A globális energetikai piac vezetője átáll a hagyományos biztonsági sebezhetőségekről Industrial modern Industrial

Industrial , amelyek kémiai, fizikai, elektromos és mechanikai folyamatok szisztematikus sorozatát foglalják magukban, általában hagyományos, régebbi rendszerekkel védik, amelyeket soha nem úgy terveztek, hogy ellenálljanak a kiberbiztonság terén felmerülő modern fenyegetéseknek.

Az energiatermelő és finomítóiparban ezek a folyamatok a nyersanyagok nagy léptékű energiává történő átalakításával foglalkoznak. A kőolajfinomítókban használt különféle operatív technológiai (OT) berendezéseknek egymással kommunikálniuk kell ahhoz, hogy a műszaki folyamatok zökkenőmentesen működhessenek.

És pontosan itt merül fel a kritikus sebezhetőség.

Az olyan vezérlőrendszerek, mint a PLC-k, a DCS-ek és a SCADA-rendszerek, általában abból indulnak ki, hogy minden, ami velük kommunikál, megbízható. Ezért előfordulhat, hogy nem rendelkeznek hitelesítéssel, titkosítással vagy a parancsok érvényesítésére szolgáló képességgel.

Ha az OT-rendszerek ugyanazon a hálózaton helyezkednek el, mint az IT-rendszerek (távoli hozzáférést biztosító eszközök, alvállalkozói kapcsolatok vagy karbantartási laptopok), akkor az ezeken a kevésbé biztonságos területeken bekövetkező bármilyen biztonsági incidens közvetlenül elérheti a vezérlő környezetet. Következésképpen egy az IT-rendszerben kezdődő biztonsági incidens szinte akadálytalanul terjedhet át az OT-rendszerbe.

A DoS/DDoS-támadások, a helytelenül beállított szoftverek vagy rosszindulatú felhasználók közvetlenül kapcsolatba léphetnek a vezérlőrendszerekkel, ami a folyamatértékek megváltoztatásához, a termelés leállásához, a berendezések megrongálódásához vagy veszélyes üzemeltetési körülmények kialakulásához vezethet.

Az OT-környezetekben az elérhetőség és a stabilitás élvez elsőbbséget. Ezek nem olyan rendszerek, amelyekre gyorsan javításokat lehet telepíteni, ami azt jelenti, hogy a biztonsági rések hosszú ideig kihasználhatók maradnak. Egy lapos vagy rosszul szegmentált hálózatban ezért egy egyetlen incidens gyorsan eszkalálódhat, és több eszközt vagy telephelyet is érinthet.

Ügyfelünk, a világ egyik legnagyobb tőzsdén jegyzett energia- és vegyipari vállalata, felismerte kockázati kitettségét, és szegmentálás révén nekilátott a régi rendszerekből eredő sebezhetőségek kiküszöbölésének.

A megfelelő szegmentálás bevezetésével a hálózatokat a kockázat és a funkció alapján választják szét. Így a kritikus OT-eszközökhöz csak szigorúan ellenőrzött útvonalakon keresztül lehet hozzáférni, míg a kommunikációt kifejezetten meghatározzák és korlátozzák, ahelyett, hogy alapértelmezés szerint biztonságosnak tekintenék.

Mivel a hagyományos IT-tűzfalak nem bizonyultak hatékonynak a sajátos kommunikációs protokolljaik kezelésében, a szervezet OPSWAT MetaDefender Industrial Firewall megoldásához fordult,Firewall biztonságos szegmentációt hozzon létre a kritikus OT-eszközök és a kevésbé biztonságos zónák között.

Az ügyfél, mint Európa egyik vezető olaj- és gázipari vállalata, folyamatai több finomítóra, tengeri fúróplatformra és csővezeték-irányító központra kiterjedő infrastruktúrára támaszkodtak.

Ez az infrastruktúra nagymértékben támaszkodott olyan régebbi ipari rendszerekre, mint a PLC-k, a SCADA-platformok és a HMI-k.

Ezeket a rendszereket eredetileg a megbízhatóság és a rendelkezésre állás érdekében tervezték, nem pedig a kiberbiztonság érdekében. Nem rendelkeztek beépített hitelesítéssel, titkosítással és részletes naplózással.

A korábban használt hagyományos IT-tűzfalak nem voltak képesek hatékonyan kezelni az OT- és CPS-környezetekben alkalmazott egyedi kommunikációs protokollokat, így a rendszerek ki voltak téve a következő kockázatoknak:

• Felesleges hálózati forgalom és oldalirányú mozgásból fakadó kockázatok
• A zsarolóvírusok és a célzott kibertámadások lehetséges behatolási pontjai
• Az ipari protokollok feletti részletes ellenőrzés érvényesítésének nehézségei

Ezek nem olyan kockázatok, amelyeket az energiatermelési és -finomítási ágazatban működő szervezetek egyszerűen csak könnyedén elviselhetnek: az energiarendszerek elleni támadások veszélyeztethetik a közbiztonságot, megzavarhatják az alapvető szolgáltatások működését, és gyengíthetik a nemzetbiztonságot.

Ahelyett, hogy a legrosszabb forgatókönyvre várt volna, az ügyfél OPSWAT MetaDefender Industrial Firewall bevezetésével nekilátott a szervezetet fenyegető veszélyes helyzet megoldásának.

Az Industrial Firewall Operations” megoldás segítségével az ügyfelet abban is támogatták, hogy megfeleljen az IEC 62443 szabványnak és a NIS2 irányelvnek, amelyek az alapvető szolgáltatásokat nyújtó európai üzemeltetőkre vonatkoznak.

Firewall MetaDefender Industrial Firewall kompenzáló védelmi rendszerkéntFirewall működik azoknak a régebbi vagy frissíthetetlen eszközöknek az esetében, amelyek a finomítókban és a csővezeték-rendszerekben meglehetősen gyakoriak.

A Firewall segítségével az ügyfél mostantól a következőket teheti:

• Az ipari protokollok ellenőrzésével megakadályozható, hogy véletlenül vagy jogosulatlanul parancsok érkezzenek a vezérlőkhöz.
• A zavarokat helyszíni szinten kell korlátozni, megakadályozva azok több helyszínen történő terjedését az egymással összekapcsolt létesítmények között.
• A vezérlő rendelkezésre állásának biztosítása érdekében korlátozzák a rendellenes forgalmat és a hibásan formázott csomagokat.
• A biztonsági rendszereket válasszuk le a szabványos vezérlőhálózatokról az üzemeltetési kockázat csökkentése érdekében.
• Biztosítsák a beszállítók és alvállalkozók hozzáférési szabályozásának ellenőrizhető érvényesítését.