Biztonsági akadályok a broadcast UDP-adatok továbbításakor
Az energiatermelő létesítmények folyamatos, valós idejű felügyeletet igényelnek a hálózat stabilitásának és optimális teljesítményének biztosítása érdekében. Ez az igény még kritikusabbá vált, mivel a közművek elleni kibertámadások száma 2024-ben 70 százalékkal nőtt, a Check Point Research szerint 1162 dokumentált kibertámadás érte a közműveket. Ezt a kihívást súlyosbítja, hogy az Észak-amerikai Elektromos Megbízhatósági Társaság (North American Electric Reliability Corporation) megállapította, hogy a hálózat sebezhetőségei gyorsan bővülnek, és naponta körülbelül 60 új sebezhető ponttal bővül az elektromos hálózat, ahogy a közművek új technológiákat integrálnak és bővítik infrastruktúrájukat.
A kilenc államban 3 millió ügyfelet kiszolgáló nagy áramszolgáltató számára a turbinák kritikus működési adatokat továbbítottak broadcast UDP csomagokon keresztül, amelyek elengedhetetlenek voltak a valós idejű teljesítmény-ellenőrzéshez a Kiesés- és kapcsoláskezelő rendszerükön keresztül. A közműszolgáltató biztonsági tűzfala azonban a szabványos biztonsági protokollok részeként blokkolta ezt az UDP adatforgalmat. Ezáltal a rendszerek sebezhetővé válhattak a broadcast amplifikációs támadásokkal szemben, és csökkenhetett a hálózat hatékonysága. Hasonlóképpen, a tűzfal megkerülése nem volt lehetséges olyan dedikált hardveres alternatíva nélkül, amelyet telepíteni lehetett volna e kritikus eszközök biztonságának megőrzése érdekében. Tekintettel arra, hogy az energiatermelő létesítmények a szövetségi szabályozás szerint kritikus infrastruktúrának minősülnek, a robusztus kiberbiztonsági helyzet fenntartása nem volt tárgyalhatatlan.
A hagyományos megoldások kiterjedt eszközfejlesztéseket, bonyolult hálózati átkonfigurálásokat vagy drága, vállalati szintű adatdióda-megoldásokat igényeltek volna, amelyek telepítésenként több tízezer dollárba kerülhettek. Több, felügyeletet igénylő turbina telephely esetén ezek a költségek gyorsan több százezres nagyságrendűek lettek volna.
Turbinafelügyelet egyirányú adatútvonallal
A közműszolgáltató az OPSWAT MetaDefender Optical Diode (Fend) célzott megoldásként alkalmazta a turbinafigyelési kihívásukra.
Az OPSWAT optikai adatdióda hozzáadásával a hálózati topológiájukhoz a telephely központi kapcsolója és az OSM (Outage & Switching Management) rendszer között, az egyes turbinákról érkező UDP adatforgalmat biztonságosan továbbítani lehetett az OSM rendszer felé, fizikailag egyirányú módon, anélkül, hogy a meglévő berendezések kompatibilitását korszerűsíteni kellett volna.
Hogyan működik
- A turbinák egy switch-en keresztül továbbítják az adatokat az alhálózat minden IP-címére broadcast UDP módban.
- A bemeneti oldal fogadja a forgalmat: A Fend adatdióda bemeneti oldala csatlakozik a kapcsolóhoz, és UDP-kiszolgálóként van konfigurálva ugyanabban az alhálózatban, és fogadja az UDP-műsorszórásos forgalmat.
- Egyirányú optikai leválasztás: A bemeneti oldal a belső egyirányú optikai gáton keresztül továbbítja az adatokat a dióda kimeneti oldalára.
- Secure kézbesítés az OSM-nek: A kimeneti oldal, amely UDP-kliensként működik a cél OSM UDP-kiszolgálóval azonos alhálózaton, közvetlenül az OSM rendszer IP-címére küldi az UDP-forgalmat.
Eredmény: Az adatok eljutnak a célállomásra, de semmi sem juthat vissza a védett berendezésbe - teljes egyirányú biztonságot nyújtva.
Az iparág legjobb gyakorlata: A kritikus infrastruktúrák mélyreható védelme
Ez a megközelítés összhangban van a létfontosságú infrastruktúrák védelmére létrehozott kiberbiztonsági keretrendszerekkel. Az Egyesült Államok Belbiztonsági Minisztériuma a mélységi védelmi stratégiák részeként az adatdiódák használatát ajánlja az energiainfrastruktúra védelmére. Egyes ágazatokban, például az atomenergiában az adatdiódákat a Nukleáris Szabályozási Bizottság írja elő.
OPSWAT MetaDefender Optical Diode (Fend) könnyen telepíthető és költséghatékony megoldást kínál a szabályozási követelményeknek való megfelelésre és a biztonsági helyzet javítására, így minden méretű közműszolgáltató számára elérhető.
Secure, valós idejű hozzáférés a turbinaadatokhoz
Ma a közműszolgáltató valós időben kap működési adatokat a turbináktól anélkül, hogy a távoli fenyegetésvektoroktól való biztonságot veszélyeztetné. A fizikailag kikényszerített egyirányú adatáramlás biztosítja, hogy még ha az OSM-rendszer veszélybe is kerülne, a támadók nem tudnának visszanyúlni az operatív technológiai környezetbe.
Legfontosabb előnyök
Költséghatékony méretezés
OPSWAT optikai adatdiódák ára csak töredéke a hagyományos adatdióda-kínálatnak, így a több telephelyes telepítés gazdaságosan megvalósíthatóvá válik
Könnyű telepítés
Kompakt kialakítás, egyszerű konfiguráció és minimális karbantartási igény mellett könnyen illeszkedik bármelyik készülékszekrénybe
Nincs eszközfejlesztés
Zökkenőmentesen működött a meglévő infrastruktúrával anélkül, hogy turbina vagy kapcsoló módosítására lett volna szükség.
Megbízható védelem
A Hardware egyirányú adatáramlás olyan biztonsági garanciákat nyújt, amelyekkel a szoftveres megoldások nem érhetnek fel.
A Grid skálázható modernizációja
Az OPSWAT MetaDefender Optical Diode (Fend) sikeres bevezetésével a turbinák megfigyelési helyszínein a közműszolgáltató bevált modellt hozott létre az operatív technológiai adatáramlás biztosítására. Miközben folytatják a hálózati infrastruktúrájuk modernizálását és új felügyeleti képességek integrálását, most már egy skálázható, megfizethető megoldással rendelkeznek, amely nem kényszeríti őket arra, hogy válasszanak az operatív láthatóság és a kiberbiztonság között.
Kompromisszumok nélkül Secure kritikus infrastruktúráját
Az Ön szervezete is hasonló kihívásokkal néz szembe az OT-adatok láthatósága és biztonsága terén? OPSWAT MetaDefender Optical Diode hardveresen kényszerített, egyirányú adatátvitelt biztosít, amely védi a kritikus infrastruktúrát, miközben fenntartja a szükséges valós idejű működési betekintést.
