контексты
справаИндустрия 4.0Необходимость очевидна. Стремление к совершенствованию в химическом секторе имеет решающее значение. Кроме того, химическая промышленность участвует практически во всех других производственных цепочках поставок, поэтому она обладает огромным потенциалом. Улучшение качества продукции, повышение эффективности затрат и оптимизация бизнеса - вот некоторые из ключевых факторов цифровой трансформации. Тем более можно ожидать, что эта тенденция сохранится. А как же цифровая безопасность?
Традиционно промышленные системы управления (ICS) или операционные технологии (OT) были строго отделены от ИТ-сети предприятия. Эталонная модель ICS Университета Пердью обнаруживает слишком много объектов и описывает многоуровневую, хорошо сегментированную сеть. Одна из основных причин, почему это так важно, заключается в том, что многие компоненты ICS, такие как контроллеры автоматизации, ПЛК и системы SCADA, не разработаны с учетом требований безопасности. Они должны быть безопасными и надежными, а безопасность остается на втором плане. Конечно.информационная безопасностьЭто еще не все.
Стандарты, такие как IEC 62443, определяют, как использоватьинформационная безопасностьСистемы управления обеспечивают приемлемый уровень рисков кибербезопасности. Вопрос о том, является ли текущий средний уровень безопасности достаточно зрелым, чтобы противостоять кибератакам, таким как ransomware, может вызывать споры. К сожалению, на практике мы видим множество примеров обратного.
В дополнение к этим проблемам инициативы "Индустрия 4.0" способствуют развитию гиперсвязи, что приводит к более широкому распространению сетей ОТ, более общим ИТ-услугам и использованию облачных подключений, "обходя" традиционную сегментированную эталонную модель. И опять же, это не обязательно плохо, если кибербезопасность не стоит на втором плане. Извлекли ли мы уроки из прошлого или повторим те же ошибки?
Случай с облачной диагностикой:
В первом примере реализовано решение для сбора данных с различных OT-приборов. Так называемые "пограничные устройства" собирают технологические и диагностические данные с приборов и отправляют их в облачное приложение для анализа. Эта облачная платформа может использоваться как конечными пользователями, так и поставщиками для выполнения технического обслуживания по состоянию или предоставления удаленной поддержки.
Пограничное устройство устанавливается в сети с двумя отдельными сетевыми подключениями, так называемая система "dual-homed". Одно соединение в сети It предназначено для связи с облаком, а второе - в сети OT для сбора информации с приборов OT. Соединение с облаком также защищено безопасным зашифрованным VPN-туннелем. Кроме того, пограничные устройства настроены на передачу данных только из OT-сети в облако; трафик в OT-сеть невозможен.
На первый взгляд, это подходящее, безопасное и хорошо сегментированное решение. Однако, когда устройства были добавлены в общую схему сети, стало ясно, что оно способно создать обходные пути между сетями OT и IT. Детальный обзор ИТ-сети и сканирование сети выявили работающую службу управления для настройки пограничных устройств. Конечный пользователь не знает об этом, и любой в ИТ-сети может использовать это соединение. Было ясно, что пароли, необходимые для доступа к конфигурации, находятся в состоянии по умолчанию и могут быть легко извлечены из руководства поставщика. Кроме того, на пограничном устройстве установлена устаревшая прошивка, содержащая открытые уязвимости в системе безопасности. Все эти факты в совокупности обеспечивают ранее неизвестный вектор атаки на пограничное устройство. Это означает, чтохакерМожно атаковать пограничные устройства, войдя в систему с учетными данными по умолчанию, получить больше привилегий, используя известные уязвимости в старых прошивках, и проникнуть в сеть OT. Этот путь атаки представлен на данной сетевой диаграмме.
Обратите внимание, что этот путь атаки недоступен через облако, поскольку эта часть по-прежнему защищена VPN. Однако, поскольку пограничное устройство не установлено в защищенной сетевой зоне, например в демилитаризованной зоне IT/OT, защищенной брандмауэром, такая настройка обеспечивает потенциальный обходной путь для перехода из IT в OT-среду. Эта проблема была выявлена путем проведения оценки моделирования угроз в сочетании с оценкой уязвимостей. Более подробно эти методы описаны в разделе "Решение".
Шлюз удаленного доступа Case:
Во втором примере речь идет о шлюзе удаленного доступа. Это коммуникационное устройство, предоставляющее удаленный доступ и диагностические данные стороннему поставщику. В данном случае оно является частью контракта на обслуживание, прилагаемого к тяжелой технике, установленной на заводе. Поставщик использует удаленный доступ для дистанционного обслуживания и устранения неисправностей в случае возникновения проблем в работе. Преимущества для конечного пользователя очевидны: сокращение времени простоя и снижение затрат на обслуживание.
Шлюзы удаленного доступа также настраиваются и устанавливаются поставщиком в сотрудничестве с командой технического обслуживания на месте. Шлюз использует VPN-туннель с самым надежным шифрованием для создания безопасного сетевого соединения с поставщиком.
И снова на первый взгляд эта настройка выглядит очень безопасной. Хотя сам VPN-туннель безопасен и защищен, способ его настройки создает множество проблем с безопасностью.
Первый вопрос касается удаленного воздействия. Поскольку шлюзу необходимо двунаправленное соединение от сети провайдера к сети провайдера, он должен разрешить этот трафик в брандмауэре. Однако, по неизвестным причинам, брандмауэр не ограничивается разрешением VPN-трафика только от определенного поставщика, а наоборот, разрешает все типы трафика из любой точки Интернета. Скорее всего, это связано с тем, что во время установки и ввода в эксплуатацию тяжелой техники сетевой безопасности уделялось не так много внимания, а шлюз был лишь небольшой частью поставки. Другой распространенной причиной неправильной конфигурации является то, что решение не работало должным образом в процессе ввода в эксплуатацию, а правила брандмауэра были смягчены в процессе устранения неполадок. Впоследствии эти настройки сохраняются. Нередко устройства IIoT оказываются напрямую подключенными к Интернету и в конечном итоге могут быть найдены, например, через Shodan1 (специальная поисковая система для подключения устройств). Существуют даже специальные подразделы, посвященные OT-устройствам и протоколам.
Второй вопрос - конфигурация шлюза. Поскольку он входит в сферу деятельности поставщика, он также отвечает за поддержание безопасности и настройку этого устройства. Поскольку весь трафик на шлюзе был зашифрован VPN, конечный пользователь понятия не имел, что поставщик может делать на этом устройстве. В ходе расследования выяснилось, что поставщик мог обновить конфигурацию и предоставить себе больше необходимых привилегий.
Наконец, функция шлюза заключается в предоставлении удаленного доступа к определенным компонентам рассматриваемой машины. Однако из-за плохой реализации этого устройства шлюз также может получить прямой или косвенный доступ к более широкому кругу устройств. Кроме того, из-за отсутствия сегментации нескольких сетевых соединений теоретически можно подключиться практически ко всей сети OT.
Рецепт
Лучшим решением является включение кибербезопасности на этапе разработки нового проекта, особенно когда речь идет о IIoT или других удаленных соединениях. Это относится не только к новым объектам, но и к расширениям или модификациям существующих объектов. Конечно, это легче сказать, чем сделать: сети OT не всегда подходят для учета всех технических требований, а технических знаний может не хватать. Кроме того, поскольку большинство таких решений ориентированы на бизнес или операционную деятельность, они могут полностью игнорировать последствия для кибербезопасности на стадии проекта. Наконец, множество различных реализаций IIoT, обеспечивающих разнообразные возможности подключения, могут уже существовать на объектах, которые находятся на стадии обслуживания, а иногда даже не известны конечному пользователю. В следующих разделах описаны некоторые возможные подходы к решению этих проблем.
Анализ конструкции и моделирование угроз
В ходе проверки проекта вся имеющаяся и соответствующая проектная документация рассматривается и обсуждается с владельцем технологии, архитектором решения и/или поставщиком. Важно отметить, что этот подход применим как к новым объектам (CAPEX), так и к существующим объектам (OPEX). Для последних, в частности, целесообразно объединить этот обзор с оценкой объекта, как объясняется в следующем разделе. Преимущество проектного обзора заключается в том, что проект безопасности может быть выполнен как в существующей среде, так и в новых системах или расширениях системы на основе проектной документации в соответствии с политикой безопасности компании, отраслевыми стандартами и организационными и / обзоры проекта и оценки модели угроз2 . Второй описанный выше вариант использования был выявлен в ходе оценки проектной документации. Наконец, стоит отметить, что моделирование угроз также предоставляет очень полезную информацию для последующих технических оценок, таких как тестирование на проникновение, которое будет описано в следующем разделе. или лучшие отраслевые практики. Выявленные недостатки дизайна, нарушения политики или отклонения от этих лучших практик могут быть устранены.
Для моделирования угроз использовалась та же проектная информация, но в этой оценке применялся другой подход и использовался образ мышления хакера. Это структурированный подход к составлению карты угроз по всем возможным путям атак на объект в пределах области применения. В ходе интерактивной сессии создается диаграмма, которая дает полное представление о поверхности атаки и о том, требуются ли дополнительные меры по ее снижению.
Оценка безопасности на объекте
Site Assessment 3 использует более практичный подход "снизу вверх" для выявления рисков на техническом уровне на объекте. Анализ дизайна и архитектуры сочетается с посещением объекта и обходом системы. Оценка включает все важные аспекты функциональных требований, указанных в IEC 62443.
Первый этап этой оценки похож на анализ проекта, когда вся существующая документация анализируется и обсуждается с владельцем объекта, техническими представителями и/или поставщиками. Однако для анализа всех основных функциональных требований IEC 62443 требуется дополнительная глубина.
Во время посещения объекта фактическое состояние системы сравнивается с текущим пониманием сети OT. Кроме того, рассматриваются конфигурации конкретных устройств, чтобы получить представление о потенциальных проблемах безопасности. Например, конфигурации брандмауэра, сетевая маршрутизация и VLANS, установленное программное обеспечение и запущенные службы изучаются на предмет уязвимости сети OT. Кроме того, для определения устойчивости OT-сети оцениваются аутентификация и авторизация пользователей, средства контроля безопасности, политики резервного копирования и мониторинга безопасности.
Наконец, различные образцы сетевого трафика пассивно собираются в стратегических точках OT-сети. Для этого используются копии существующего сетевого трафика, которые не мешают работе потенциально уязвимых OT-устройств. Затем трафик анализируется, и полученные результаты соотносятся со всей предыдущей информацией. Дополнительно может выполняться выборочное сканирование, специально разработанное для получения дополнительной информации с наименьшей степенью вторжения. Результаты могут привести к обнаружению неизвестных узлов, открытых портов, слабых протоколов, неожиданных сетевых подключений или других неизвестных проблем безопасности. Например, первый случай использования, описанный ранее, был обнаружен во время оценки объекта.
Тестирование на уязвимость и проникновение
Оценка уязвимостей и тестирование на проникновение (Vulnerability Assessment and Penetration Testing), часто сокращенно называемая VAPT4, идет на шаг дальше и представляет собой более детальную техническую оценку. Цель - найти неизвестные уязвимости и проверить, можно ли их использовать. Он также покажет последствия конкретной проблемы кибербезопасности и то, что это значит для организации.
Эти тесты VAPT позволяют получить подробное представление о текущей устойчивости сети и о том, какие улучшения могут потребоваться. Однако эти оценки гораздо более интрузивны, и хорошо известно, что старые устаревшие OT-системы не могут с этим справиться. Критически важные системы могут даже перестать функционировать во время сканирования на предмет уязвимостей. Поэтому обычно не рекомендуется проводить такие тесты в живой OT-среде.
В то же время существуют некоторые методы, такие как пассивное сканирование, которые по-прежнему можно использовать безопасно. Кроме того, можно проводить интрузивное тестирование на проникновение, не нарушая производственный процесс, тщательно выбирая объем прав или используя альтернативное оборудование. Конечно, это требует очень специфического подхода, учитывающего особенности ОТ-системы и систем, входящих в сферу действия. Еще одна хорошая возможность - использовать испытания VAPT как часть процесса установки, тестирования и ввода в эксплуатацию, например приемо-сдаточные испытания на заводе (FAT) и приемо-сдаточные испытания на объекте (SAT). Это может относиться к новым системам или расширениям системы.
Результаты оценки могут быть использованы для принятия мер по устранению пробелов в системе безопасности и снижению риска в организации. Что касается первого варианта использования, то тестирование на проникновение позволяет выяснить, действительно ли гипотетический путь атаки осуществим для злоумышленника. Результаты могут определить окончательное решение по снижению уровня безопасности.
Выводы и будущие направления
В ближайшие годы во всех отраслях промышленности, в том числе и в химической, будет наблюдаться тенденция к развитию Индустрии 4.0 и IIoT. В первую очередь это будет обусловлено преимуществами для бизнеса и операционной деятельности. Все это хорошо, если кибербезопасность не будет стоять на втором плане. Важно включить проектирование системы безопасности и эксплуатационные расходы непосредственно в бизнес-обоснование этих интеллектуальных инициатив и подтвердить их влияние наБезопасность сети OTВлияние ситуации можно оценить в контексте программы работы. На этом этапе могут помочь внутренние и внешние обзоры проекта безопасности. Для существующих решений и систем существует множество способов проверки и подтверждения текущего состояния безопасности, что дает возможность заблаговременно решить потенциальные проблемы до того, как они окажут влияние на бизнес. Конечной целью остается обеспечение безопасного, надежного и экономически эффективного производства и управление киберрисками на приемлемом уровне для достижения этих целей.
Автор статьи - SnowFlake, при воспроизведении просьба указывать: https://cncso.com/ru/cybersecurity-challenges-facing-smart-industry-4.html.
