Az eltávolítható adathordozók továbbra is az egyik leggyakoribb támadási vektor az OT (operatív technológia) és ICS (ipari vezérlőrendszer) környezetekben. A NIST (National Institute of Standards and Technology) nemrégiben kiadott speciális kiadványa, a NIST SP 1334 gyakorlati ajánlásokat tartalmaz az OT- és ICS-rendszereket üzemeltető szervezetek számára. A "Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments" (A hordozható Media kiberbiztonsági kockázatainak csökkentése OT-környezetekben) című dokumentum iránymutatásokat tartalmaz a perifériás és cserélhető adathordozók használatával kapcsolatos kiberbiztonsági kockázatok csökkentésére.
A SANS 2025-ös ICS/OT Cybersecurity Reportja szerint a támadások 27%-át veszélyeztetett cserélhető adathordozók és átmeneti eszközök indították. A levegővel lezárt környezetekben a hordozható adathordozókat gyakran használják olyan adatok, mint a firmware-frissítések, konfigurációs fájlok és naplók továbbítására. Ez növeli a rosszindulatú szoftverek, a nulladik napi exploitok és az ellátási lánc manipulációjának kockázatát a meglévő védelmet megkerülve. A NIST SP 1334 célja, hogy segítse a kisméretű és a hordozható adathordozókkal - köztük az USB-kkel, SD-kártyákkal és hordozható merevlemezekkel - kapcsolatos kockázatok kezelését a kisméretű és az információs és kommunikációs technológiák környezetében.
Miért fontos ez az OT-környezetek számára
Az IT-környezetekkel ellentétben az OT/ICS-környezetek gyakran kihívásokkal és korlátozásokkal szembesülnek a kiberbiztonság terén a közös elszigetelési és hálózati elkülönítési követelmények miatt. A kiberbiztonsági gyakorlatok összehangolása a NIST SP 1334 iránymutatásokkal segít a szervezeteknek csökkenteni a támadási felületet, támogatni a mélységi védelemre vonatkozó védelmi intézkedéseiket, és jobban szabályozni a hordozható adathordozókon keresztüli használatot és fájlátvitelt.
Az OT/ICS-környezetek leggyakoribb kihívásai a következők:
- Örökölt rendszerek használata: Sok OT-eszköz és -rendszer még mindig olyan elavult rendszerekre támaszkodik, amelyekből hiányoznak a modern kiberbiztonsági intézkedések, és amelyeket már nem lehet frissíteni. Ezeknek a rendszereknek a cseréje költséges és elérhetetlen lehet.
- Magas rendelkezésre állási követelmények: A leállások és szolgáltatási zavarok fizikai károkat, biztonsági kockázatokat vagy hatalmas működési veszteségeket okozhatnak.
- Levegővel elzárt környezetek üzemeltetése: Ez korlátozza a hálózat alapú védekezést.
- Elkerülhetetlen cserélhető Media használata: A cserélhető adathordozók használata gyakran elkerülhetetlen a szoftverfrissítések, a diagnosztika és az adatátvitel miatt.
A NIST SP 1334 legfontosabb tanulságai
A NIST SP 1334 hangsúlyozza a négy kulcsfontosságú területre - eljárási, fizikai, technikai és szállítási - kiterjedő, többszintű ellenőrzéseket.
Eljárási ellenőrzések
A szervezeteknek egyértelmű irányelveket kell kidolgozniuk a médiahasználat szabályozására. Ezek közé tartozik a szervezet tulajdonában lévő, hardveres titkosítással ellátott (FIPS-tanúsított) adathordozók beszerzése, az illetéktelen eszközök tiltása, valamint szigorú eljárások kidolgozása az adathordozók rendelkezésre bocsátására, tisztítására és megsemmisítésére. A felhasználási adatok, például a felhasználó személyazonossága, az eszköz sorozatszáma és az időbélyegzők naplózása, valamint a személyzet képzése az irányelvekről szintén alapvető fontosságú.
Fizikai ellenőrzések
A NIST SP 1334 iránymutatásban szereplő fizikai ellenőrzések közé tartozik a hordozható adathordozók fizikailag biztonságos, hozzáférés-ellenőrzött helyen történő tárolása, valamint a jóváhagyott adathordozók leltározása és címkézése a felhasználás részleteivel, mint az eszközkezelési program alapvető része a kockázat minimalizálása érdekében.
Műszaki ellenőrzések
A szervezeteknek tanácsos technikai ellenőrzéseket létrehozni a médiavédelem érdekében. Ezek közé tartozik a szükségtelen portok letiltása, az eszközök és a fájlok végrehajtásának korlátozására szolgáló engedélyezési lista használata, az adathordozók használat előtti és utáni ellenőrzése, az eszközök újrafelhasználás előtti újraformázása, a csak olvasható fájlok írásvédelmének engedélyezése, az automatikus indítás kikapcsolása, titkosított eszközök használata, valamint a cserélhető adathordozókkal kapcsolatos tevékenységekre vonatkozó riasztások konfigurálása.
Szállítási és fertőtlenítési ellenőrzések
További fizikai és logikai ellenőrzésekre van szükség az adathordozók szállításával kapcsolatos kockázatok mérséklésére. Ezek az ellenőrzések magukban foglalják a titkosítás vagy zárt tárolók használatát a biztonságos belső szállításhoz, a hash vagy ellenőrzőösszeg ellenőrzését a fájlok felek közötti átvitelekor, valamint az adathordozók megsemmisítése előtt alapos fertőtlenítést (a NIST SP 800-88, 2. revízióban részletezettek szerint).
Hogyan segít OPSWAT megelőzni a perifériás és cserélhető Media elleni támadásokat?
OPSWAT számos olyan megoldást kínál, amelyek célja a kritikus OT-környezetek védelme a perifériák és a cserélhető adathordozók fenyegetéseivel szemben. Ezek a megoldások segítenek a szervezeteknek a szabályozási irányelveknek való megfelelés elérésében, beleértve a NIST, ISA/IEC 62443, NEI 18-08, NERC CIP, ISO27001, ANSSI, NIS2 és GDPR irányelveket.
Eltávolítható Media fenyegetéscsökkentése a belépési ponton
A MetaDefender Kiosk™ a legnagyobb kihívást jelentő környezetek biztosítására tervezték, a MetaDefender Kiosk™ átvizsgálja és fertőtleníti a levehető adathordozókat a légtérzáras környezetek belépési pontján, biztosítva az OT-rendszerekbe történő adatáramlást. MetaDefender Kiosk emellett segíti a szervezeteket az üzemi ellenálló képesség növelésében, csökkentve a nem tervezett leállások, a termelés megszakításai és a biztonsági incidensek kockázatát. Az Emerson DeltaV Silver Alliance részeként elismerésben részesült , bizonyítva hatékonyságát számos környezetben és felhasználási esetben.
Endpoint és eszközvezérlés a futtatás előtt
MetaDefender Endpoint™ megerősíti a végpontok biztonságát és fejlett védelmet nyújt az üzemeltetési környezetek számára. Aktívan vizsgálja és észleli a cserélhető és perifériás adathordozókat a behelyezéskor, mielőtt azok a kritikus rendszerek számára hozzáférhetővé válnának. Ez a képesség segíti a szervezeteket a NIST SP 1334-ben a hordozható adathordozókra vonatkozó kiberbiztonsági követelményekhez való igazodásban. Lehetővé teszi továbbá a felhasználók számára a cserélhető adathordozók adatainak biztonságos törlését, segítve ezzel a szabványok adathordozó-helyreállítási követelményeinek teljesítését.
Védelmi felügyelet egyetlen üvegből
A My OPSWAT™ Central Management integrálva a MetaDefender Endpoint és a MetaDefender Kiosk támogatja a központosított házirend-kényszerítést az eszközhozzáférés ellenőrzésére, a hordozható médiahasználat felügyeletére és kezelésére, valamint a tevékenységnaplózásra.
Media mint a védelem extra rétege
OPSWAT számos megoldást kínál a mélységi védelmi stratégia fokozására. A MetaDefender Endpoint Validation, az OPSWAT Media Validation Agent és a MetaDefender Media Firewall™ további biztonsági réteget biztosít a szkennelési és szanálási irányelvek érvényesítésével.
A MetaDefender Endpoint Validation és az OPSWAT Media Validation Agent a végpontokra telepített könnyű eszközök, amelyek mind a légköri, mind az összekapcsolt környezetben működnek. Ellenőrző pontként szolgálnak annak biztosítására, hogy csak a MetaDefender Kiosk által vizsgált fájlok nyithatók meg, másolhatók, választhatók ki és érhetők el a végponton.
A MetaDefender Media Firewall egy plug-and-play hardveres megoldás, amely megvédi a kritikus gazdarendszereket a cserélhető adathordozók által hordozott fenyegetésektől. A MetaDefender Kiosk együtt működik, mint egy könnyen használható, fizikai réteg az OT-környezetek védelmére, és garantálja, hogy egyetlen át nem vizsgált cserélhető adathordozó sem tudja kijátszani a belépési pontokat. Ez a megoldás segít a szervezeteknek abban is, hogy érvényre juttassák a jogszabályi megfelelési szabványokhoz igazodó átvilágítási irányelveket.
Iparági vezető Core
A MetaDefender Kiosk és a MetaDefender Endpoint világszerte megbízható, iparágvezető technológiákat használ, többek között:
- Metascan™ Multiscanning: Akár 99,2%-os kártevő-felismerési arányt ér el több mint 30 kártevő-ellenes motorral.
- Mély CDR™: Rekurzívan szanálja a fájlokat a potenciális fenyegetések eltávolítása érdekében, anélkül, hogy veszélyeztetné a funkcionalitásukat, hogy megakadályozza az ismeretlen fenyegetéseket, beleértve a nulladik napi kihasználásokat, több mint 200 támogatott fájltípussal.
- File-Based Vulnerability Assessment: Az ismert sebezhetőségek észlelése több mint 3 000 000 aktív eszközről gyűjtött adatponttal és több mint 30 000 kapcsolódó CVE-vel és súlyossági információval.
- Proaktív DLP™: A mesterséges intelligencia által támogatott modelleket használja az érzékeny információk, például a PII, PHI, PCI felkutatására és automatikus törlésére több mint 110 fájltípusban.
- Származási ország: A fájlok földrajzi forrásának felderítése a korlátozott helyek és szállítók azonosítása érdekében, támogatva a jogszabályi megfelelés biztosítását.
A kritikus infrastruktúra védelme az eltávolítható Media elleni támadások ellen
Fedezze fel, hogy a kritikus infrastruktúrával foglalkozó szervezetek miért bíznak az OPSWATmegoldásaiban, hogy megerősítsék OT/ICS környezetüket a perifériás és cserélhető adathordozók fenyegetései ellen. Szervezzen bemutatót még ma, és beszéljen szakértőink egyikével.
