ki, az adatdiódák egyre inkább biztonsági szabványként terjednek el, függetlenül attól, hogy a szabályozási keretek követelményként vagy ajánlásként szerepeltetik-e őket. Növekvő jelentőségük abból fakad, hogy a szoftveralapú biztonsági megoldások, például a tűzfalak, már nem tudják garantálni a biztonságot.
Az adatkidíódák iránti növekvő igény
Mivel az adatdiódák hardveres szinten biztosítják az egyirányú adatforgalmat – gyakran optikai szálak felhasználásával –, fizikailag elzárják azt a visszafelé vezető kommunikációs útvonalat, amelyre a zsarolóvírusoknak és az APT-knek (Advanced Persistent Threats, fejlett tartós fenyegetések) a működésükhöz szükségük van. Míg a tűzfalak továbbra is a legtöbb üzleti alkalmazás standardja maradnak, a magas kockázatú kritikus infrastruktúra-szektorokra, például a nukleáris, az energetikai és a vízügyi szektorra vonatkozó globális szabályozások ma már kifejezetten ajánlják vagy előírják az adatdiódák használatát az OT (operatív technológia) és az IT (információs technológia) hálózatok közötti fizikai elszigetelés biztosítása érdekében.
A Data Diode biztonsági profilja három olyan alapvető biztonsági előnyt kínál, amelyek túlmutatnak a tűzfalak képességein:
A hálózaton keresztül terjedő fenyegetések nem tudják megkerülni a dióda hardveres egyirányú biztonsági védelmét, ellentétben a tűzfalakkal, amelyeket helytelen konfiguráció vagy zero-day sebezhetőségek révén meg lehet kerülni
Nincsenek háttércsatornák, így a támadók nem tudnak parancsokat visszaküldeni a megfertőzött rendszerekre
Olyan protokolleltérés, amely lehetővé teszi az adatdiódák számára, hogy nem útválasztható protokollon keresztül továbbítsák az adatokat
A adatdiódák és a tűzfalak közötti legfontosabb különbségek
| Jellemző | Firewall | Egyirányú átjáró (adatdióda) |
|---|---|---|
| Mechanizmus | Software(logikai) | Hardware(fizikai) |
| Irány | Kétirányú (szűrt) | Kizárólag egyirányú |
| Sebezhetőség | Hajlamos a helytelen konfigurálásra és a zero-day sebezhetőségekre | Ellenáll a szoftveralapú távoli támadásoknak |
| Felhasználási eset | Általános informatikai biztonság | Magas szintű OT/ICS-biztonsági védelem |
Globális szabályozási előírások és iránymutatások
A Data Diodes áthidalhatatlan biztonsági profilja miatt a globális szabályozó szervek javasolják, sőt egyes esetekben kötelezővé teszik azok használatát a kritikus infrastruktúra hálózatainak szegmentálása érdekében.
Számos szabvány, például az NRC, a NERC CIP (energetika), az IEC 62443 (ipar) és a TSA-irányelvek (vasút/csővezeték) előírja vagy határozottan javasolja a kritikus infrastruktúrák esetében a hardveresen biztosított egyirányú adatáramlást. Ugyanakkor számos példa található olyan iparágakra, ahol jelenleg nem írják elő a diódák használatát, például:
- A pénzügyi szolgáltatók, különösen a bankok, manapság ezeket használják a nagy értékű tranzakciós hálózatok védelmére, valamint a szabályozási jelentések elkészítésére, hogy az érzékeny adatok a bankból való kilépéskor ne nyújtsanak támadási felületet a hackereknek. Ezenkívül archívumok és katasztrófa-helyreállítási központok védelmére is alkalmazzák őket.
- Az egészségügyi és gyógyszeripari intézmények adatdiódákat használnak a szellemi tulajdon védelme érdekében, valamint azért, hogy elszigeteljék a klinikai technológiai hálózatokat – például a betegmonitorozási és diagnosztikai képalkotó rendszereket – a vállalati informatikai hálózatoktól.
- A hajózási ipar szervezetei adatdiódákat használnak a géptérből és a kormányvezérlő rendszerekből származó adatok elkülönítésére és figyelemmel kísérésére, valamint a hajó és a part közötti adatátvitel védelmére.
Az adatdiódák használatát előíró vagy ajánló szabályozási keretek
Az alábbiakban összefoglaljuk azokat a legfontosabb nemzetközi szabályozásokat és irányelveket, amelyek előírják vagy határozottan javasolják az egyirányú átjárók használatát.
Globális szabványok
IEC 62443
A 3-3. rész (SR 5.2) az „erőforrások elérhetőségére” összpontosít, és azt javasolja, hogy a magas biztonsági szintű zónákban (3. és 4. szint) egyirányú átjárókat használjanak a rosszindulatú programok terjedésének megakadályozása és az adatok integritásának biztosítása érdekében.
ISO 27019
Az energiaiparra vonatkozóan az útmutató kiemeli a biztonságos hálózati szegmentálás szükségességét, és a folyamatirányító rendszerek külső hálózatoktól való elválasztásának „bevált gyakorlataként” a adatdiódákat említi.
Észak-Amerikában
NERC CIP
A NERC (North American Electric Reliability Corporation) villamosenergia-hálózat védelmére vonatkozó előírásai a legszigorúbbak közé tartoznak. Míg a CIP-002–CIP-013 szabványok tűzfalak használatát is engedélyezik, az egyirányú átjáró használata „mentességet” biztosíthat egy közüzemi szolgáltatónak számos megfelelési követelmény alól (például bizonyos NRC-kontextusokban a 26 szabályból 21 alól), mivel az átjáró fizikailag megakadályozza a bejövő elektronikus hozzáférést, hatékonyan csökkentve ezzel az „elektronikus biztonsági perem” (ESP) kockázatát.
NIST SP 800-82 (3. kiadás)
Az Amerikai Nemzeti Szabványügyi és Technológiai Intézet (NIST) Industrial biztonságáról szóló útmutatója kifejezetten az egyirányú átjárókat sorolja fel elsődleges védelmi intézkedésként. Az útmutató azok használatát javasolja adatok továbbítására egy magas biztonsági szintű OT-zónából egy alacsonyabb biztonsági szintű IT-zónába – például érzékelőadatok felhőalapú adatbázisba történő továbbítására –, anélkül, hogy a támadónak bármilyen visszatérési útvonalat biztosítanának.
NRC RG 5.71
Ez az NRC (Nukleáris Szabályozó Bizottság) keretrendszer előírja az atomerőművek digitális rendszereinek magas szintű elszigetelését. A keretrendszer az egyirányú adatáramlást jelöli meg a nukleáris biztonsági rendszerek külső hálózatokról történő felügyeletének előnyben részesített módszereként.
Európában
ANSSI (Franciaország) – PSSI-IV
A francia Nemzeti Információs Rendszerbiztonsági Ügynökség (ANSSI) világszerte élen jár az adatdiódák használatának előírásában. A létfontosságú üzemeltetők (OIV-k) esetében az ANSSI gyakran előírja, hogy a legkritikusabb ipari „3. osztályú” hálózatok és az internet, illetve a kevésbé biztonságos „1. osztályú” hálózatok közötti bármely kapcsolatnál CSPN-tanúsítvánnyal rendelkező, hitelesített adatdiódákat kell használni.
NIS2 irányelv (uniós szintű)
Bár az NIS2 (hálózati és információbiztonsági) irányelv nem ír elő konkrét hardvert, előírja a „szervezetek” számára, hogy „a legkorszerűbb” kockázatkezelési intézkedéseket vezessenek be. Az energia- és vízszektorban a nemzeti szabályozó hatóságok – például a német BSI és a spanyol CCN – az NIS2-t olyan műszaki követelményekké alakítják át, amelyek a szoftveralapú tűzfalak helyett a hardveres szegmentációt részesítik előnyben.
Ázsiában és a Közel-Keleten
Szaúd-Arábia (NCA)
Szaúd-Arábia Nemzeti Kiberbiztonsági Hatósága konkrét „adatdióda-szabványokat” adott ki a kritikus ágazatok számára, amelyekben meghatározza, hogyan kell azokat alkalmazni a királyság olaj-, gáz- és közüzemi infrastruktúrájának védelme érdekében.
Dél-Korea (KISA)
Szingapúrhoz hasonlóan Dél-Korea intelligens hálózatra és nukleáris biztonságra vonatkozó irányelvei is nagy hangsúlyt fektetnek az adatok kimenetére szolgáló egyirányú átjárókra, hogy megakadályozzák a nyilvános internetről történő oldalirányú terjedést.
Iparágvezető adatdiódák és egységesOT Security
MetaDefender megoldások hardveresen biztosított egyirányú adatátvitelt kínálnak az IT- és az OT-hálózatok között, támogatva a biztonságos adatmásolást és az üzemeltetési átláthatóságot anélkül, hogy veszélybe sodornák a hálózatok elszigeteltségét.
Ha többet szeretne megtudni arról, hogy az OPSWAT hogyan segíthetOPSWAT , valamint a regionális és globális szabályozási keretek betartásában, vegye fel a kapcsolatot szakértőinkkel még ma.
