Ostatnio miałem przyjemność spotkać się z Industrial Control Systems Joint Working Group (ICSJWG) w Departamencie Bezpieczeństwa Wewnętrznego USA. Zaprosili nas do dyskusji o tym, jak ważne jest monitorowanie sieci przemysłowych pod kątem ogólnej widoczności, a także do przedstawienia opinii na temat tego, jak najlepiej to zrobić. Myślę, że wielu profesjonalistów OT poza tamtym pomieszczeniem - lub każdy, kto zajmuje się przemysłowym bezpieczeństwem cybernetycznym - również znalazłoby jakąś wartość w tym temacie, więc chciałbym przekazać Wam najważniejsze punkty naszej dyskusji.

Nie ma wątpliwości, że potrzeba operatorów OT polegająca na dostosowaniu się do silniejszych postaw bezpieczeństwa cybernetycznego staje się coraz pilniejsza. Istnieje jednak wiele mitów i nieporozumień, które mogą bardzo utrudniać wielu operatorom podejmowanie odpowiednich działań. Na przykład, wiele przypuszcza, że „wydarzenia cyberbezpieczeństwa” są równoznaczne z „atakami hakerów”. W rzeczywistości, większość zdarzeń cyberbezpieczeństwa, czyli takich, które mają wpływ na skuteczność linii produkcyjnej, pochodzi ze źródeł takich jak błąd ludzki lub awaria urządzeń, a nawet jeśli mają umyślną naturę, częściej pochodzą od niezadowolonego pracownika niż od zewnętrznego hakera. Niektóre praktyki, które pozwalają na dobry wgląd w błędy ludzkie i awarię sprzętu, to te same najlepsze praktyki, które można wykorzystać do wykrycia złośliwego zachowania.

Kolejnym nieporozumieniem jest to, że mniejsze działania przemysłowe są odporne na przyciąganie uwagi hakerów. W rzeczywistości nic nie może być dalsze od prawdy - organizacje dysponujące mniejszą wiedzą, mniejszą liczbą personelu badawczego i mniejszą ilością zasobów są w rzeczywistości znacznie bardziej atrakcyjne dla hakerów, bez względu na to, czy chodzi o zdobycie doświadczenia, czy o „zniewolenie” ich sprzętu i użycie go do powszechniejszego rozprzestrzeniania exploitów. Nie możesz kontrolować tego, czy jesteś celem złośliwego zachowania.

Porównuję tę sytuację do reakcji na huragan. To na pewno nadchodzi, ponieważ mamy radar, aby zobaczyć, że nadchodzi, ale jesteśmy przygotowani. Tak więc możemy zdecydować się dowiedzieć się o trajektorii, lokalizacji, prędkości itd. i podjąć odpowiednie środki ostrożności, aby złagodzić i zminimalizować jego wpływ, lub możemy pozwolić, aby zaskoczył nas uderzeniem, a następnie wznosić nasze dłonie ku niebu jak to robiły starożytne narody. Proponuję ten pierwszy scenariusz. Czy możemy zobaczyć nadchodzące wydarzenia cybernetyczne?

Uzyskanie informacji potrzebnych do wyprzedzenia potencjalnych wydarzeń cybernetycznych oznacza monitorowanie sieci i gromadzenie rozległych danych, które przy prawidłowym postępowaniu będą: a) wykorzystane do wyrafinowanych analiz i b) przekładane na praktyczne informacje.

Wszystko zaczyna się od danych

Jak już wspomniałem, pobieranie surowych danych jest pierwszym krokiem. Tradycyjnie istniały dwa główne sposoby na to - bierny monitoring, co oznacza w zasadzie "podsłuchiwanie" w sieci i pobieranie próbek informacji, które akurat przechodzą przez sieć, lub aktywny monitoring, co oznacza skanowanie/sondowanie sieci bezpośrednio w celu uzyskania konkretnych odpowiedzi. Aktywne monitorowanie może być oczywiście bardziej wydajne i kompleksowe, a monitorowanie pasywne pozwala nam na uzyskanie pewnych dobrych informacji, ale w wielu przypadkach nie wszystkie informacje są potrzebne w konkretnym stopniu szczegółowości i regularnie.

Problem polega na tym, że aktywny monitoring miał niefortunną historię wśród profesjonalistów OT. Na początku specjaliści IT podjęli pewne aktywne metody monitorowania w środowisku biurowym i próbowali je wykorzystać w bardziej wrażliwych sieciach OT. Wynik - niektóre urządzenia uległy awarii i spowodowały kosztowne przestoje na linii produkcyjnej. Nawet dzisiaj "skanowanie" stało się słowem, które może pozostawić wielu profesjonalistów OT drżących ze strachu.

Pasywny ORAZ Aktywny ... ORAZ Hybrydowy

Na szczęście istnieje sposób na uzyskanie wielu korzyści z aktywnego monitorowania bez potencjalnego ryzyka. Nazywa się to monitoringiem hybrydowym lub, bardziej opisowo, "rozmawianiem z rzeczą, która rozmawia z inną rzeczą". To znaczy, zamiast mówić bezpośrednio do wrażliwych punktów końcowych, urządzeń takich jak PLC lub VFD, które mogą w efekcie zapytania zacząć działać niewłaściwie, porozmawiaj z jakimś sprzętem kontrolnym, który może już być w sieci z powodów innych niż bezpieczeństwo i współpracuje z punktami końcowymi. Często używanymi przykładami są Rockwell Software FactoryTalk AssetCentre, MDT Autosave i Kepware KepServerEX .

W związku z tym należy również zauważyć, że kompletne rozwiązanie monitorujące w złożonym środowisku automatyki przemysłowej nie musi być w 100% pasywne lub w 100% aktywne, a nawet w 100% hybrydowe. W rzeczywistości najskuteczniejsze rozwiązanie do monitorowania często składa się z kombinacji narzędzi najbardziej efektywnych, działających w każdym punkcie, w celu uzyskania najlepszej kombinacji wszechstronnej widoczności i niezawodności sieci. Nie ma metody "jeden rozmiar pasuje do wszystkiego" lub nawet kombinacji tych metod.

Ponadto wiedz, że rozwiązania te są często procesem elastycznym. Jeśli na przykład zdecydowałeś się na podejście pasywne, można je modyfikować za pomocą innych narzędzi aktywnych lub hybrydowych, w miarę upływu czasu "ewoluować" najbardziej skuteczny system monitorowania. Więc nie martw się o "utknięcie" - najważniejsze jest to, że coś robisz, nawet jeśli później go zmodyfikujesz.

Dzięki takiemu połączeniu uzyskaliśmy wiele sukcesów. W rzeczywistości Tripwire jest jedną z nielicznych przemysłowych firm zajmujących się cyberbezpieczeństwem, które oferują różne rodzaje rozwiązań - zarówno aktywne, pasywne, jak i hybrydowe, dzięki czemu nigdy nie musisz się martwić, że uzyskasz rozwiązanie mniej dopasowane do danego punktu sieci. Rozwiązania są nawet niezależne od dostawców, więc często zróżnicowana mieszanka marek urządzeń OT nigdy nie stanowi problemu. Jeśli chcesz omówić swoją specyfikę, z przyjemnością odpowiemy na wszystkie pytania i rozwiejemy wątpliwości.