12 grudnia 2024
Systemy technologii operacyjnej (OT) celem cyberataków w wojnie hybrydowej
Jak wskazuje ekspert Stormshield, w kontekście rosnącego zainteresowania przestępców przedsiębiorstwami produkcyjnymi szczególnego znaczenia nabiera segmentacja systemów OT i IT, której podstawą jest firewall. Wobec niestabilnej sytuacji geopolitycznej prawidłowe zabezpieczenie systemów przemysłowych ma istotne znaczenie w kontekście ogólnego bezpieczeństwa państwa.
Według najnowszej edycji raportu „Microsoft Digital Defense”, Polska jest 3. w Europie i 9. na świecie najczęściej atakowanym krajem ze strony cyberprzestępczych organizacji sponsorowanych przez obce państwa, głównie Rosję. W ostatnich miesiącach Microsoft obserwował przy tym wzrost liczby zgłoszeń ataków na słabo zabezpieczone urządzenia OT połączone z Internetem, które kontrolują krytyczne procesy. Przestępcom sprzyja gwałtowny rozwój technologiczny. Cyfryzacja gospodarki nakłada się na stworzone przed laty rozwiązania. Systemy przemysłowe, np. linie produkcyjne współczesnych fabryk, funkcjonują on-line, a jednocześnie wiele z nich tworzone było w zupełnie innych realiach.
Informacje dla systemów zarządzających procesami przekazywane są z wykorzystaniem wewnątrz-firmowych i zewnętrznych połączeń sieciowych, a za pośrednictwem Internetu, w ramach połączeń szyfrowanych VPN, odbywa się monitoring ich funkcjonowania, wsparcie techniczne oraz serwis. Tak współcześnie funkcjonuje sektor produkcyjny, niezależnie od branży. W świetle presji przestępców warto sprawdzić, czy nie mamy opóźnienia w obszarze bezpieczeństwa OT, które mogą okazać się kosztowne
Aleksander Kostuch
inżynier Stormshield
Segmentacja, analiza protokołów przemysłowych i bezpieczeństwo połączeń
Segmentacja zapewnia możliwość zablokowania rozprzestrzeniania się ataku, czyniąc bardziej złożonym wykrywanie elementów sieci operacyjnej. W skutecznym oddzieleniu wszystkich obiektów operacyjnych i kontroli przepływu danych między nimi pomoże na przykład instalacja firewalli. Świadomość wagi problemu mają wytwórcy technologii bezpieczeństwa.
Kolejną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi.
Jeśli napastnikom uda się nawiązać połączenie z fizycznym urządzeniem lub stacją obsługi zdalnej, to będą oni mogli analizować sieć, rozumieć jej strukturę i wysyłać złośliwe wiadomości. Najlepszym sposobem przeciwdziałania tym rodzajom ryzyka jest wdrożenie sond przemysłowych, zabezpieczenia z wyspecjalizowanym rozwiązaniem inline z IPS i głęboką analizą protokołów przemysłowych w celu kontrolowania wiadomości wymienianych z najbardziej wrażliwym sprzętem
Aleksander Kostuch
inżynier Stormshield
Z perspektywy bezpieczeństwa znaczenie ma kwestia połączeń na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji. Wymagają one wdrożenia tuneli typu VPN lub bezpiecznych, monitorowanych i rejestrowanych połączeń w celu zapewnienia poufności danych.
Firewall. Małe urządzenie o wszechstronnych możliwościach
By zapewnić skuteczną i efektywną ochronę systemów OT niezbędne są odpowiednie rozwiązania np. nowoczesne firewalle. Stormshield właśnie oddał do użytku firewall SNi10 zaprojektowany z myślą o ochronie środowisk krytycznych, w szczególności infrastruktury przemysłowej.
Firewall może realizować separację sieci przy użyciu fizycznych interfejsów sieciowych lub sieci VLAN. Technologia ta jest często wykorzystywana w celu zwiększenia efektywności sieci oraz poprawy bezpieczeństwa poprzez izolowanie ruchu pomiędzy różnymi grupami urządzeń.
Kolejną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi.
To sprzęt, który oferuje szerokie możliwości. Od ochrony małych firm poprzez funkcje UTM i zestawianie szyfrowanych tuneli VPN, po użycie SDWAN do ochrony kluczowych zasobów z wykorzystaniem protokołów przemysłowych. Przy separacji sieci istotne jest, aby interfejsy fizyczne obsługujące sieci VLAN cechowały się wysoką przepustowością. Najmniejszy z naszych firewalli jest wyposażony w cztery fizyczne interfejsy o prędkości nawet 2,5 Gbps. To prędkość 2,5 krotnie wyższa niż dotychczas dostępne w rozwiązaniach z interfejsami gigabitowymi, co pozwala na zapewnienie komfortu transmisji oraz skuteczne monitorowanie różnych wirtualnych podsieci. Z kolei w kontekście wykorzystania technologii SD-WAN, urządzenie z kilkoma routowalnymi interfejsami umożliwia skuteczne zarządzanie i automatyczny wybór trasy o najlepszej jakości dla ruchu sieciowego. Automatycznie może być sprawdzana metryka łącza pod kątem opóźnień, fluktuacji pakietów, straty pakietów i współczynniku niedostępności. Dzięki temu można kierować ruch sieciowy do określonych usług w Internecie, jak również usług dostępnych zdalnie przez szyfrowane połączenie IPSEC VPN, korzystając z najlepszego połączenia spośród wielu operatorów internetowych
Aleksander Kostuch
inżynier Stormshield
Innowacyjnym rozwiązaniem jest dwufunkcyjność nowego firewalla. Pojedyncze urządzenie w wersji bazowej oznaczone jest SN170. Może być stosowane w małych firmach, spełniając rolę typowego urządzenia UTM do ochrony styku firmowej sieci z Internetem. Oferuje wówczas m.in. ochronę przed atakami, filtrowanie stron WWW i aplikacji sieciowych oraz sandboxing. Warto zauważyć, że model ten umożliwia pracę w klastrze wysokiej dostępności (HA). Licencja umożliwia zmianę urządzenia na SNi10, które ma możliwość zaawansowanej, głębokiej analizy protokołów przemysłowych.
W tej opcji możemy również realizować mikrosegmentację i chronić kluczowe zasoby przed potencjalnymi atakami wewnątrz firmy. Tym samym nowy firewall uzupełnia linię urządzeń do ochrony sieci przemysłowych, łączących w sobie elastyczność i wydajność, by zapewnić ciągłość działania w złożonej architekturze oraz spełniać wymagania krytycznej infrastruktury przemysłowej. O jego przydatności w wymagających środowiskach świadczy też rozszerzony zakres temperatury pracy, od -20° do 60°C, zasilacz przemysłowy AC i możliwość montażu na szynie DIN. Specyfiką sieci produkcyjnych jest potrzeba przezroczystej implementacji firewalla w zastanym środowisku produkcyjnym. SNi10 może pracować przezroczyście, bez przerwania transmisji, jako urządzenie inline, przez które przechodzi cały ruch sieciowy kluczowych i wrażliwych na ryzyko sterowników PLC, czy też system SCADA. W tym trybie dalej można nałożyć reguły bezpieczeństwa z odpowiednimi ustawieniami personalizowanymi dla wykrytych protokołów przemysłowych. Co więcej, by zapewnić maksimum bezpieczeństwa dla wykrytego ruchu sieciowego, można włączyć autoryzację użytkowników
Aleksander Kostuch
inżynier Stormshield
Jednym z kluczowych atutów firewalli Stormshield jest możliwość ich centralnego zarządzania. To szczególnie przydatne w środowiskach, gdzie wiele małych firewalli pracuje w różnych segmentach sieci, zapewniając lokalną ochronę w sieciach przemysłowych lub łączność poprzez tunele IPsec VPN. Dodatkowo umożliwia ona szybką reakcję na incydenty. Po wykryciu zagrożenia zmiany w regułach firewalli można wdrożyć na wszystkich urządzeniach jednocześnie, co znacząco ogranicza czas i koszty.
Dla firm korzystających z połączeń IPsec VPN, centralne zarządzanie ułatwia utrzymanie stabilnych i bezpiecznych tuneli między lokalizacjami. Zdalna administracja pozwala na bieżąco monitorować wydajność tuneli, aktualizować certyfikaty czy wprowadzać zmiany w konfiguracji. Dzięki centralnemu zarządzaniu można wprowadzać spójne reguły dostępu i szyfrowania co minimalizuje ryzyko błędów konfiguracyjnych. W dobie coraz bardziej złożonych i dynamicznych środowisk sieciowych, centralne zarządzanie wieloma urządzeniami firewall łączy wygodę, efektywność i wysoki poziom bezpieczeństwa. Zintegrowane podejście, które opiera się na kilku poziomach ochrony jest niezbędne do skutecznego zabezpieczenia systemów produkcyjnych
Aleksander Kostuch
inżynier Stormshield
Źródła:
Raport „Microsoft Digital Defense”
Piotr Zielaskiewicz
senior product manager STORMSHIELD
Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38
Podobne wpisy:
Polecane wydarzenia: