Ha a biztonsági szektorban dolgozol, akkor tudod, hogy ez a szabály: a láthatóság elengedhetetlen.
Ez összhangban áll a SANS „3. kritikus ellenőrzési pont az ICS számára – Hálózati átláthatóság és felügyelet” című irányelvével, valamint a NIST CSF és az ISA/IEC 62443 szabványokkal, amelyek kifejezetten meghatározzák az átláthatósági követelményeket.
Ugyanakkor kihívást jelent a hálózati átláthatóság biztonságos beépítése az OT- és ICS-környezetekbe minden olyan csapat számára, amelynek szüksége van rá:
- Az IT- és OT-biztonsági csapatoknak naplóadatokra van szükségük az események figyelemmel kíséréséhez.
- Az incidenskezelőknek adatokra van szükségük ahhoz, hogy támadások során megalapozott döntéseket hozhassanak.
- A számítógépes nyomozási szakértőknek adatokra van szükségük ahhoz, hogy megértsék, hogyan történt egy támadás az OT-környezetben, és hogy milyen volt az események időbeli lefolyása.
- Még a megfelelési csapatoknak is szükségük van dokumentumokra a kellő gondosság igazolásához.
A kérdés nem az, hogy „hogyan” biztosítsunk OT-hozzáférést ezeknek a csapatoknak, hanem az, hogy hogyan biztosítsuk a hozzáférést anélkül, hogy véletlenül nyitva hagynánk az ajtót a támadók előtt.
IttNetWall képbe az OPSWAT MetaDefender NetWall .
Ahelyett, hogy ezeknek a csapatoknak hozzáférést biztosítanánk az OT-környezethez, a MetaDefender NetWall egyirányú adatdióda az OT-ről az IT-re továbbítja a naplófájlokat, így a csapatok nyomon követhetik a folyamatokat anélkül, hogy bejutási lehetőséget biztosítanának a fenyegetéseknek.
Kinek van szüksége az OT-naplókra (és miért nem elég, ha egyszerűen csak „bejelentkeznek”)
Az olyan keretrendszerek, mint a SANS ICS-re vonatkozó 3. kritikus ellenőrzési pontjai, a NIST CSF és az ISA/IEC 62443, egyértelmű láthatósági szabályokat tartalmaznak.
A láthatósági vezérlők elengedhetetlenek az eszközök azonosításához, a sebezhetőségek felismeréséhez és a fenyegetések valós idejű figyelemmel kíséréséhez, anélkül, hogy ez megzavarná a kritikus, érzékeny ipari folyamatokat.
Egy szervezeten belül számos olyan csapat működik, amelyek számára elengedhetetlen a valós idejű OT-adatokhoz való hozzáférés.
SOC (Biztonsági Műveleti Központ) elemzők
A SOC-elemzők feladata a biztonsági riasztások figyelemmel kísérése, észlelése, kivizsgálása és az azokra való reagálás.
Röviden összefoglalva: feladatuk az, hogy felismerjék a fenyegetéseket, mielőtt azok katasztrófához vezetnének. Ehhez valós idejű OT-naplókra van szükségük a behatolások, a rosszindulatú programok vagy a rendellenes forgalom észleléséhez.
Ha azonban egy támadó közvetlen hozzáférést szerez az informatikai környezethez, gyorsan átterjeszkedhet az operatív technológiai rendszerekbe, ami komoly kockázatot jelent az operatív technológiai rendszerek biztonságának megsértése szempontjából.
Ezért a SOC-csapatok nem támaszkodhatnak egyszerű bejelentkezési módszerekre, amikor a felügyelet céljából hozzáférnek a valós idejű OT-adatokhoz.
Ha a SOC-rendszer biztonsága megsérülne, egy támadó kihasználhatná ezt a kapcsolatot, hogy bejusson az OT-környezetbe.
OT Security csapatok
Az OT-biztonsági csapatok védelmet nyújtanak az ipari vezérlőrendszereknek és az OT-technológiáknak – például a SCADA-rendszereknek, a PLC-knek és a gyártási robotoknak –, amelyek a fizikai infrastruktúrát irányítják.
Ezeknek a csapatoknak biztonsági naplófájlokra van szükségük a nyomozati elemzéshez és a rendellenességek felismeréséhez.
Az sem túl jó ötlet, ha az informatikai környezetben működő rendszereknek ICS- és OT-specifikus biztonsági eszközök segítségével hozzáférést biztosítunk az OT-környezethez.
A SOC-esethez hasonlóan, ha ezek az informatikai rendszerek megsérülnek, a támadóknak közvetlen bejutási lehetőséget biztosíthatnak az operatív technológiai (OT) rendszerekbe.
Incidenskezelő és számítógépes nyomozási csapatok
Ha rendellenességet vagy biztonsági incidenst észlelnek, az incidenskezelő és a nyomozási csapatokat hívják be a vizsgálat és a helyreállítás elvégzésére.
A naplóadatokra azért van szükségük, hogy azonosítani, megfékezni és felszámolni tudják az operatív technológiai (OT) rendszerek elleni támadásokat, ezáltal megelőzve az ilyen események ismételt előfordulását.
Ezeket a csapatokat azonban általában akkor vonják be, amikor a biztonsági rés már megerősítést nyert, vagyis amikor a kockázatok még nagyobbak.
Ha a válaszadó eszközök vagy a hitelesítő adatok veszélybe kerülnek, az OT-rendszerbe vezető bejelentkezési út pontosan azt adná a támadók kezébe, amire szükségük van.
Ezért az incidenskezelő és a számítógépes nyomozási csapatoknak nem szabad közvetlen, bejelentkezésen alapuló hozzáféréssel rendelkezniük az OT-környezethez.
Megfelelőségi és ellenőrzési csapatok
Ha nincsenek naplóbejegyzések, akkor a megfelelőségi előírások nem teljesülnek.
A megfelelési és auditcsapatoknak hosszú távú napló-tárolásra és megbízható eseménykövetésre van szükségük a szabályozási és jelentési követelmények teljesítéséhez.
A könyvvizsgálóknak azonban sem szükséges, sem tanácsos közvetlen hozzáférést biztosítani az OT-környezethez.
Sokkal biztonságosabb és jobban ellenőrizhető, ha a szükséges naplófájlokat és jelentéseket külső forrásból biztosítjuk számukra, ahelyett, hogy közvetlen hozzáférést biztosítanánk az operatív technológiai rendszerekhez.
Miért éppen adatdióda? Mert a bejövő forgalom igazi rémálom
Ezen a ponton egyértelmű, hogy ha a vállalati rendszerek közvetlenül lekérdezhetik az OT-naplókat, az komoly biztonsági kockázatokat jelent.
Egy támadónak csupán egy rosszul biztosított kapcsolatra van szüksége ahhoz, hogy:
- Áttérés az IT-ről az OT-re.
- Érzékeny OT- és ICS-környezeti adatok kinyerése, ideértve a vezérlőrendszerre vonatkozó információkat, például a PLC gyártmányát és modelljeit, a folyamatértékeket és egyebeket.
- Meghamisítják a naplófájlokat, hogy eltüntessék a nyomokat.
Netwall MetaDefender Netwall hardveres szinten biztosítja az egyirányú adatáramlást, ígykiküszöböli ezeket a kockázatokat.
A naplóbejegyzések kimennek, de semmi sem jön vissza.
Csapataink megkapják a szükséges adatokat, az operatív rendszer pedig továbbra is lezárt és biztonságos marad.
Hogyan működik
Az OT Splunk-példány az OT-környezet egészéből gyűjti össze a biztonsági naplókat.
- A gyűjtemény tűzfal-naplókat,IPS , Windows-eseménynaplókat, sőt PLC-eseményeket is tartalmaz.
Ahelyett, hogy a vállalati felhasználók vagy rendszerek hozzáférhetnének az operatív technológiához (OT),NetWall OPSWAT NetWall a naplókatNetWall továbbítja az OT Splunk-gyűjtőből.
A vállalati Splunk-példány ezután megkapja ezeknek az eseményeknek a Splunk-ról Splunk-ra történő másolatát.
Így a biztonsági és megfelelési csapatok megkapják a szükséges áttekinthetőséget anélkül, hogy olyan bejövő hozzáférési útvonalakat hoznának létre, amelyek kockázatnak tehetnék ki az OT-környezetet.
Záró gondolatok: Kompromisszumok nélküli biztonság
Ha a vállalat biztonsági csapatai operatív technológiai (OT) naplókat kérnek, ne utasítsa el őket egy határozott „nemmel”.
Megadhatja nekik a szükséges hozzáférést, de nem úgy, hogy azzal az egész környezetet veszélybe sodorja.
Az OPSWAT Netwall adatátviteli diódája biztosítja számukra a szükséges átláthatóságot, miközben az operatív technológiát (OT)biztonságbantartja.
Bejövő hozzáférés hiányában nem áll fenn a biztonsági rés kockázata.
NetWall OPSWAT NetWall , hogy a megfelelő adatok a megfelelő módon a megfelelő kezekbe kerüljenek.
Nem kell választanod a láthatóság és a biztonság között.
Egy adatdiódával mindkettőt megkaphatja.
Vegye fel velünk a kapcsolatot, és tudjon meg többet arról, hogyanNetWall OPSWAT NetWall biztonsági csapatai hatékonyságát, valamint operatív technológiai (OT) környezetének biztonságát.
