CI Fortify și argumentele în favoarea unei arhitecturi OT pregătite pentru izolare

Deși CI Fortify provine de la o autoritate în domeniul securității cibernetice, implicațiile sale depășesc cu mult operațiunile de securitate. 

Izolarea afectează: 

• Continuitatea operațională 
• Modele de acces pentru furnizori și de întreținere la distanță 
• Automatizare și integrări între domenii 
• Procesele de intervenție în caz de incidente 
• Guvernanță și raportare reglementară 

În multe medii industriale, izolarea rețelelor OT poate perturba procesele operaționale care s-au dezvoltat treptat în jurul conectivității și automatizării. Prin urmare, planificarea rezilienței trebuie să includă responsabilități operaționale clare, procese manuale documentate și structuri de autoritate bine definite. 

Pentru directorii responsabili cu securitatea informațiilor (CISO), directorii din domeniul ingineriei și operatorii de infrastructuri critice, reziliența nu mai este evaluată doar prin prisma măsurilor defensive. Ea se măsoară prin claritate și gradul de pregătire: 

• Ce sisteme rămân operaționale în condiții de izolare 
• Ce servicii se deteriorează sau nu funcționează 
• Ce sarcini trebuie efectuate manual 
• Cât de repede se poate restabili încrederea prin refacerea sistemelor 

Organizațiile care pot răspunde cu încredere la aceste întrebări sunt mult mai bine pregătite să gestioneze perturbările cibernetice de amploare. Un punct de plecare practic: o hartă de control a rezilienței pe o singură pagină 

Obiectivul este simplu: realizarea unei hărți de control și a unei liste a lacunelor, ambele pe o singură pagină, care să poată fi utilizate pentru planificare, luarea deciziilor de investiții și discuțiile din cadrul auditurilor. 

1. Definiți starea minimă de funcționare pentru fiecare serviciu critic – Începeți prin identificarea fiecărui serviciu critic și prin definirea stării minime acceptabile de funcționare care trebuie menținută pentru a asigura siguranța și funcționalitatea esențială.
2. Identificați sistemele OT vitale și cele de sprijin – Pentru fiecare serviciu critic, identificați sistemele care sunt cu adevărat vitale (nu toate sistemele vor fi vitale) pentru menținerea stării minime de funcționare. Desemnați un responsabil clar pentru fiecare sistem identificat, pentru a asigura asumarea responsabilității în timpul intervenției în caz de incident și al procesului de recuperare
3. Identificați punctele de izolare și dependențele – Stabiliți unde se poate aplica izolarea, apoi identificați toate dependențele care ar duce la o defecțiune în cazul în care se produce izolarea. De exemplu, utilizarea surselor de timp NTP pentru sincronizarea ceasurilor înseamnă că o abatere de ordinul milisecundelor poate destabiliza clusterele de înaltă disponibilitate și poate declanșa comutarea la rezervă.
4. Stabiliți praguri și competențe – Definiți factorii declanșatori pentru izolarea parțială și izolarea completă și stabiliți cine are competența de a acționa. La fel de important este să se identifice cine are competența de a iniția aceste acțiuni, aspect definit de obicei printr-o matrice prag-competență.
5. Planificați operațiunile manuale pe durata izolării – Izolarea perturbă inevitabil fluxurile de lucru automatizate. Identificați operațiunile manuale care vor trebui efectuate și atribuiți-le responsabililor. Fără scurtături. Contactați furnizorii pentru a afla dacă există soluții alternative și pentru a solicita ajutor.
6. Stabiliți nivelul minim necesar de date de telemetrie transmise către exterior – Chiar și în condiții de izolare, operatorii trebuie să evite pierderea vizibilității. Stabiliți nivelul minim necesar de date transmise către exterior pentru desfășurarea în siguranță a operațiunilor, cum ar fi datele de telemetrie pentru monitorizarea siguranței, alertele de securitate, precum și datele de jurnalizare și de replicare a istoricului. Astfel, echipele operaționale își mențin conștientizarea situației.
7. Verificați dacă sistemul este pregătit pentru reinstalare – Asigurați-vă că nu există copii de rezervă indisponibile sau nesigure. Este esențial să dispuneți de copii de rezervă offline, verificate și testate, ale firmware-ului, configurației și proceselor pentru sistemele vitale; acestea nu trebuie să conțină programe malware care ar fi putut provoca întreruperea funcționării.
8. Documentați documentul de o pagină – Rezumați toate informațiile de mai sus pe o singură pagină, care să fie utilizată în caz de urgență. Includeți: Serviciile critice și starea minimă de funcționare – Sistemele vitale și responsabilii acestora – Punctele de izolare și dependențele – Pragurile și autoritatea decizională – Planul de operațiuni manuale – Cerințele minime privind datele transmise – Starea de pregătire pentru refacere și lacunele existente

În ultimele două decenii, numeroase sectoare industriale și-au îmbunătățit semnificativ eficiența prin transformarea digitală și creșterea gradului de conectivitate. CI Fortify ne reamintește că adevărata reziliență presupune capacitatea de a funcționa cu mai puțină conectivitate – nu cu mai multă. Organizațiile care iau în serios acest aspect reușesc, de obicei, să reducă surprizele operaționale în cazul incidentelor și să asigure o coordonare mai clară între guvernanța cibernetică și execuția tehnică.

Testul de rezistență este simplu: în condiții de izolare, poate organizația să asigure în condiții de siguranță serviciile esențiale? În condiții de încredere redusă, poate aceasta să-și refacă sistemele vitale într-un ritm adecvat?

MetaDefender OPSWAT oferă funcționalități special concepute care răspund direct acestor două cerințe esențiale de reziliență: capacitatea de izolare și refacerea în condiții de siguranță.

MetaDefender Industrial Firewall consolidează capacitatea unei organizații de a implementa și menține izolarea rețelei prin impunerea unei segmentări puternice între rețelele IT și OT la nivelurile cele mai critice. Conceput special pentru medii ICS, OT și SCADA, MetaDefender Industrial Firewall pe nivelurile 2 până la 3.5 ale modelului Purdue, protejând activele cele mai apropiate de procesele fizice.

Modul său Firewall ajută la monitorizarea și învățarea traficului normal de rețea, generând automat politici de securitate care reflectă comportamentul operațional legitim — făcând posibilă definirea și aplicarea unor limite precise de izolare fără a perturba producția. Inspecția profundă a pachetelor specifică protocolului oferă vizibilitate și control granular asupra protocoalelor industriale, inclusiv Modbus, EtherNet/IP, S7Comm, DNP3, OPC-UA, BACnet, PROFINET și multe altele, permițând operatorilor să blocheze traficul anormal, amenințările de tip zero-day și atacurile DoS/DDoS la nivel de protocol. Când se aplică izolarea, acest nivel de control asigură că doar comunicațiile autorizate și esențiale persistă.

Echipamentul robust este conceput pentru medii industriale dificile, cu temperaturi extreme, și se integrează nativ cu MetaDefender OT Security oferi funcții combinate de detectare și prevenire a intruziunilor, precum și vizibilitate continuă asupra resurselor — menținând o imagine de ansamblu asupra situației chiar și atunci când conexiunea externă este întreruptă. Suportul pentru IPsec și OpenVPN din versiunile recente permite, de asemenea, comunicarea securizată și criptată în rețelele OT segmentate sau izolate, atunci când este necesar accesul controlat al furnizorilor sau coordonarea între mai multe locații în timpul procesului de recuperare.

MetaDefender Storage Security susține direct a doua cerință esențială a CI Fortify: capacitatea de a reconstrui sistemele vitale din surse de încredere. Înainte ca orice copie de rezervă, imagine de firmware, fișier de configurare sau actualizare de software să fie utilizată pentru a restaura un mediu compromis, organizațiile trebuie să aibă certitudinea că acele resurse de recuperare sunt lipsite de malware-ul care ar fi putut cauza incidentul.

MetaDefender Storage Security această problemă prin scanarea simultană a fișierelor stocate folosind mai multe motoare anti-malware, cu ajutorul tehnologiei Metascan™ Multiscanning, prin aplicarea tehnologiei Deep CDR™ pentru neutralizarea amenințărilor ascunse în peste 200 de tipuri de fișiere și prin efectuarea de evaluări ale vulnerabilităților la nivel de fișier — toate acestea în medii de stocare locale, hibride sau în cloud.

Se integrează cu o gamă largă de platforme de stocare, inclusiv NAS compatibile cu SMB/NFS, NetApp, Dell EMC, Amazon S3 și Microsoft Azure, ceea ce înseamnă că organizațiile își pot securiza depozitele de backup indiferent de infrastructura utilizată. Funcțiile de scanare periodică și în timp real asigură validarea continuă a integrității copiilor de rezervă, nu doar verificarea acestora la momentul stocării inițiale. Acest lucru înseamnă că, atunci când se ia decizia de a reconstrui în condiții de încredere redusă, operatorii pot continua cu resurse de recuperare verificate și cunoscute ca fiind bune, în loc să introducă un risc suplimentar într-un mediu deja compromis.

MetaDefender Managed File Transfer MFT) și MetaDefender X (denumit anterior Transfer Guard) extind și mai mult aceste capacități, oferind mecanisme sigure, controlate prin politici, pentru transferul fișierelor peste granițele de încredere — o cerință esențială atât în timpul operațiunilor normale, cât și în timpul procesului de recuperare în urma incidentelor.

MetaDefender MFT schimbul securizat de fișiere între echipele interne, colaboratorii externi și între zonele de securitate segmentate, fiecare fișier fiind supus tehnologiilor Deep CDR™, Multiscanning și Proactive DLP™ înainte de a fi admis într-un mediu protejat.

MetaDefender X introduce transferul unidirecțional de date asigurat la nivel hardware prin tehnologia diodelor optice, garantând că nu există nicio conexiune rutabilă înapoi către zona protejată — o funcționalitate esențială pentru menținerea izolării, permițând totodată ca datele de telemetrie, patch-urile sau datele operaționale critice pentru siguranță să circule în siguranță într-o singură direcție.