Dacă lucrezi în domeniul securității, știi cum stă treaba: vizibilitatea este esențială.
Acest lucru este în conformitate cu cele trei controale critice SANS pentru sistemele ICS – Vizibilitatea și monitorizarea rețelei, precum și cu standardele NIST CSF și ISA/IEC 62443, care definesc în mod specific cerințele privind vizibilitatea.
Cu toate acestea, integrarea în condiții de siguranță a vizibilității rețelei în mediile OT și ICS pentru toate echipele care au nevoie de aceasta reprezintă o provocare:
- Echipele de securitate IT și OT au nevoie de jurnale pentru a monitoriza evenimentele.
- Echipele de intervenție în caz de incidente au nevoie de date pentru a lua decizii în cunoștință de cauză în timpul atacurilor.
- Analistii criminalistici au nevoie de date pentru a înțelege modul în care s-a produs un atac în mediul OT, precum și cronologia evenimentelor.
- Chiar și echipele responsabile cu conformitatea au nevoie de documente care să ateste că au respectat obligația de diligență.
Nu este vorba despre „cum” să le oferim acces OT acestor echipe; este vorba despre a le oferi acces fără a lăsa din greșeală ușa deschisă atacatorilor.
AiciNetWall OPSWAT MetaDefender NetWall .
În loc să permită fiecăreia dintre aceste echipe să acceseze mediul OT, odiodă de date unidirecțională MetaDefender NetWall transmite jurnalele de la OT către IT, permițând echipelor să vadă ce se întâmplă fără a deschide ușa amenințărilor.
Cine are nevoie de jurnale OT (și de ce nu se pot limita la a se „autentifica”)
Cadrele de referință precum cele trei controale critice SANS pentru ICS, NIST CSF și ISA/IEC 62443 conțin reguli clare privind vizibilitatea.
Măsurile de control al vizibilității sunt esențiale pentru identificarea resurselor, detectarea vulnerabilităților și monitorizarea în timp real a amenințărilor, fără a perturba procesele industriale critice și sensibile.
În cadrul unei organizații există diferite echipe pentru care accesul la datele OT în timp real este absolut esențial.
Analisti SOC (Centrul de operațiuni de securitate)
Analistii SOC au sarcina de a monitoriza, detecta, investiga și răspunde la alertele de securitate.
Pe scurt, rolul lor este de a identifica amenințările înainte ca acestea să se transforme în dezastre. Pentru a face acest lucru, au nevoie de jurnale OT în timp real pentru a detecta intruziunile, programele malware sau traficul anormal.
Cu toate acestea, dacă un atacator obține acces direct la mediul IT, acesta poate trece rapid la sistemele OT, creând un risc grav de breșă de securitate în sistemele OT.
Din acest motiv, echipele SOC nu se pot baza pe metode simple de autentificare pentru a accesa datele OT în timp real în scopul monitorizării.
În cazul în care sistemul SOC ar fi compromis, un atacator ar putea exploata acea conexiune ca pe o cale de acces în mediul OT.
Echipe de OT Security
Echipele de securitate OT protejează sistemele de control industrial și tehnologiile OT, precum SCADA, PLC-urile și roboții de producție, care gestionează infrastructura fizică.
Aceste echipe au nevoie de jurnale de securitate pentru analize criminalistice și detectarea anomaliilor.
Nici acordarea accesului sistemelor din mediul IT, dotate cu instrumente de securitate specifice ICS și OT, în mediul OT nu este o idee prea bună.
La fel ca în cazul SOC, dacă aceste sisteme IT sunt compromise, ele ar putea oferi atacatorilor o cale directă de acces la operațiunile OT.
Echipe de intervenție în caz de incidente și de analiză criminalistică
În cazul în care se detectează o anomalie sau o breșă de securitate, echipele de intervenție în caz de incidente și de analiză criminalistică sunt chemate să investigheze și să remedieze situația.
Au nevoie de jurnale pentru a identifica, a limita și a elimina atacurile asupra sistemelor OT, oferind astfel o cale de prevenire a incidentelor și a repetării acestora.
Cu toate acestea, aceste echipe sunt de obicei chemate în ajutor după ce o breșă de securitate a fost deja confirmată, moment în care riscurile sunt și mai mari.
În cazul în care instrumentele de răspuns sau datele de autentificare sunt compromise, o cale de acces în sistemul OT le-ar oferi atacatorilor exact ceea ce au nevoie.
Prin urmare, echipele de intervenție în caz de incidente și cele de investigații informatice nu ar trebui să aibă acces direct, prin autentificare, la mediul OT.
Echipe de conformitate și audit
Dacă nu există jurnale, standardele de conformitate nu sunt respectate.
Echipele de conformitate și audit au nevoie de stocarea pe termen lung a jurnalelor și de o monitorizare fiabilă a evenimentelor pentru a respecta cerințele de reglementare și de raportare.
Cu toate acestea, acordarea accesului direct al auditorilor la mediul OT nu este nici necesară, nici recomandabilă.
Este mult mai sigur și mai ușor de controlat să le furnizăm jurnalele și rapoartele necesare din exterior, decât să le oferim acces direct la sistemele OT.
De ce o diodă de date? Pentru că accesul de intrare este un coșmar
În acest moment, este evident că permiterea sistemelor enterprise să interogheze direct jurnalele OT generează riscuri ridicate de securitate.
O conexiune slab securizată este tot ce are nevoie un atacator pentru a:
- Treci de la IT la OT.
- Exfiltrați date sensibile din mediile OT și ICS, inclusiv informații despre sistemele de control, cum ar fi marca și modelele PLC-urilor, valorile de proces și multe altele.
- Alterarea jurnalelor pentru a-și acoperi urmele.
MetaDefender Netwall elimină aceste riscuri prin impunerea la nivel hardware a unui flux de date unidirecțional.
Jurnalele sunt trimise, dar nu se primește nimic înapoi.
Echipele noastre obțin datele de care au nevoie, iar rețeaua OT rămâne securizată și în siguranță.
Cum funcționează
Instanța OT Splunk colectează jurnalele de securitate din întregul mediu OT.
- Colecția include jurnale de firewall,IPS , jurnale de evenimente Windows și chiar evenimente PLC.
În loc să permită utilizatorilor sau sistemelor din cadrul întreprinderii să acceseze rețeaua OT, OPSWAT NetWall transmiteNetWall jurnalele din colectorul Splunk OT către exterior.
Instanța Splunk a întreprinderii primește apoi o copie a acestor evenimente de la Splunk la Splunk.
Astfel, echipele responsabile de securitate și conformitate beneficiază de vizibilitatea de care au nevoie, fără a crea căi de acces către interior care ar putea expune mediul OT la riscuri.
Concluzii: Securitate fără compromisuri
Dacă echipele de securitate ale companiei dumneavoastră solicită jurnalele OT, nu le respingeți categoric cu un „nu” categoric.
Le poți acorda accesul de care au nevoie, dar nu într-un mod care să expună întregul mediu.
Dioda de date OPSWAT Netwall le oferă vizibilitatea de care au nevoie, asigurând în același timpsecuritatearețelei operaționale (OT).
În absența accesului de intrare, nu există riscul unei compromiteri.
OPSWAT NetWall datele potrivite ajung la persoanele potrivite, în modul corect.
Nu trebuie să alegi între vizibilitate și siguranță.
Cu o diodă de date, le poți avea pe amândouă.
Contactați-ne pentru a afla cum OPSWAT NetWall productivitatea echipelor dvs. de securitate și siguranța mediului OT.
