Systemy technologii operacyjnej (OT) celem cyberataków w wojnie hybrydowej.
Jak wskazuje ekspert Stormshield, w kontekście rosnącego zainteresowania przestępców przedsiębiorstwami produkcyjnymi szczególnego znaczenia nabiera segmentacja systemów OT i IT, której podstawą jest firewall. Wobec niestabilnej sytuacji geopolitycznej prawidłowe zabezpieczenie systemów przemysłowych ma istotne znaczenie w kontekście ogólnego bezpieczeństwa państwa.
Według najnowszej edycji raportu „Microsoft Digital Defense”, Polska jest 3. w Europie i 9. na świecie najczęściej atakowanym krajem ze strony cyberprzestępczych organizacji sponsorowanych przez obce państwa, głównie Rosję. W ostatnich miesiącach Microsoft obserwował przy tym wzrost liczby zgłoszeń ataków na słabo zabezpieczone urządzenia OT połączone z Internetem, które kontrolują krytyczne procesy. Przestępcom sprzyja gwałtowny rozwój technologiczny. Cyfryzacja gospodarki nakłada się na stworzone przed laty rozwiązania. Systemy przemysłowe, np. linie produkcyjne współczesnych fabryk, funkcjonują on-line, a jednocześnie wiele z nich tworzone było w zupełnie innych realiach.
– Informacje dla systemów zarządzających procesami przekazywane są z wykorzystaniem wewnątrz-firmowych i zewnętrznych połączeń sieciowych, a za pośrednictwem Internetu, w ramach połączeń szyfrowanych VPN, odbywa się monitoring ich funkcjonowania, wsparcie techniczne oraz serwis. Tak współcześnie funkcjonuje sektor produkcyjny, niezależnie od branży. W świetle presji przestępców warto sprawdzić, czy nie mamy opóźnienia w obszarze bezpieczeństwa OT, które mogą okazać się kosztowne – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Segmentacja, analiza protokołów przemysłowych i bezpieczeństwo połączeń
Segmentacja zapewnia możliwość zablokowania rozprzestrzeniania się ataku, czyniąc bardziej złożonym wykrywanie elementów sieci operacyjnej. W skutecznym oddzieleniu wszystkich obiektów operacyjnych i kontroli przepływu danych między nimi pomoże na przykład instalacja firewalli. Świadomość wagi problemu mają wytwórcy technologii bezpieczeństwa.
Kolejną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi. – Jeśli napastnikom uda się nawiązać połączenie z fizycznym urządzeniem lub stacją obsługi zdalnej, to będą oni mogli analizować sieć, rozumieć jej strukturę i wysyłać złośliwe wiadomości. Najlepszym sposobem przeciwdziałania tym rodzajom ryzyka jest wdrożenie sond przemysłowych, zabezpieczenia z wyspecjalizowanym rozwiązaniem inline z IPS i głęboką analizą protokołów przemysłowych w celu kontrolowania wiadomości wymienianych z najbardziej wrażliwym sprzętem – wskazuje Aleksander Kostuch.
Z perspektywy bezpieczeństwa znaczenie ma kwestia połączeń na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji. Wymagają one wdrożenia tuneli typu VPN lub bezpiecznych, monitorowanych i rejestrowanych połączeń w celu zapewnienia poufności danych.
Firewall. Małe urządzenie o wszechstronnych możliwościach
By zapewnić skuteczną i efektywną ochronę systemów OT niezbędne są odpowiednie rozwiązania np. nowoczesne firewalle. Stormshield właśnie oddał do użytku firewall SNi10 zaprojektowany z myślą o ochronie środowisk krytycznych, w szczególności infrastruktury przemysłowej.
– To sprzęt, który oferuje szerokie możliwości. Od ochrony małych firm poprzez funkcje UTM i zestawianie szyfrowanych tuneli VPN, po użycie SDWAN do ochrony kluczowych zasobów z wykorzystaniem protokołów przemysłowych – wyjaśnia Aleksander Kostuch.
Firewall może realizować separację sieci przy użyciu fizycznych interfejsów sieciowych lub sieci VLAN. Technologia ta jest często wykorzystywana w celu zwiększenia efektywności sieci oraz poprawy bezpieczeństwa poprzez izolowanie ruchu pomiędzy różnymi grupami urządzeń.
– Przy separacji sieci istotne jest, aby interfejsy fizyczne obsługujące sieci VLAN cechowały się wysoką przepustowością. Najmniejszy z naszych firewalli jest wyposażony w cztery fizyczne interfejsy o prędkości nawet 2,5 Gbps. To prędkość 2,5 krotnie wyższa niż dotychczas dostępne w rozwiązaniach z interfejsami gigabitowymi, co pozwala na zapewnienie komfortu transmisji oraz skuteczne monitorowanie różnych wirtualnych podsieci – mówi ekspert Stormshield.
– Z kolei w kontekście wykorzystania technologii SD-WAN, urządzenie z kilkoma routowalnymi interfejsami umożliwia skuteczne zarządzanie i automatyczny wybór trasy o najlepszej jakości dla ruchu sieciowego. Automatycznie może być sprawdzana metryka łącza pod kątem opóźnień, fluktuacji pakietów, straty pakietów i współczynniku niedostępności. Dzięki temu można kierować ruch sieciowy do określonych usług w Internecie, jak również usług dostępnych zdalnie przez szyfrowane połączenie IPSEC VPN, korzystając z najlepszego połączenia spośród wielu operatorów internetowych – dodaje.
Innowacyjnym rozwiązaniem jest dwufunkcyjność nowego firewalla. Pojedyncze urządzenie w wersji bazowej oznaczone jest SN170. Może być stosowane w małych firmach, spełniając rolę typowego urządzenia UTM do ochrony styku firmowej sieci z Internetem. Oferuje wówczas m.in. ochronę przed atakami, filtrowanie stron WWW i aplikacji sieciowych oraz sandboxing. Warto zauważyć, że model ten umożliwia pracę w klastrze wysokiej dostępności (HA). Licencja umożliwia zmianę urządzenia na SNi10, które ma możliwość zaawansowanej, głębokiej analizy protokołów przemysłowych.
– W tej opcji możemy również realizować mikrosegmentację i chronić kluczowe zasoby przed potencjalnymi atakami wewnątrz firmy. Tym samym nowy firewall uzupełnia linię urządzeń do ochrony sieci przemysłowych, łączących w sobie elastyczność i wydajność, by zapewnić ciągłość działania w złożonej architekturze oraz spełniać wymagania krytycznej infrastruktury przemysłowej. O jego przydatności w wymagających środowiskach świadczy też rozszerzony zakres temperatury pracy, od -20° do 60°C, zasilacz przemysłowy AC i możliwość montażu na szynie DIN – wskazuje Aleksander Kostuch.
Seria Stormshield Network Security wyróżnia się wydajnym modułem IDS/IPS, który odpowiedzialnym za zapewnienie głębokiej analizy protokołów przemysłowych. Dzięki zaawansowanym funkcjom bezpieczeństwa, firewall identyfikuje i chroni komunikację przemysłową popularnych producentów sterowników, co jest kluczowe dla sprawnego działania procesów operacyjnych. Firewall SNi10 zabezpiecza przesyłane komendy i dane wymieniane ze sterownikami PLC.
– Specyfiką sieci produkcyjnych jest potrzeba przezroczystej implementacji firewalla w zastanym środowisku produkcyjnym. SNi10 może pracować przezroczyście, bez przerwania transmisji, jako urządzenie inline, przez które przechodzi cały ruch sieciowy kluczowych i wrażliwych na ryzyko sterowników PLC, czy też system SCADA. W tym trybie dalej można nałożyć reguły bezpieczeństwa z odpowiednimi ustawieniami personalizowanymi dla wykrytych protokołów przemysłowych. Co więcej, by zapewnić maksimum bezpieczeństwa dla wykrytego ruchu sieciowego, można włączyć autoryzację użytkowników – wyjaśnia Aleksander Kostuch.
Jednym z kluczowych atutów firewalli Stormshield jest możliwość ich centralnego zarządzania. To szczególnie przydatne w środowiskach, gdzie wiele małych firewalli pracuje w różnych segmentach sieci, zapewniając lokalną ochronę w sieciach przemysłowych lub łączność poprzez tunele IPsec VPN.
– Dla firm korzystających z połączeń IPsec VPN, centralne zarządzanie ułatwia utrzymanie stabilnych i bezpiecznych tuneli między lokalizacjami. Zdalna administracja pozwala na bieżąco monitorować wydajność tuneli, aktualizować certyfikaty czy wprowadzać zmiany w konfiguracji. Dzięki centralnemu zarządzaniu można wprowadzać spójne reguły dostępu i szyfrowania co minimalizuje ryzyko błędów konfiguracyjnych – mówi ekspert.
Dodatkowo umożliwia ona szybką reakcję na incydenty. Po wykryciu zagrożenia zmiany w regułach firewalli można wdrożyć na wszystkich urządzeniach jednocześnie, co znacząco ogranicza czas i koszty.
– W dobie coraz bardziej złożonych i dynamicznych środowisk sieciowych, centralne zarządzanie wieloma urządzeniami firewall łączy wygodę, efektywność i wysoki poziom bezpieczeństwa. Zintegrowane podejście, które opiera się na kilku poziomach ochrony jest niezbędne do skutecznego zabezpieczenia systemów produkcyjnych – podsumowuje Aleksander Kostuch.
Źródło: Raport „Microsoft Digital Defense”