Sponsrad funktion Internetanslutning har förändrat allt, inklusive gammaldags industrimiljöer. I takt med att företag moderniserar sin verksamhet ansluter de mer av sina maskiner till webben. Det är en situation som skapar tydliga och aktuella säkerhetsproblem, och branschen behöver nya metoder för att hantera dem.
Införandet av Industrial Internet of Things (IIoT) går fort framåt. Forskning från Inmarsat fann att 77 procent av de tillfrågade organisationerna har fullt ut implementerat minst ett IIoT-projekt, och 41 procent av dem har gjort det mellan andra kvartalen 2020 och 2021.
Samma forskning varnade också för att säkerhet var ett primärt bekymmer för företag som påbörjar IIoT-installationer, med 54 procent av de tillfrågade som klagade på att det hindrade dem från att använda deras data effektivt. Hälften nämnde också risken för externa cyberattacker som ett problem.
IIoT-lösningar är avgörande för konvergensen mellan IT och OT (operativ teknologi). OT-plattformar, ofta industriella styrsystem (ICS), hjälper företag att hantera sina fysiska enheter som pressar och transportband som driver tillverkningsproduktion eller ventiler och pumpar som håller kommunalt vatten att flöda.
Genom att göra det genererar de enorma mängder data som är användbar för analysändamål. Men att få in den informationen i lämpliga företagsverktyg innebär att överbrygga klyftan mellan IT och OT.
Operatörer vill också att dessa OT-system ska vara tillgängliga på distans. Att ge konventionella IT-applikationer möjligheten att styra dessa enheter innebär att de kan länkas till samma back-end-processer som definieras i IT-system. Och att möjliggöra fjärråtkomst för tekniker som inte kan eller vill göra en flera kilometer tur och retur bara för att göra en operativ förändring kan också spara tid och pengar.
Detta behov av fjärråtkomst skärptes under covid-19-krisen när social distansering och resebegränsningar hindrade tekniker från att göra några besök på plats överhuvudtaget. Inmarsat fann att pandemin var en grundorsak till ett accelererat IIoT-antagande till exempel, med 84 procent rapporterade att de har eller kommer att påskynda sina projekt som ett direkt svar på pandemin.
Så för många är konvergensen av IT och OT mer än bara bekvämt; det är viktigt. Men det har också skapat en perfekt storm för säkerhetsteam. Ett externt tillgängligt ICS-system som är tillgängligt ökar attackytan för hackare.
ICS-attacker i aktion
Ibland kan den IT/OT-konvergensen vara så enkel som att någon installerar fjärråtkomstprogramvara på en PC på en anläggning. Det är upplägget som tillåts hackare till åtkomstkontrollsystem via en installation av ett fjärråtkomstverktyg vid den kommunala vattenanläggningen i Oldsmar, Florida 2021 innan de försökte förgifta lokala invånare med natriumhydroxid. Datorn som angriparen komprometterade hade tillgång till OT-utrustningen på anläggningen. Stadens sheriff rapporterade att den osynliga inkräktaren hade släpat runt muspekaren framför en av dess arbetare.
Det är inte klart vad som fick hackare att försöka förgifta oskyldiga Floridianer, men vissa attacker har ekonomiska motiv. Ett exempel är EKANS ransomware attack som träffa Honda i juni 2020, stängde tillverkningsverksamheten i Storbritannien, USA och Turkiet.
Angripare använde EKANS ransomware för att rikta in sig på företagets interna servrar, vilket orsakade stora störningar i dess fabriker. I en analys av attacken förklarade cybersäkerhetsföretaget Darktrace att EKANS var en ny typ av ransomware. Ransomware-system som riktar sig mot OT-nätverk gör det normalt genom att först träffa IT-utrustning och sedan svänga. EKANS är relativt sällsynt eftersom det riktar sig direkt mot ICS-infrastruktur. Den kan rikta in sig på upp till 64 specifika ICS-system i sin dödningskedja.
Experter tror att andra ICS-attacker är statligt sponsrade. Triton malware, som först riktades mot petrokemiska anläggningar 2017, är fortfarande ett hot enligt FBI, som tillskriver attacker till statligt stödda ryska grupper. Denna skadliga programvara är särskilt otäck, enligt byrån, eftersom den möjliggjorde fysisk skada, miljöpåverkan och förlust av liv.
Standardsäkerhetslösningar fungerar inte här
Traditionella cybersäkerhetsmetoder är inte effektiva för att lösa dessa OT-sårbarheter. Företag kan använda endpoint-säkerhetsverktyg inklusive anti-malware för att skydda sina datorer. Men vad händer om slutpunkten var en programmerbar logikkontroller, en AI-aktiverad videokamera eller en glödlampa? Dessa enheter har inte ofta kapacitet att köra programvaruagenter som kan kontrollera deras interna processer. Vissa kanske inte har processorer eller datalagringsmöjligheter.
Även om en IIoT-enhet hade bearbetningsbandbredden och kraftkapaciteten för att stödja en inbyggd säkerhetsagent, skulle de anpassade operativsystem som de använder vara osannolikt att stödja generiska lösningar. IIoT-miljöer använder ofta flera typer av enheter från olika leverantörer, vilket skapar en mångsidig portfölj av icke-standardiserade system.
Sedan är det frågan om skala och fördelning. Administratörer och säkerhetsexperter som är vana vid att hantera tusentals standarddatorer i ett nätverk kommer att hitta en IIoT-miljö, där sensorer kan uppgå till hundratusentals, mycket olika. De kan också spridas över ett brett område, särskilt som edge computing-miljöer vinner dragkraft. De kan begränsa sina anslutningar till nätverket i vissa mer avlägsna miljöer för att spara ström.
Utvärdera traditionella ICS-skyddsramverk
Om konventionella IT-säkerhetskonfigurationer inte kan hantera dessa utmaningar, så kanske OT-centrerade alternativ kan det? Go-to-standardmodellen är Purdue cybersäkerhetsmodell. Skapad vid Purdue University och antagen av International Society of Automation som en del av dess ISA 99-standard, definierar den flera nivåer som beskriver IT- och ICS-miljön.
Nivå noll handlar om de fysiska maskinerna – svarvarna, industripressarna, ventilerna och pumparna som får saker gjorda. Nästa nivå upp involverar de intelligenta enheterna som manipulerar dessa maskiner. Det här är sensorerna som vidarebefordrar information från de fysiska maskinerna och ställdonen som driver dem. Sedan hittar vi de övervakande kontroll- och datainsamlingssystemen (SCADA) som övervakar dessa maskiner, till exempel programmerbara logiska styrenheter.
Dessa enheter ansluter till tillverkningsoperativsystem på nästa nivå upp, som exekverar industriella arbetsflöden. Dessa maskiner säkerställer att anläggningen fortsätter att fungera optimalt och registrerar dess driftsdata.
På de övre nivåerna av Purdue-modellen finns företagssystemen som vilar helt och hållet inom IT-området. Den första nivån här innehåller de produktionsspecifika applikationerna som företagsresursplanering som hanterar produktionslogistik. Sedan på den översta nivån finns IT-nätverket, som samlar in data från ICS-systemen för att driva affärsrapportering och beslutsfattande.
Förr i tiden, när ingenting talade med någonting utanför nätverket, var det lättare att hantera ICS-miljöer med detta tillvägagångssätt eftersom administratörer kunde segmentera nätverket längs dess gränser.
Ett lager med demilitariserad zon (DMZ) lades medvetet till för att stödja denna typ av segmentering, som sitter mellan de två företagslagren och ICS-lagren längre ner i stacken. Det fungerar som ett luftgap mellan företaget och ICS-domänerna och använder säkerhetsutrustning som brandväggar för att kontrollera trafiken mellan dem.
Inte alla IT/OT-miljöer kommer att ha detta lager, med tanke på att ISA dock nyligen introducerade det. Även de som står inför utmaningar.
Dagens driftsmiljöer är annorlunda än på 1990-talet, när Purdue-modellen först utvecklades och molnet som vi känner det inte existerade. Ingenjörer vill logga direkt in på lokal förvaltning eller SCADA-system. Leverantörer kanske vill övervaka sina intelligenta enheter på kundplatser direkt från Internet. Vissa företag längtar efter att lyfta hela sitt SCADA-lager i molnet, som Severn Trent Water beslutade att göra 2020.
Utvecklingen av ICS as a service (ICSaaS), som hanteras av tredje part, har ytterligare grumlat vattnet för säkerhetsteam som brottas med IT/OT-konvergens. Alla dessa faktorer riskerar att öppna flera hål i miljön och kringgå eventuella tidigare segmenteringsansträngningar.
Skär igenom hela den trassliga röran
Istället antar vissa företag nya tillvägagångssätt som vågar sig bortom segmentering. Istället för att förlita sig på nätverksgränser som snabbt försvinner, undersöker de trafiken på enhetsnivå i realtid. Detta är inte långt borta från de ursprungliga de-perimeteriseringsförslagen som lades fram av Open Groups Jericho Forum i början av noughties, men att analysera trafik på så många olika punkter i nätverket då var svårt. Idag är försvarare bättre i stånd att hålla ett vakande öga tack vare tillkomsten av AI.
Darktrace är applicering några av dessa koncept inom sitt industriella immunsystem. Istället för att titta efter kända skadliga signaturer vid gränserna för nätverkssegment, börjar den med att lära sig vad som är normalt överallt i IT- och OT-miljön, inklusive alla delar av den miljön som är värd i molnet.
Genom att etablera en föränderlig normalitetsbaslinje analyserar tjänsten sedan all trafik för aktivitet som faller utanför den. Det kan varna administratörer och säkerhetsanalytiker om dessa problem, eftersom det gjorde för en europeisk tillverkande kund.
Tjänsten är också autonom. När en kund litar tillräckligt på sina beslut för att vända omkopplaren, kan immunsystemet gå från att bara larma till att vidta proportionella åtgärder. Detta kan innebära blockering av vissa former av trafik, upprätthållande av en enhets normala beteende eller i allvarliga fall karantänsystem helt och hållet, inklusive utrustning i OT/ICS-lagren.
Darktraces chefer hoppas att denna övergång till en mer detaljerad modell av konstant, allestädes närvarande trafikanalys, kombinerat med realtidsbedömning mot känt normalt beteende, kommer att hjälpa till att motverka den stigande vågen av ICS-cyberattacker. Det kommer förhoppningsvis också att göra det möjligt för företag att bli mer agila och stödja fjärråtkomst och molnbaserade ICS-initiativ. I framtiden behöver du inte riskera att någon släcker lamporna i din strävan att hålla lamporna tända.
Sponsras av Darktrace
- AI
- ai konst
- ai art generator
- har robot
- artificiell intelligens
- artificiell intelligenscertifiering
- artificiell intelligens inom bankväsendet
- artificiell intelligens robot
- robotar med artificiell intelligens
- programvara för artificiell intelligens
- blockchain
- blockchain konferens ai
- coingenius
- konversationskonstnärlig intelligens
- kryptokonferens ai
- dalls
- djupt lärande
- du har google
- maskininlärning
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- skala ai
- syntax
- Registret
- zephyrnet
