Sponsorowana funkcja Łączność z Internetem zmieniła wszystko, łącznie ze starymi środowiskami przemysłowymi. W miarę unowocześniania swojej działalności firmy podłączają coraz więcej swoich maszyn do sieci. Jest to sytuacja, która stwarza jasne i aktualne obawy dotyczące bezpieczeństwa, a branża potrzebuje nowego podejścia do radzenia sobie z nimi.
Adopcja przemysłowego Internetu rzeczy (IIoT) nabiera tempa. Badania z Inmarsat ustalił, że 77 procent ankietowanych organizacji w pełni wdrożyło co najmniej jeden projekt IIoT, z czego 41 procent zrobiło to między drugimi kwartałami 2020 i 2021 roku.
To samo badanie ostrzegało również, że bezpieczeństwo jest głównym problemem dla firm rozpoczynających wdrażanie IIoT, a 54% respondentów skarży się, że uniemożliwia im to efektywne wykorzystanie ich danych. Połowa wskazała również na ryzyko zewnętrznych cyberataków jako problem.
Rozwiązania IIoT mają kluczowe znaczenie dla konwergencji IT i OT (technologia operacyjna). Platformy OT, często przemysłowe systemy sterowania (ICS), pomagają firmom zarządzać ich urządzeniami fizycznymi, takimi jak prasy i przenośniki taśmowe, które napędzają produkcję lub zawory i pompy, które utrzymują przepływ wody miejskiej.
W ten sposób generują ogromne ilości danych, które są przydatne do celów analitycznych. Jednak umieszczenie tych informacji w odpowiednich narzędziach korporacyjnych oznacza wypełnienie luki między IT a OT.
Operatorzy chcą również, aby te systemy OT były dostępne zdalnie. Nadanie konwencjonalnym aplikacjom IT możliwości kontrolowania tych urządzeń oznacza, że mogą one być połączone z tymi samymi procesami zaplecza zdefiniowanymi w systemach IT. A umożliwienie zdalnego dostępu technikom, którzy nie mogą lub nie chcą odbyć wielokilometrowej podróży w obie strony tylko w celu dokonania zmiany operacyjnej, może również zaoszczędzić czas i pieniądze.
Ta potrzeba zdalnego dostępu zaostrzyła się podczas kryzysu COVID-19, kiedy dystans społeczny i ograniczenia w podróży uniemożliwiły technikom jakiekolwiek wizyty na miejscu. Inmarsat odkrył, że pandemia była główną przyczyną przyspieszonej adopcji IIoT, na przykład, a 84 procent zgłosiło, że przyspieszyło lub przyspieszy swoje projekty w bezpośredniej reakcji na pandemię.
Dlatego dla wielu konwergencja IT i OT jest czymś więcej niż tylko wygodną; to jest niezbędne. Ale stworzyło to również idealną burzę dla zespołów bezpieczeństwa. Dostępny z zewnątrz system ICS zwiększa powierzchnię ataku hakerów.
Ataki ICS w akcji
Czasami konwergencja IT/OT może być tak prosta, jak instalacja oprogramowania zdalnego dostępu na komputerze w obiekcie. To jest konfiguracja, która dozwolony hakerzy do systemów kontroli dostępu poprzez instalację narzędzia zdalnego dostępu w miejskiej elektrowni w Oldsmar na Florydzie w 2021 r., zanim spróbują zatruć lokalnych mieszkańców wodorotlenkiem sodu. Komputer PC, który skompromitował atakujący, miał dostęp do sprzętu OT w zakładzie. Szeryf miasta poinformował, że niewidzialny intruz przesunął kursor myszy przed jednym z jego pracowników.
Nie jest jasne, co spowodowało, że hakerzy próbowali otruć niewinnych mieszkańców Florydy, ale niektóre ataki mają motywy finansowe. Jednym z przykładów jest atak ransomware EKANS, który: uderzyć w Hondę w czerwcu 2020 r., zamykając działalność produkcyjną w Wielkiej Brytanii, Stanach Zjednoczonych i Turcji.
Atakujący wykorzystali oprogramowanie ransomware EKANS do atakowania wewnętrznych serwerów firmy, powodując poważne zakłócenia w jej zakładach. W ciągu analiza ataku firma Darktrace zajmująca się cyberbezpieczeństwem wyjaśniła, że EKANS jest nowym rodzajem oprogramowania ransomware. Systemy ransomware, które atakują sieci OT, zwykle robią to, najpierw uderzając w sprzęt IT, a następnie obracając się. EKANS jest stosunkowo rzadki, ponieważ bezpośrednio dotyczy infrastruktury ICS. Może atakować do 64 określonych systemów ICS w swoim łańcuchu zabijania.
Eksperci uważają, że inne ataki ICS są sponsorowane przez państwo. Szkodliwe oprogramowanie Triton, po raz pierwszy skierowane do zakładów petrochemicznych w 2017 r., to: wciąż zagrożenie według FBI, które przypisuje ataki grupom rosyjskim wspieranym przez państwo. Według Biura to złośliwe oprogramowanie jest szczególnie nieprzyjemne, ponieważ powodowało szkody fizyczne, oddziaływanie na środowisko i utratę życia.
Standardowe rozwiązania zabezpieczające nie będą tutaj działać
Tradycyjne podejścia do bezpieczeństwa cybernetycznego nie są skuteczne w rozwiązywaniu tych luk OT. Firmy mogą używać narzędzi zabezpieczających punkty końcowe, w tym oprogramowania chroniącego przed złośliwym oprogramowaniem, do ochrony swoich komputerów. Ale co by było, gdyby punktem końcowym był programowalny sterownik logiczny, kamera wideo obsługująca sztuczną inteligencję lub żarówka? Urządzenia te często nie mają możliwości uruchamiania agentów oprogramowania, które mogą sprawdzać ich wewnętrzne procesy. Niektóre mogą nie mieć procesorów ani urządzeń do przechowywania danych.
Nawet jeśli urządzenie IIoT miało przepustowość przetwarzania i możliwości zasilania, aby obsługiwać wbudowanego agenta bezpieczeństwa, niestandardowe systemy operacyjne, z których korzystają, prawdopodobnie nie będą obsługiwać ogólnych rozwiązań. Środowiska IIoT często wykorzystują wiele typów urządzeń pochodzących od różnych dostawców, tworząc różnorodne portfolio niestandardowych systemów.
Następnie pojawia się kwestia skali i dystrybucji. Administratorzy i specjaliści ds. bezpieczeństwa przyzwyczajeni do obsługi tysięcy standardowych komputerów w sieci znajdą środowisko IIoT, w którym czujniki mogą liczyć setki tysięcy, bardzo różne. Mogą również rozprzestrzenić się na dużym obszarze, zwłaszcza gdy środowiska przetwarzania brzegowego zyskują na sile. Mogą ograniczyć swoje połączenia z siecią w bardziej oddalonych środowiskach, aby oszczędzać energię.
Ocena tradycyjnych ram ochrony ICS
Jeśli konwencjonalne konfiguracje bezpieczeństwa IT nie radzą sobie z tymi wyzwaniami, to być może mogą to zrobić alternatywy zorientowane na OT? Standardowym modelem jest model cyberbezpieczeństwa Purdue. Stworzony na Purdue University i przyjęty przez International Society of Automation jako część jego standardu ISA 99, definiuje wiele poziomów opisujących środowisko IT i ICS.
Poziom zero dotyczy maszyn fizycznych – tokarek, pras przemysłowych, zaworów i pomp, które wykonują zadania. Kolejny poziom obejmuje inteligentne urządzenia, które manipulują tymi maszynami. Są to czujniki, które przekazują informacje z fizycznych maszyn i siłowników, które je napędzają. Następnie znajdujemy nadrzędne systemy sterowania i akwizycji danych (SCADA), które nadzorują te maszyny, takie jak programowalne sterowniki logiczne.
Urządzenia te łączą się z systemami zarządzania operacjami produkcyjnymi na wyższym poziomie, które realizują przemysłowe przepływy pracy. Maszyny te zapewniają optymalną pracę zakładu i rejestrują dane operacyjne.
Na wyższych poziomach modelu Purdue znajdują się systemy korporacyjne, które pozostają w sferze IT. Pierwszy poziom zawiera tutaj aplikacje specyficzne dla produkcji, takie jak planowanie zasobów przedsiębiorstwa, które obsługują logistykę produkcji. Na najwyższym poziomie znajduje się sieć informatyczna, która zbiera dane z systemów ICS w celu kierowania raportowaniem biznesowym i podejmowaniem decyzji.
W dawnych czasach, gdy nic nie przemawiało do niczego poza siecią, łatwiej było zarządzać środowiskami ICS przy użyciu tego podejścia, ponieważ administratorzy mogli segmentować sieć wzdłuż jej granic.
W celu obsługi tego typu segmentacji celowo dodano warstwę strefy zdemilitaryzowanej (DMZ), która znajduje się między dwiema warstwami korporacyjnymi i warstwami ICS znajdującymi się dalej w stosie. Działa jako luka powietrzna między przedsiębiorstwem a domenami ICS, wykorzystując sprzęt zabezpieczający, taki jak zapory sieciowe, do kontrolowania ruchu między nimi.
Nie każde środowisko IT/OT będzie miało tę warstwę, biorąc pod uwagę, że ISA wprowadziła ją dopiero niedawno. Nawet ci, którzy stoją przed wyzwaniami.
Dzisiejsze środowiska operacyjne różnią się od tych z lat 1990., kiedy model Purdue po raz pierwszy ewoluował, a chmura, jaką znamy, nie istniała. Inżynierowie chcą logować się bezpośrednio do lokalnych operacji zarządzania lub systemów SCADA. Sprzedawcy mogą chcieć monitorować swoje inteligentne urządzenia w witrynach klientów bezpośrednio z Internetu. Niektóre firmy pragną przenieść całą swoją warstwę SCADA do chmury, jak Severn Trent Water postanowiła do zrobienia w 2020 roku.
Ewolucja ICS jako usługi (ICSaaS), zarządzanej przez strony trzecie, jeszcze bardziej zmąciła wody dla zespołów bezpieczeństwa zmagających się z konwergencją IT/OT. Wszystkie te czynniki stwarzają ryzyko otwarcia wielu dziur w środowisku i obejścia wszelkich wcześniejszych prób segmentacji.
Przecinając cały splątany bałagan
Zamiast tego niektóre firmy przyjmują nowe podejścia, które wykraczają poza segmentację. Zamiast polegać na szybko znikających granicach sieci, badają ruch na poziomie urządzenia w czasie rzeczywistym. Nie jest to dalekie od oryginalnych propozycji deperymetryzacji wysuniętych przez Open Group Jericho Forum na początku lat dziewięćdziesiątych, ale analiza ruchu w tak wielu różnych punktach sieci była wówczas trudna. Dziś obrońcy mogą lepiej uważać na oczy dzięki pojawieniu się sztucznej inteligencji.
Ciemny ślad to stosowania niektóre z tych koncepcji w ramach Industrial Immune System. Zamiast obserwować znane złośliwe sygnatury na granicach segmentów sieci, zaczyna się od poznania, co jest normalne w całym środowisku IT i OT, w tym we wszystkich częściach tego środowiska hostowanych w chmurze.
Ustanawiając ewoluującą linię bazową normalności, usługa następnie analizuje cały ruch pod kątem aktywności, która wykracza poza nią. Może ostrzegać administratorów i analityków bezpieczeństwa o tych problemach, ponieważ: zrobił dla jednego europejskiego klienta produkcyjnego.
Usługa jest również autonomiczna. Kiedy klient ufa swoim decyzjom na tyle, aby przełączyć przełącznik, system immunologiczny może przejść od zwykłego ostrzegania do podejmowania proporcjonalnych działań. Może to oznaczać blokowanie pewnych form ruchu, wymuszanie normalnego zachowania urządzenia lub w ciężkich przypadkach całkowite poddanie systemów kwarantannie, w tym sprzętu w warstwach OT/ICS.
Kierownictwo Darktrace ma nadzieję, że przejście do bardziej szczegółowego modelu stałej, wszechobecnej analizy ruchu w połączeniu z oceną w czasie rzeczywistym znanego normalnego zachowania pomoże powstrzymać rosnącą falę cyberataków ICS. Miejmy nadzieję, że pozwoli to również firmom stać się bardziej elastycznymi, wspierając zdalny dostęp i inicjatywy ICS oparte na chmurze. W przyszłości nie będziesz musiał ryzykować, że ktoś wyłączy światła, aby je utrzymać.
Sponsorowane przez Darktrace
- AI
- ai sztuka
- generator sztuki ai
- masz robota
- sztuczna inteligencja
- certyfikacja sztucznej inteligencji
- sztuczna inteligencja w bankowości
- robot sztucznej inteligencji
- roboty sztucznej inteligencji
- oprogramowanie sztucznej inteligencji
- blockchain
- konferencja blockchain ai
- pomysłowość
- sztuczna inteligencja konwersacyjna
- konferencja kryptograficzna
- Dall's
- głęboka nauka
- google to
- uczenie maszynowe
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- skala ai
- składnia
- Rejestr
- zefirnet
