Secure kritikus adatmozgás méretarányosan
A gyártóknak állandó kihívást jelent az energia- és karbantartási költségek ellenőrzése. Gyáraik berendezései évente több millió dollárnyi energiát és vizet használhatnak fel, és még a kisebb teljesítményproblémák is gyorsan összeadódhatnak a költségekhez.
A váratlan berendezés meghibásodása szintén komoly aggodalomra ad okot. A megelőző karbantartás hiánya a termelés leállását okozhatja, ami minden egyes órányi állásidővel jelentős bevételkiesést eredményez.
Az Aberdeen Research szerint a gyártók óránként akár 260 000 dollárt is veszíthetnek a nem tervezett leállások miatt. Mivel a támadások jelenleg átlagosan 21 napnyi leállást okoznak, a tét nem is lehetne nagyobb.
E problémák leküzdésére a gyártók analitikai platformokat és energiamegtakarítási teljesítményszerződéseket használnak a karbantartó csapatok támogatására. Az OPC és más adatáramlásokat arra használják, hogy az egyes létesítményekben a kritikus berendezéseket folyamatosan nyomon követhessék, rangsorolják a feladatokat, és irányítsák a beruházásokat.
A belső OT (Operational Technology) biztonsági csapatok azonban óriási kiberbiztonsági kockázatokat látnak az üzemcsarnok internethez való csatlakoztatásában:
- Az elavult OT-eszközök gyakran nem rendelkeznek beépített biztonsági vagy javítási képességekkel.
- Az OPC-adatfolyamok külső feltárása támadási vektorokat hozhat létre a támadók számára.
- A termelési rendszerek módosítása költséges és leállással jár.
Ezek a biztonsági aggályok megalapozottak, és a szövetségi iránymutatás is alátámasztja őket. A CISA (Cybersecurity & Infrastructure Security Agency) 2022 márciusában a hálózati szegmentáció fokozása és az ipari vezérlőrendszerek kibertámadás elleni védelme érdekében egyirányú kommunikációs diódák használatát ajánlotta. Ezt az iránymutatást 2023-ban tovább erősítették, amikor mind a NIST, mind a Védelmi Minisztérium a legújabb NIST SP 800-82r3 és UFC 4-010-06 dokumentumban az adatdiódákat az OT-infrastruktúra védelmének egyik lehetőségeként ajánlotta.
A létesítménynek módot kellett találnia az OT-adatok biztonságos kinyerésére és megosztására anélkül, hogy a rendszerben zavaró változtatásokat kellett volna végrehajtani vagy új sebezhetőségeket kellett volna létrehozni.
MetaDefender Optical Diode Enero protokoll átalakítással
A gyártó az OPSWAT és az Enero Solutions-szel együttműködve biztonságos, alacsony késleltetésű adatátviteli architektúrát tervezett.
A MetaDefender Optical Diode (Fend) telepítése optikai szigetelést használ az adatok csak egy irányba történő továbbítására, így fizikailag védi a kulcsfontosságú eszközöket. A rendszer láthatóságát biztosítja, miközben megakadályozza, hogy rosszindulatú programok, zsarolóprogramok és más támadások áthatoljanak a hálózati kapcsolaton.
Az Enero Solutions-szel együttműködve OPC UA adatátvitelt hoztunk létre a régebbi rendszerekből anélkül, hogy az eredeti rendszereket módosítani kellett volna. A MetaDefender Optical Diode (Fend) végzett OPC protokollkonverzió egy többlépcsős, alacsony késleltetésű megközelítést alkalmaz az OPC-adatok OT-hálózaton kívüli biztonságos expozíciójához anélkül, hogy potenciális támadási vektorokat vezetne be a rossz szereplők számára.
Hogyan működik
A védett oldalon lévő OPC-ügyfél OPC UA- vagy DA-előfizetéseket fogyaszt.
Az adatokat az OT-oldali peremkészüléken TCP átvitelre szerializálják, továbbítják a MetaDefender Optical Diode (Fend), majd továbbítják a vállalati oldalon lévő Server , az IT-oldali peremkészülékkel deserializálják, és életképes OPC-pontokként (útvonal, érték, időbélyeg) kivonják. A vállalati (IT) peremkészüléken lévő OPC-kliens pontokat ír egy OPC UA-kiszolgálóra, amelyekhez az ügyfél előfizetéssel fér hozzá.
Eredmény
Az integrált megoldással a gyártóüzem elérte:
- Teljes OT/IT elkülönítés: A Hardware egyirányú átvitel biztosítja, hogy semmilyen külső fenyegetés nem tud behatolni az OT-hálózatba.
- Valós idejű láthatóság: Az OPC UA adatok Secure, folyamatos továbbítása az IT-rendszerekbe, ami gyorsabb válaszidőt, jobb felügyeletet és adatvezérelt döntéshozatalt tesz lehetővé.
- Megőrzött üzemidő és beruházások: A régebbi OT-rendszerek érintetlenül maradtak, elkerülve a költséges cseréket vagy a zavaró leállásokat.
- Csökkentett kiberkockázat: A közvetlen kapcsolatokhoz vagy a csak szoftveres megközelítésekhez kötött támadási vektorok eltávolításával a létesítmény megerősítette általános kiberbiztonsági helyzetét.
- Szabályozás összehangolása: A végrehajtás a szövetségi kiberbiztonsági legjobb gyakorlatokat követi, megfelel a CISA egyirányú kommunikációs diódákra vonatkozó ajánlásainak, és összhangban van a NIST SP 800-82r3 és a DoD UFC 4-010-06 útmutatással az OT-infrastruktúra biztosítására vonatkozóan.
A jövőbe tekintve
A régebbi OT-rendszereknek nem kell biztonsági kockázatot jelenteniük. A megfelelő megközelítéssel a gyártók értékes működési adatokat nyerhetnek ki, miközben fenntartják a teljes hálózati elszigeteltséget és megőrzik a meglévő beruházásokat.
Vegye fel még ma a kapcsolatot OPSWAT , hogy megtudja, hogyan teszi lehetővé a MetaDefender Optical Diode (Fend) a biztonságos adatszerzést a régi rendszerekből, miközben a hardverrel megerősített védelmet fenntartja.
