Ipari és gyártó rendszerek fejlődése

Az ipari és gyártó rendszerek robbanásszerű fejlődése magával hozta ezen rendszerek klasszikus zártságának feloldását, az ágazatra régebben jellemző légrés megszűnését. Megjelent az igény az ipari rendszerek távfelügyelhetőségére, távmenedzselhetőségére és az üzemeltetés magas fokú automatizációjára. Ezen igények kielégítése érdekében elkezdődött a zárt ipari, üzemeltetési rendszerek IP protokoll alapú kommunikációval történő bővítése és a vállalati IT rendszerekkel történő összekapcsolása, integrációja.

Ezek egy új támadási felületet (attack surface) nyitottak a zárt rendszerek fele, melyek kihasználását azon tények is segítik, hogy:

  • az ipari rendszerek elsődleges célja a termelési feladatok ellátása és kevésbé az informatikai jellegű támadásokkal szemben történő védekezés
  • a folyamatos termelés és a működési biztonság magasabb prioritású, mint az eszközökön alkalmazott szoftver vagy firmware verziók frissítettsége, ezért ezek ritkábban, és kevésbé ütemezetten kerülnek alkalmazásra
  • az ipari rendszerek valós hálózati kommunikációja gyakran nem feltérképezett és nem monitorozott
  • gyakran tapasztalható, hogy az OT és irodai IT rendszerek elválasztása, nem teljeskörűen megoldott
  • az ipari környezet üzemeltetőinek gondolkodásában történeti okokból kifolyólag jellemzően kevésbé van jelen az IT rendszerek esetében már megszokott fenyegetettség érzés.

Milyen veszély fenyegeti az ipari és gyártó rendszereket ?

Az elmúlt években az OT technológia fejlődésével együtt jelentős számban megnőttek a célzott támadások ezen rendszerek és ezáltal a rendszereket használó vállalatok ellen. A támadások célja jellemzően közvetlen anyagi haszonszerzés (pl. zsarolóvírusok által), más esetekben az ipari környezetek működésének megzavarása vagy a tevékenységek teljes megakadályozása.
Az elmúlt évek sikeres ipari vállalatok ellen indított kibertámadásait elemezve megállapítható, hogy a támadások terület és iparágfüggetlenül okoztak jelentős szolgáltatás vagy termelés kieséseket és ezáltal óriási anyagi károkat. A támadások közös tulajdonsága, hogy az üzletmenet folytonosság helyreállítása óriási költségekkel járt az érintett vállalatok számára.

Tehát a modern ipari és szolgáltató vállalatoknak manapság a rendszereik fizikai védelme, azok folyamatos felügyelete és rendszeres karbantartása mellet kiemelt figyelmet kell fordítaniuk a digitalizált rendszereik és folyamataik védelmére is. Az ipari és termelőrendszerek védelmének kialakításában a legnagyobb kihívás az, hogy azok üzemeltetése, felügyelete és menedzselése megfeleljen a legmodernebb kihívásoknak, mindemellett a rendszerek belső architektúrája érintetlen, és ezáltal a működési folytonossága biztosított legyen.

Néhány ismert támadás gyártó és ipari rendszerek ellen

Iparág Szervezet Támadási típus Jelenség és hatás Költség
Energia Ukrenergo
Villamos energiaszolgáltató
OT specifikus malware
(Crashoverride, Blackenergy)
Kijev áramellátásának részleges kiesése 225.000 fogyasztó áramellátás nélkül
Fémipar

Norsk Hydro

 

Ransomware Az automatizált gyártói rendszerek kiesése 70M USD
Szállítmányozás Fedex Ransomware, NotPetya IT üzemeltetési kiesés, szállítási és értékesítési kieséssel 300M USD
Olajipar Colonial Pipeline Ransomware Üzemanyagellátási problémák 6 napon keresztül az USA nyugati partján és a repülőtereken 4.4M USD váltságdíj és egyéb kereskedelmi károk
Gyógyszeripar Merck Ransomware, NotPetya Gyártás és értékesítés leállítás 670M USD
Szállítmányozás és Logisztika

A.P. Moller Maersk

 

Ransomware, NotPetya A működés 2 hetes leállása az informatikai rendszerekhez történő hozzáférés hiánya miatt 300M USD
Energia/hadiipar iráni atomprogram Stuxnet Termelő eszközök fizikai tönkretétele, program visszavetése évekkel ismeretlen

A területen, főleg a ransomware fertőzések esetében különösen jellemző az alacsony láthatóság. Sok szervezet inkább fizet, rövid távon ezzel kerüli el a következményeket. Közép távon ezek a szervezetek a váltságdíj megfizetése mellett ugyanúgy végre kell hajtsanak egy biztonsági programot. Hosszabb távon a befolyó váltságdíjak tartják fent a támadók motivációját.

Feladatok és megoldások ipari és gyári rendszerek esetén

Irányítási, és szabályozási feladatok:

  • A kiberbiztonsági kockázatok felmérése, értékelése és kezelése biztosított legyen
  • Naprakész üzletmenet folytonossági, és katasztrófa helyreállítási tervek álljanak rendelkezésre
  • Katasztrófa helyreállítási terv rendszeresen tesztelve legyen
  • Legyenek szabályozott szerepkörök a kialakított biztonsági funkciók vonatkozásában
  • Legyenek konfigurációkezelési és változtatási folyamatok
  • Működési határértékek legyenek ismertek és legyenek dokumentálva

Megoldási javaslat:

  • A belső folyamatok és szabályozások teljes áttekintése és aktualizálása
  • A kialakított tervek rendszeres tesztelése
  • Külső szakértői támogatás igénybevétele a teljeskörű megoldás érdekében

Vagyonleltár

Technológiai feladatok:

  • Az eszközök és rendszerek nyilvántartása és folyamatos nyomonkövetése
  • Az eszközök aktuális szoftver verzióinak és konfigurációinak nyilvántartása
  • Az eszközök kommunikációs térképének nyilvántartása

Megoldási javaslat:

  • A vagyonleltár elkészítésének és folyamatos karbantartásának automatizálása
  • Az automatizálás elvégezhető a Nozomi Networks megoldásaival vagy a Cisco Systems Cyber Vision termékével

Hozzáférés vezérlés

Technológiai feladatok:

  • Az eszközökhöz való hozzáférés felügyelt és védett módon legyen biztosítva
  • A hozzáférés engedélyezés a legkisebb szükséges hozzáférési elv szerint legyen szabályozva
  • A hozzáférések biztosítása legyen naplózva és a jogosulatlan hozzáférések legyenek megtagadva

Megoldási javaslat:

  • Az Ipari rendszerek hozzáférés vezérlési megoldásokkal történő kiegészítése
  • Cisco ISE-NAC rendszer és Cisco Cyber Vision termékekkel

Adatbiztonság

Technológiai feladatok:

  • Az eszközök közötti adatáramlás titkosított protokollokon keresztül történjen
  • Az adatok tárolása titkosítva történjen
  • Az eszközök szoftvereinek és firmwareinek illetve a tárolt adatok integritásának ellenőrzése egy jól definiált mechanizmussal legyen biztosítva

Megoldási javaslat:

  • Az eszközök közötti kommunikációra használt protokollok a végberendezéseken állíthatóak be

Az eszközök és a hálózatok védelme

Technológiai feladatok:

  • Az eszközök és a hálózati forgalmak monitorozása folyamatosan megoldott legyen
  • Kártékony kódok azonosítása megoldott legyen
  • Incidens riasztások és riasztási szintek legyenek meghatározva
  • Az IT és az ipari hálózat biztonságos szétválasztása
  • Ipari protokollok megfelelő használata legyen ellenőrizve

Megoldási javaslat:

  • Az eszközök hálózati forgalmának monitorozása és kártékony kódok azonosítása a Nozomi Networks megoldásaival, vagy a Cisco Systems Cyber Vision termékével is biztosítható
  • Az IT és OT környezetek közötti kommunikáció szabályozott módon történjen
  • Protokollszintű elemzés tűzfal eszközökben

Folyamatos biztonsági monitoring

Technológiai feladatok:

  • A hálózat legyen monitorozva és lehetséges biztonsági események legyenek azonosítva
  • A fizikai környezet legyen monitorozva és a lehetséges biztonsági események legyenek azonosítva
  • Eszközök és rendszerek napló üzeneteinek rögzítése, tárolása és feldolgozása megoldott legyen
  • Külső szolgáltatók működése monitorozva legyen, hogy azonosíthatóak legyenek kártékony események
  • Nem azonosított személyek, eszközök, szoftverek, kapcsolatok monitorozása megoldott legyen
  • Szoftver sérülékenységeket feltáró rendszer legyen alkalmazva

Megoldási javaslat:

  • A folyamatos biztonsági monitoring számára a Nozomi Networks megoldásai vagy a Cisco Cyber Vision terméke biztosítja az alapot, amiket egy naplóelemző vagy a beavatkozásokat automatikusan kezelő XDR (eXtended Detection and Resposne) rendszerrel érdemes kiegészíteni a rendszerüzenetek hatékony és automatizált elemzése és kezelése érdekében
  • Komplex gyártói, ipari megoldások esetén alkalmazható a felhasználóra vagy ipari, gyártói rendszerre vonatkozó viselkedés elemző (UEBA – User and Entity Behavior Analytics) megoldás is
  • A fenti rendszerek egy hatékony Security Operations Center (SOC) működésének az alapját tudják megteremteni
  • Azonosított sérülékenységeket kockázatkezelési metódusokkal kell priorizálni. Abban az esetben, ha nem végezhető el rövid időn belül a szoftver, vagy firmware frissítés, a rendszerek sérülékenységgel érinett részének a hálózati kommunikációját célszerű korlátozni, vagy legalább kiemelten monitorozni a frissítés elvégzéséig

Rendellenes események észlelése

Technológiai feladatok:

  • A rendszerek és a hálózati alapkonfigurációk és normál üzemű kommunikációk legyenek rögzítve
  • A rendellenes működés és rendszer események észlelése és azok kezelése biztosított legyen
  • Az események és az adatok több forrásból összesítve és korrellálva kerülnek kezelésre

Megoldási javaslat:

  • Az alapkonfigurációk és a normál üzemű kommunikáció rögzítését, illetve az azoktól való eltérést mind a Nozomi Networks megoldásai vagy a Cisco Cyber Vision terméke tudja biztosítani

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Scroll to Top