Zero Trust az operatív technológiában: Mit követel meg az új CISA-útmutató a biztonsági architektúrától

Az OT (operatív technológia) területén alkalmazott Zero Trust egy olyan biztonsági architektúra, amely kiküszöböli az ipari hálózatokban fennálló implicit bizalmat, és előírja, hogy minden felhasználót, eszközt és adatátvitelt folyamatosan ellenőrizzenek az identitás, a kontextus és a kockázat alapján, mielőtt hozzáférést biztosítanának bármely operatív rendszerhez vagy fizikai folyamathoz. Az IT-vel ellentétben az OT Zero Trust-nak úgy kell működnie, hogy közben ne zavarja a folyamatos üzemeltetést, a biztonsági rendszereket, illetve azokat a régebbi berendezéseket, amelyek nem képesek modern biztonsági ügynököket futtatni.

Öt amerikai kormányzati szerv – a CISA (Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség), a Védelmi Minisztérium, az Energiaügyi Minisztérium, az FBI és a Külügyminisztérium – tette közzé az ipari kiberbiztonságról szóló eddigi leghitelesebb nyilatkozatot: „A Zero Trust elvek alkalmazása az operatív technológiában” címmel. Az üzenet egyértelmű. A Zero Trust már nem csupán az IT-környezetekre korlátozódó keretrendszer. Ma már ez az elvárt biztonsági szemlélet minden olyan szervezet számára, amely operatív technológiai rendszereket üzemeltet, az energiahálózatoktól a víztisztító telepeken át a kormányzati létesítményekig.

Ha Ön egy OT-biztonsági vezető, aki ezt olvassa, akkor a kérdés nem az, hogy a Zero Trust-megközelítés-e a helyes irány. Hanem az, hogy hogyan hidalja át a szakadékot a kormányzati előírásoknak való megfelelés és az ellenőrzési követelmények, valamint egy olyan létesítmény között, ahol évtizedes berendezéseket üzemeltetnek, a személyzet létszáma szűkös, és az igazgatóság folyamatosan azt kérdezi, mit tesznek az ügy érdekében. Ez a bejegyzés választ ad arra, hogy a CISA útmutató valójában mit ír elő az egyes pillérek tekintetében, és OPSWAT platformja hogyan illeszkedik mindegyikhez.

Az útmutató három alapelvet nevez meg, amelyekkel minden OT Zero Trust programnak foglalkoznia kell: az eszközök átfogó láthatósága, a megbízható IAM (azonosítás- és hozzáféréskezelés), valamint a proaktív ellátási lánc kockázatkezelés. Emellett megnevezi azokat a támadókat is, akik sürgetik a cselekvés szükségességét – például a Volt Typhoonhoz hasonló állami szponzorált csoportokat, amelyekről a CISA megállapította, hogy előre beépültek az OT-hálózatokba, hogy ott tartós jelenlétet biztosítsanak és az aktiválásra várjanak.

Az informatika területén a Zero Trust-megközelítést szoftverekkel valósítják meg – identitásszolgáltatók, végpont-ügynökök és hozzáférési szabályzatok segítségével, amelyek órák alatt frissíthetők. Az OT-környezetek olyan korlátok mellett működnek, amelyek miatt a közvetlen IT-megközelítések kivitelezhetetlenek: 20 éves élettartamú, régi PLC-k (programozható logikai vezérlők), amelyek nem képesek modern hitelesítési ügynököket futtatni; szigorú rendelkezésre állási követelmények, ahol egy felderítő csomag nem tervezett leállást okozhat; valamint a kiberbiztonság és a fizikai biztonság közötti közvetlen kapcsolat, amely az IT-nek egyszerűen nincs.

A CISA útmutatója őszintén beszél ezekről a korlátokról. A Zero Trust-megközelítés bevezetése az elöregedő ipari infrastruktúrában évekig tart és jelentős beruházásokat igényel. Ez a feszültség valós.

Az útmutató egyértelműen rámutat arra, hogy a fenyegetési környezet nem várja meg, amíg ezek a tervek kiforrottá válnak. Ahogy az OT-rendszerek egyre szorosabban összekapcsolódnak az IT-hálózatokkal és egyre inkább távfelügyelet alá kerülnek, a hagyományos „air-gap” elv már nem érvényes. A támadók már alkalmazkodtak ehhez. Azok a biztonsági intézkedések, amelyeket a szervezetek ma bevezetnek – még ha azok csak fokozatosak is –, meghatározzák, hogy a hosszabb átalakítási folyamat ideje alatt a támadási felület mekkora része marad ki téve a veszélyeknek. A kérdés nem az, hogy el kell-e kezdeni, hanem az, hogy hol.

A CISA útmutatója három prioritást határoz meg a Zero Trust operatív technológiában (OT) való alkalmazása tekintetében: az eszközök átfogó láthatóságát, a megbízható identitás- és hozzáféréskezelést, valamint a proaktív ellátási lánc-kockázatkezelést. Emellett kiemeli azokat a konkrét fenyegető szereplőket – például a Volt Typhoon-t és az állami szervekhez kapcsolódó csoportokat –, amelyek máris kihasználják azokat a biztonsági réseket, amelyeket ezek az ellenőrző mechanizmusok hivatottak megszüntetni.

OPSWAT platformját pontosan erre a célra fejlesztették ki. Passzív OT-eszközök felderítése anélkül, hogy egyetlen eszközt is megérintenének. Hardware elszigetelés, amely fizikailag lehetetlenné teszi a távoli támadások egész csoportját. A Deep CDR™ technológia minden fájlátviteli ponton – hálózat, USB, adatátvitel – alkalmazásra kerül. Az azonosítás és a hozzáférés ellenőrzése munkamenet-szinten történik, még mielőtt bármely kapcsolat elérné a vezérlőrendszert.

Az OT-környezetekben az eszközök láthatósága azt jelenti, hogy az ipari hálózaton található minden eszközről – beleértve a régebbi PLC-ket, RTU-kat (távoli terminál egységeket) és HMI-ket (ember-gép interfészeket) is – teljes, folyamatosan frissített leltárt kell vezetni, a firmware-verziók és protokollok feltüntetésével, olyan passzív felügyeleti módszerek alkalmazásával, amelyek nem generálnak olyan forgalmat, amely megzavarhatná az érzékeny vezérlőrendszereket.

A legtöbb OT-biztonsági program éppen ezen a téren mutatja a legnagyobb, még megoldatlan hiányosságot; ennek okai pedig nem szervezeti, hanem architektúrábeli jellegűek. Industrial alapvetően más eszközállományra épülnek, mint az IT-környezetek. Egy tipikus OT-hálózat PLC-ket, RTU-kat, DCS-vezérlőket, érzékelőket, reléket, HMI-ket, mérnöki munkaállomásokat és egy egyre növekvő IIoT-eszközréteget tartalmaz, amelyek mindegyike a számára tervezett pontos protokollon kommunikál: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA és tucatnyi saját fejlesztésű változat. A szabványos IT-felfedező eszközök nem tudják elemezni ezeket a protokollokat. Nem értik a Modbus funkciókódok szemantikáját, nem tudják értelmezni a DNP3 adatelemeket, és nincs modelljük arra, hogy mi minősül normális, illetve rendellenes viselkedésnek az EtherNet/IP implicit üzenetváltásában. Amikor ezek az eszközök OT-eszközökkel találkoznak, vagy hiányos adatokat adnak vissza, vagy váratlan forgalmat generálnak, amelyet a fogadó eszköz soha nem volt hivatott kezelni.

Ez a második kimenetel nem csupán elméleti lehetőség. Az OT-környezetekben végzett aktív szkennelés már okozott nem tervezett folyamatmegszakításokat és eszközlezárásokat gyártóüzemekben. Éppen ezért javasolja a CISA útmutatója a passzív megfigyelést az OT-eszközök felderítésének megfelelő módszereként, és éppen ezért nem megkerülhető ez az ajánlás olyan környezetekben, ahol szigorú rendelkezésre állási követelmények vannak érvényben. A hálózati TAP-eken vagy SPAN-portokon keresztül megvalósított passzív adatgyűjtés a forgalmat figyeli anélkül, hogy olyan lekérdezéseket küldene, amelyek megzavarhatnák az érzékeny vezérlőrendszereket. Megfigyeli, hogy mi kommunikál, hogyan kommunikál, és mi a normális állapot, anélkül, hogy a megfigyelt hálózat egyetlen eszközét is megérintené.

Ezt a lefedettségi problémát, amelyet ennek a megközelítésnek meg kell oldania, tovább súlyosbítja az OT-kommunikációs minták jellege. Számos eszköz kizárólag meghatározott működési események során kommunikál: egy PLC például csak a gyártási ciklus alatt továbbíthat adatokat, egy relé csak hibaállapot esetén jelzhet, míg egy terepi érzékelő forgalma szakadozott lehet, hosszú csendes szünetekkel elválasztva. Egy olyan felügyeleti ablak, amely nem veszi figyelembe a működési módok teljes skáláját, hiányos leltárt eredményez – és az a leltárból hiányzó eszközök pontosan azok az eszközök, amelyeket nem lehet védeni, szegmentálni vagy felügyelni. A SANS 2025 ICS/OT kiberbiztonsági helyzetről szóló adatai szerint az eszközök láthatósága továbbra is az ipari szervezetek legfontosabb biztonsági beruházási prioritása, mégis kevesebb mint 1 az 8-ból jelent teljes láthatóságot a környezetükben, a kezdeti hálózati hozzáféréstől a fizikai folyamatokra gyakorolt potenciális hatásokig. A hiányosság nem finanszírozási probléma. Hanem módszertani probléma.

A Volt Typhoon pontosan ezt a rést használja ki. A csoport dokumentált módszere az, hogy beolvad a hálózat szokásos működésébe – törvényes protokollok, engedélyezett útvonalak és szabványos rendszergazdai eszközök használatával –, hogy tartós hozzáférést biztosítson az OT-környezetekben. Ha nincs teljes rálátás arra, hogy mi található a hálózaton és milyen a normális viselkedés, ezek a technikák gyakorlatilag észrevehetetlenek.

OPSWAT OT-biztonsági platformja, MetaDefender Security™, passzív eszközfelismeréssel és az OT-protokollok mélyreható elemzésével oldja meg ezt a problémát. A platform nem generál hálózati forgalmat, hanem azt figyeli, így a megfigyelt eszközökbe való beavatkozás nélkül állítja össze a teljes eszközleltárt és a viselkedési alapvonalat – mindezt a sebezhetőség- és javításkezelés, valamint a megfelelőségi jelentések mellett, egyetlen, kifejezetten OT-rendszerekre szabott felületen. A rendellenes munkamenetek, a váratlan eszközkommunikációk és a jogosulatlan protokoll-interakciók így felismerhetővé válnak – még mielőtt azok üzemzavarhoz vezetnének.

Az OT-területen az IAM-mel kapcsolatos legnagyobb kihívás az, hogy a támadók egyre inkább a szoftveres sebezhetőségek kihasználása helyett a törvényes hozzáférési útvonalakat – érvényes hitelesítő adatokat, engedélyezett távoli munkameneteket és szabványos mérnöki eszközöket – használják. A közelmúltban kiadott, az FBI és a CISA közös biztonsági figyelmeztetésében ismertetett, Iránhoz kapcsolódó szereplők a szabványos ipari kommunikációs portokon keresztül csatlakoztak az internetre kapcsolt PLC-khez, és úgy léptek kapcsolatba a vezérlőrendszerekkel, mintha engedélyezett üzemeltetők lennének.

Az OT-környezetekben legszélesebb körben alkalmazott távoli hozzáférési megoldás – a VPN – olyan kockázati kategóriát jelent, amely strukturális jellegű, nem pedig konfigurációs. A VPN-ek közvetlen hálózati szintű kapcsolatot hoznak létre, amely megszakítja a Purdue-modell hierarchikus elszigeteltségét, és harmadik fél szolgáltatókat enged be az irányító hálózati szegmensekbe anélkül, hogy részletes munkamenet-ellenőrzés vagy a legkisebb jogosultság elvének érvényesítésére szolgáló mechanizmus lenne biztosítva. Bármely kompromittált vagy biztonságos eszköz a szállító oldalán a csatornán keresztül közvetlen hálózati útvonalat kap a termelési rendszerekhez. A natív hitelesítési képességgel nem rendelkező régebbi OT végpontok esetében a kockázat tovább növekszik. Ezek az eszközök nem tudnak hozzáférési eseményeket naplózni, nem tudnak munkamenet-szabályokat érvényesíteni, és nem tudnak jogosulatlan kapcsolatokat megszakítani. Bármilyen érvényesítési mechanizmus is létezik, annak teljes egészében az eszköz előtt kell elhelyezkednie, különben egyáltalán nem létezik. MetaDefender Industrial , OPSWAT ipari tűzfala az OT-hálózatok számára, közvetlenül kezeli a szegmentációs problémát – zónalapú szegmentációt érvényesít és ellenőrzi az oldalirányú mozgást akkor is, ha a gyártói munkamenet már a hálózat belsejében van.

A CISA útmutatója világosan bemutatja, milyen következményekkel járhat, ha ezt a problémát nem kezelik. Az állami háttérrel rendelkező támadók a szokásos ipari kommunikációs portokon keresztül fértek hozzá az internetre kapcsolt PLC-khez, és nem szoftveres biztonsági rések kihasználásával, hanem egyszerűen úgy, ahogyan egy jogosult kezelő tenné. A bejelentkezési adatok helyesnek tűntek. A protokollok is a várakozásoknak megfelelőek voltak. Semmi sem jelzett rendellenességet a munkamenetben, mivel a hozzáférési rétegen nem volt beállítva semmi, ami ellenőrizte volna a munkamenet jogszerűségét.

OT Access MetaDefender OT Access a munkamenet szintjénOT Access a Zero Trust elvet, még mielőtt bármely kapcsolat elérné az OT-eszközt. Minden távoli munkamenetet – legyen szó belső mérnökről, előre ütemezett OEM-karbantartási időszakról vagy első alkalommal csatlakozó külső vállalkozóról – egyenként hitelesítenek, a szükséges minimális hozzáférésre korlátoznak, időbeli korlátozás alá helyeznek és teljes körűen naplózunk. A munkameneteket rögzítik, folyamatosan figyelemmel kísérik, és valós időben megszakíthatók, ha a viselkedés eltér a várt paraméterektől. Nincs állandó hálózati hozzáférés, állandó alagút vagy útvonal az eszközökhöz azon túl, amit az adott munkamenet kifejezetten megkövetel. A modern hitelesítésben nem részt vevő régebbi eszközök esetében MetaDefender OT Access a kapcsolatkezelési rétegenOT Access az érvényesítést, így az ellenőrzés függetlenül attól, hogy az eszköz milyen képességekkel rendelkezik.

Az OT-területen az ellátási lánc kockázata mind a digitális, mind a fizikai adatátviteli eseményeket magában foglalja: a hálózaton keresztül továbbított szoftverfrissítéseket, a helyszínre behozott beszállítói laptopokat, USB feltöltött firmware-eket, valamint az IT-részlegről az air-gapped vezérlőhálózatokba továbbított műszaki fájlokat. Mindezek potenciális veszélyt jelentenek a rosszindulatú tartalmak rendszerbe való bejutására, amelyek – ha egyszer megfertőzik a rendszert – közvetlenül befolyásolhatják a fizikai folyamatokat.

Mielőtt bármely szoftverelem eléri az OT-határt, integritását már előzetesen ellenőrizni kell. MetaDefender Software Chain™ az átviteli lánc IT-oldalán oldja meg ezt a problémát: a gyártók által szállított fejlesztői eszközöket, firmware-csomagokat és ipari szoftverfrissítéseket az SBOM-adatokkal összevetve ellenőrzi, megerősíti, hogy az elemeket szállítás közben nem manipulálták, és feltárja az ismeretlen komponenseket, mielőtt azok átvitelére engedélyt adnának. Mire egy fájl eléri a Kiosk pontot vagy az MFT munkafolyamatot, már átment az IT-réteg integritás-ellenőrzésén. Így a határ ellenőrzései egy már meghozott döntést erősítenek meg, nem pedig egy soha meg nem hozott döntést pótolnak.

Ez az a támadási felület, amelyet a hálózati szintű védelmi intézkedések nem tudnak teljes mértékben lefedni – azonban a hálózati réteg szintjén történő érvényesítés továbbra is kulcsfontosságú szerepet játszik, miután a beszállító már bejutott a rendszerbe.Firewall MetaDefender Industrial Firewall minden beszállítói munkamenet tényleges ipari protokoll-adatainak ellenőrzéséhez. Még akkor is, ha egy harmadik fél általi kapcsolat engedélyezett, a tűzfal ellenőrzi, hogy a parancsok az adott munkamenetre vonatkozó várt funkciókódok és értéktartományok határain belül maradnak-e – valós időben blokkolva a fertőzött beszállítói eszközökből vagy meghamisított frissítésekből származó rosszindulatú parancsokat. Emellett szigorú kommunikációs útvonalakat is érvényesít: a beszállítóhoz csatlakozó eszköz csak azokhoz a rendszerekhez férhet hozzá, amelyekre a hozzáférési jogosultsága kiterjed, így megakadályozva az ellátási lánc kompromittálódását, mielőtt az OT-zónák között oldalirányban terjedhetne. Az OT-komponensekben található, ismert CVE-k esetében, amelyekre a beszállító még nem szállított ki javítást – ami az OT-ban gyakran hónapokig is eltarthat –, az Industrial Firewall virtuális javításokatFirewall hálózati szinten, így az eszköz megérintése nélkül blokkolja a kihasználást.

OPSWAT cserélhető adathordozókra OPSWAT biztonsági megoldása, MetaDefender minden cserélhető adathordozót elfog és ellenőriz, mielőtt az a biztonsági zónába kerülne. Minden fájlt Multiscanning Metascan™ Multiscanning segítségével több mint 30 kártevőirtó motor Multiscanning vizsgálnak meg, a Predictive Alin AI értékeli a végrehajtás előtti zero-day észlelés céljából, majd a Deep CDR™ technológiával dolgozzák fel, amely a fájlt egy ismert, biztonságos állapotba állítja vissza – eltávolítva a beágyazott fenyegetéseket, miközben megőrzi a technikusok munkavégzéséhez szükséges legitim tartalmat.Firewall MetaDefender Media Firewall, OPSWAT cserélhető adathordozók ellenőrzésére szolgáló megoldása, kiterjeszti ezt az ellenőrzést a végpontok USB is – hardveralapú érvényesítést alkalmazva, amelynek köszönhetően csakKiosk MetaDefender Kiosk által már ellenőrzött és jóváhagyott cserélhető adathordozókKiosk a védett munkaállomáshoz, függetlenül attól, hogy az a létesítményen belül hol található. OPSWAT fejlett végpontvédelmi megoldása, MetaDefender kritikus végpontokon kerül telepítésre annak ellenőrzésére, hogy a cserélhető adathordozókról származó fájlokat előzetesen átvizsgálta-e és feldolgozta-e MetaDefender Kiosk. Ez biztosítja, hogy a végponton csak az ellenőrzött fájlok nyithatók meg, másolhatók vagy érhetők el, és hogy a jogosulatlan vagy át nem vizsgált fájlok ne jussanak be a kritikus környezetekbe.

A hálózati zónákat átlépő adatátvitelek – például az IT-ből az OT-be, vagy a felhőhöz kapcsolódó rendszerekből az elszigetelt vezérlő környezetekbe – esetében OPSWAT MetaDefender Diode™ nevű adatátviteli megoldása hardveresen biztosított egyirányú adatáramlást biztosít. Ez magában foglalja az olyan üzemeltetési adatokat, mint a történeti adatok, az érzékelői telemetriai adatok, valamint az OT-hálózatból az IT-rendszerekbe, elemzési platformokra vagy felhőalapú infrastruktúrába továbbított folyamatadatok, amelyek felügyeleti és jelentési célokat szolgálnak. Semmilyen bejövő parancs, kapcsolati kérés, szoftverfrissítés vagy hasznos adat nem haladhat át a határon fordított irányban. A biztonsági garancia nem függ a helyes konfigurációtól, a rendszeresen frissített szoftverektől vagy a hozzáférési hitelesítő adatok integritásától, mivel ezeknek a szoftverrétegbeli tényezőknek nincs módjuk felülírni a hardveres korlátozást. Azok számára, akik olyan régi vezérlőrendszereket üzemeltetnek, amelyek nem frissíthetők, nem futtathatnak végpont-ügynököket, és nem tűrik a biztonsági okokból bekövetkező leállásokat, ez az az architektúra, amelyben a CISA útmutatója és a szélesebb ipari biztonsági közösség egyetértett, mint a megfelelő technikai megoldás.

MetaDefender File Transfer™ (MFT) megoldás azoknak a szervezeteknek a strukturált fájlátviteli igényeit elégíti ki, amelyeknek teljes körű ellenőrzés, auditnaplózás és munkafolyamat-vezérlés mellett kell operatív fájlokat mozgatniuk különböző zónák között. A rendszer minden átviteli művelet során kötelezővé teszi a tartalom ellenőrzését, így biztosítva, hogy maga a fájlátviteli útvonal ne váljon felügyelet nélküli behatolási ponttá.

Nem minden határt lehet szabályzatokkal védeni. Egyesek fizikai védelmet igényelnek. A Cross-Domain Solutions (CDS) megoldások hardveres szintű határokat hoznak létre az OT- és az IT-hálózatok között, ahol semmilyen szoftveres hibás konfiguráció, ellopott hitelesítő adat vagy zero-day sebezhetőség nem nyithat bejövő útvonalat.Optical Diode MetaDefender Optical Diode MetaDefender Security Gateway™ egyaránt rendelkezik Common Criteria EAL4+ tanúsítvánnyal, és [támogatja a NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 és ISO 27001 szabványoknak való megfelelést](opswat) – azaz az energia-, nukleáris, vegyipari és védelmi kritikus infrastruktúrát szabályozó keretrendszerek teljes skáláját.

A CISA útmutató a NIST CSF (Cybersecurity Framework) 2.0 funkcióihoz igazodik – irányítás, azonosítás, védelem, észlelés, reagálás, helyreállítás. Az alábbi táblázat az egyes követelményeket a megfelelő OPSWAT rendeli:

Az OT-területen a „Zero Trust” nem egy megvásárolható termék. A CISA útmutatója egyértelműen kijelenti: az eszközök és technológiák ugyan szükségesek, de önmagukban nem elegendőek. A szervezeteknek olyan platformra van szükségük, amelyet olyan környezetekre terveztek, ahol a rendelkezésre állás, a biztonság és a szabályozási előírások betartása nem képezi tárgyalási alapot. OPSWAT MetaDefender™ platformja biztosítja ezt az architektúrát a CISA előírásainak teljes körében – a beérkező levelek mappájától, ahol a kezdeti hozzáférés megkezdődik, egészen a hardver által érvényesített határig, ahol a kritikus rendszerekhez intézett parancsok véget érnek.

Amint a fenti táblázatból látható, OPSWAT egyetlen platformon OPSWAT a CISA-val összhangban lévő összes ellenőrzési kategóriát a NIST CSF 2.0 mind a hat funkciója tekintetében – ilyen széles körű lefedettséget egyetlen, kizárólag az OT-ra szakosodott szolgáltató sem tud felmutatni. Készen áll arra, hogy felmérje, hol tart az Ön OT-környezete a CISA Zero Trust keretrendszerhez képest?

Beszéljen egy szakértővel →