Rețelele IT industriale necesită securitate cibernetică eficientă pentru a asigura tehnologie operațională (OT) sigură

Protecție pentru sisteme de control industrial

Producția și siguranța personalului sunt esențiale în cadrul sistemelor de control industrial (ICS). Rețelele industriale includ servere IT și dispozitive cu protocoale operaționale tehnologice (OT) speciale. Soluțiile de securitate cibernetică pentru OT trebuie să fie personalizate în funcție de mediul industrial pentru a fi eficiente. Astfel, soluțiile de securitate pentru OT trebuie să asigure protocoale specifice capabile să analizeze și să identifice amenințările cibernetice.

De asemenea, cea mai eficientă soluție de securitate cibernetică pentru OT trebuie să fie capabilă să analizeze parametrii aplicațiilor de control din rețelele industriale care sunt expuse atacurilor cibernetice. Soluțiile specifice de securitate cibernetică pentru OT trebuie să asigure constant actualizări, astfel încât să fie cu un pas în fața atacatorilor.

Creșterea atacurilor asupra rețelelor OT deja vulnerabile

Pe lângă creșterea complexității, a riscurile din producție și a problemelor ce țin de siguranța rețelelor industriale, atacurile cibernetice sunt și ele în creștere. Aceste atacuri pot fi de tip ransomware, furt IP ș.a. Resursele inadecvate, training-urile online și lucratul de la distantă au crescut gradul de provocări în ce privește securitatea rețelelor IT a companiilor.

În plus, majoritatea rețelelor industriale nu beneficiază de soluții de securitate cibernetică deoarece acestea au fost construite înainte de a avea acces la internet ori nu s-au conectat la internet pentru a proteja liniile de producție. O altă problemă este că rețelele industriale nu sunt segmentate, ceea ce le face mai vulnerabile și mai expuse atacurilor cibernetice. Competitorii bine poziționați și lipsa integrării unor soluții eficiente de securitate industrială reprezintă provocări considerabile pentru organizațiile care încearcă să-și securizeze rețelele OT în mod corespunzător.

O protecție avansată necesită politici, reguli și parametri specifici între dispozitivele OT care să prevină intruziunile și atacurile asupra rețelelor IT.

Fig. 1: Security Fabric: Operational Technology

Vulnerabilitatea rețelei ține de timp și sincronizare 

Semnăturile utilizate pentru protejarea rețelelor industriale pot fi create de instituții sau furizorii de soluții de securitate. Este esențial timpul dintre descoperirea și implementarea unei semnături, deoarece poate detecta și bloca traficul rău intenționat. Este la fel de esențial să înțelegem cum aceste soluții sunt actualizate și de către cine. Factorii pe care trebuie să-i luăm în considerare includ personalul, spațiul geografic, rețelele, eficacitatea și eficiența semnăturilor ș.a.

Deobicei, amenințările și vulnerabilitățile din rețea sunt estompate de actualizările sistemelor IT. Cu toate acestea, sunt cazuri când actualizările nu au fost făcute în timp real ori au fost respinse din cauza altor priorități din producție sau a percepției că rețelele industriale nu sunt o țintă pentru atacurile cibernetice. Prin urmare, multe dispozitive OT rămân vulnerabile la atacuri cibernetice.

Măsurarea rapidă a soluțiilor OT/ICS

Securizarea ICS, conceptual vorbind, poate ține cont de multe practici IT. Cu toate acestea, soluțiile și dispozitivele de securitate diferă semnificativ în ceea ce privește implementarea, tehnologia și fiabilitatea. Sistemele de control industrial (ICS) diferă mult de soluțiile tradiționale de securitate IT implementate. Politicile de securitate organizațională și cazurile în care acestea trebuie implementate trebuie modificate și adaptate în funcție de cerințele unice ale rețelelor industriale.

Controalele de securitate de bază constau în inventarierea dispozitivelor și software-urilor și în segmentarea rețelei. Controalele avansate gestionează și monitorizează traficul rețelelor ICS. Pentru a menține stabile procesele industriale sensibile, firewall-urile examinează traficul de comunicații ICS și identifică erorile de comunicare.

Next-Generation Firewall

În plus față de un firewall, un sistem de detectare a intruziunilor (IDS) compară traficul de comunicații cu semnăturile de amenințare cibernetică, iar un sistem de prevenire a intruziunilor (IPS) identifică amenințările și ia măsuri pentru a le bloca. Combinația unui firewall cu un sistem IPS se numește next-generation firewall (NGFW).

NGFW-urile pentru rețelele ICS trebuie să poată inspecta traficul de protocoale industriale. De asemenea, semnăturile utilizate pentru IPS trebuie create în mod explicit pentru a identifica activitățile industriale dăunătoare diferite de traficul IT dăunător.

Un alt control avansat care imită practicile IT tradiționale este controlul aplicațiilor. Aici, din nou, aplicațiile ICS sunt distincte față de echivalentul acestora în mediile IT. Astfel, semnăturile sunt utilizate pentru a controla comenzile aplicației, iar parametrii trebuie să fie proiectați pentru protocolul OT și aplicațiile dispozitivului.

Pe scurt, principiile tradiționale de securitate pot fi implementate în rețelele ICS cu dispozitive de control industrial construite special. NGFW-urile industriale și semnăturile IPS bazate pe protocol industial și controalele aplicațiilor oferă soluțiile unice necesare în rețelele industriale.

Soluțiile ICS trebuie să fie alimentate de ICS Research

Implementarea dispozitivelor de securitate ICS, precum NGFW-ul, reprezintă un control critic avansat în rețelele OT. Biblioteca de semnături malițioase utilizate de IPS în NGFW este importantă. În ce privește biblioteca de semnături, trebuie să luați în considerare mai mulți factori cheie pentru a evalua eficacitatea semnăturilor, factori cum ar fi:

• Cum se colectează informațiile despre amenințări;
• Cum sunt create semnăturile;
• Cât de repede sunt create semnăturile;
• Ce tipuri de semnături sunt create;
• Câte surse externe sunt utilizate;
• Cât de eficiente sunt semnăturile.

Acestea sunt aspecte critice pentru a determina caracteristicile NGFW-ului. Și pentru că IT-ul este diferit de OT/ICS, considerentele de mai sus trebuie solicitate și evaluate în contextul OT/ICS dedicat pentru a identifica și monitoriza amenințările cibernetice. Unicitatea ICS confirmă că echipele care susțin serviciile de securitate ICS sunt profesioniste în ICS.

Cum sunt gestionate patch-urile și actualizările privind activele sistemelor critice de control?

Fig. 2: Cum sunt gestionate patch-urile și actualizările⁴

Capacitatea serviciului de securitate de a identifica, valida și implementa semnături de tip Zero-Day este vitală. Vulnerabilități de tip Zero-Day sunt amenințări nedescoperite identificate prin cercetare sau ca urmare a analizei post-atac. Până la identificarea acestor vulnerabilități, ele au fost folosite de atacatori pentru a pătrunde în rețelele sigure. Astfel, identificarea, gestionarea și crearea bibliotecilor de semnături sunt esențiale pentru asigurarea unei protecții continue în timp real a rețelelor ICS.

Concluzie

Sistemele de control industrial, inclusiv producția, infrastructura critică, SCADA (sistem de supraveghere și achiziție date) și DCS-urile (sisteme de distribuție), sunt o țintă în creștere pentru atacatorii cibernetici. Principiile standard de securitate IT pot fi utilizate pentru protejarea rețelelor OT, însă dispozitivele, software-urile trebuie să fie construite și întreținute de profesioniști OT. Controalele avansate ale ICS, cum ar fi NGFW-urile și echipele robuste de cercetare ICT/OT sunt considerate esențiale în asigurarea securității cibernetice industriale.

Descoperiți soluțiile FortiGate de la Fortinet AICI. Oferim consultanță gratuită în alegerea soluției potrivită pentru afacerea dumneavoastră. Contactați-ne la 0232 995 sau pe comenzi@qmart.ro.

¹2022 State of Operational Technology and Cybersecurity Report, Fortinet, June 21, 2022.
²Survey Results Reveal Resilience of Industrial Organizations in Face of Ongoing Disruptions, The Claroty Team, February 3, 2022.
³Dean Parsons, A SANS 2022 Survey: OT/ICS Cybersecurity, SANS, October 2022.
⁴Ibid.