Захист OT інженерного рівня

Нижче наведено уривки з книжкового набору, який буде представлено 1 листопада 2023 року.

Багато написано про відмінності між звичайними ІТ-мережами та експлуатаційна технологія (OT) або мережі промислової системи керування (ICS): у мережах OT важче встановлювати латки, антивірус важче, мережі OT використовують дуже старі протоколи та комп’ютери, і існує величезний опір змінам з боку людей, які керують цими мережами. Проте всі ці відмінності поверхневі. Внутрішня різниця між цими двома типами мереж полягає в наслідках: найчастіше найгірші наслідки кібератак різко якісно відрізняються в мережах IT і OT.

Яка ця різниця? вимагачів потрапляє в нашу ІТ-мережу, і що ми робимо? Ми виявляємо, реагуємо та відновлюємо. Ми ідентифікуємо уражені комп’ютери та ізолюємо їх. Ми робимо криміналістичні зображення та стираємо обладнання. Відновлюємо з резервних копій. Повторюємо. У гіршому випадку відбувається витік особистої інформації (PII) або іншої конфіденційної інформації, і ми страждаємо від судових позовів. Це все бізнес-наслідки. Іншими словами, в ІТ-мережах метою управління кіберризиками є запобігання наслідкам для бізнесу шляхом захисту інформації — захисту конфіденційності, цілісності та доступності бізнес-інформації.

Однак у мережах OT найгірші наслідки компромісу майже завжди фізичні. Речі вибухають і вбивають людей, промислові збої спричиняють екологічні катастрофи, вимикається світло або наша питна вода заражена. Метою управління кіберризиками для мереж OT, як правило, є забезпечення правильної, безперервної та ефективної роботи фізичного процесу. Метою є не «захист інформації», а радше захист фізичних операцій від інформації, точніше від кібер-диверсійних атак, які можуть бути вбудовані в інформацію. Це принципова відмінність між ІТ-мережами та ОТ-мережами: ні людські життя, ні пошкоджені турбіни, ні екологічні катастрофи неможливо «відновити з резервних копій».

Це означає, що навіть якби ми могли якимось чином помахати чарівною паличкою і зробити всі промислові мережі повністю виправленими, повністю антивірусними, повністю зашифрованими та повністю оновити сучасні механізми ІТ-кібербезпеки, ця фундаментальна відмінність залишилася б. Різниця в наслідках сьогодні і завжди вимагає іншого підходу до управління ризиками в критично важливих для безпеки та надійності мережах у порівнянні з бізнес-мережами.

Інженерна безпека

Хороша новина полягає в тому, що інженери мають у своєму розпорядженні потужні інструменти для боротьби з кіберризиками OT. Наприклад, механічні клапани надлишкового тиску запобігають вибуху посудин під тиском. Ці клапани не містять ЦП, тому їх неможливо зламати. Муфти з обмеженням крутного моменту запобігають розпаду турбін, не містять центральних процесорів і тому їх неможливо зламати. Односпрямовані шлюзи фізично не здатні дозволити інформації атаки проходити в одному напрямку, тому їх неможливо зламати. Сьогодні цими потужними інструментами часто нехтують, оскільки вони не мають аналогів у сфері ІТ-безпеки.

Якщо копнути глибше, то професія інженера керує ризиками для громадської безпеки вже понад століття. Саме через те, що погана техніка створює ризики для громадської безпеки, інженерна професія є законодавчою, саморегульованою професією в багатьох юрисдикціях, подібно до медичних та юридичних професій. Професія інженера може зробити величезний внесок в управління кіберризиками OT, але це погано розуміють як у професії, так і за її межами.

чому Почнемо з того, що у світі в 50 разів більше фахівців з ІТ-безпеки, ніж спеціалістів з безпеки OT, тому ІТ-експерти часто є першими, до кого звертаються, коли нам потрібні рішення для промислової кібербезпеки. Однак більшість експертів з ІТ-безпеки не є інженерами, тому не знають ні про обов’язки, ні про внесок, який може зробити інженерна професія.

Професія інженера в цілому не набагато краща. Якщо кібератаки з фізичними наслідками продовжуватимуть щорічно збільшуватися більш ніж вдвічі, то кіберпроблема OT досягне масштабів кризи до кінця десятиліття. Але в більшості юрисдикцій інженерна професія ще не впоралася з кіберризиками для населення та фізичних операцій. На момент написання цієї статті не існує жодної юрисдикції у світі, де нездатність застосувати надійне управління кіберризиками до промислових зразків може коштувати інженеру ліцензії на практику.

Хоча прогрес є. За останні півдесяти років викристалізувалася низка підходів до надійної розробки кібербезпеки:

• Інженерний процес: Команда Огляд PHA безпеки для кібербезпеки на основі наслідків У підручнику описано підхід до використання стандартного аналізу небезпеки процесу (PHA) інженерної перевірки, щоб запровадити фізичні засоби пом’якшення кібернетичних загроз працівникам, навколишньому середовищу та громадській безпеці, які неможливо зламати.
• Техніка автоматизації: Книга Ендрю Бохмана та Сари Фрімен Протидія кіберсаботажу: представлення кіберінформованої інженерії, орієнтованої на наслідки це в першу чергу текст про оцінку ризиків, але містить низку розділів про засоби пом’якшення кіберзагроз, які неможливо зламати, у тому числі цифрові засоби пом’якшення захисту обладнання від кіберзагроз, які неможливо зламати.
• Розробка мережі: Моя книга Технологія безпечних операцій описує інженерну перспективу захисту правильних фізичних операцій від атак, які можуть бути вбудовані у вхідні інформаційні потоки, а не намагатися «захистити інформацію». Велика частина тексту зосереджена на різних способах проектування промислових мереж, щоб дати можливість моніторинговій інформації залишати мережу, не запроваджуючи жодного способу проникнення інформації про атаку в мережі.

У цій темі Міністерство енергетики США (DOE) також випустило «Національна стратегія кіберінформації” (PDF) у червні 2022 р. Стратегія спрямована на розробку інженерних знань, щоб, серед іншого, “використовувати проектні рішення та інженерні засоби контролю для пом’якшення або навіть усунення шляхів кібер-атак або зменшення наслідків у разі атаки. .”

Заглядаючи в майбутнє

Головне питання, яке розглядає нова книга, коли йдеться про кібербезпеку, «скільки вистачить?Наслідки визначають ступінь захисту, який потребує система або мережа, і найкращі вказівки стверджують, що нам потрібно забезпечити критичні для безпеки та критичні інфраструктурні системи насправді ретельно. Це дуже дорогий процес. Гірше того, навіть найкращі програми кібербезпеки не забезпечують детермінований захист, який ми очікуємо від інженерних проектів, коли громадська безпека знаходиться під загрозою.

Інженерія безпеки має потенціал, якщо її застосовувати регулярно та систематично, щоб виключити з розгляду багато наслідків безпеки та надійності/національної безпеки. Це може значно спростити "скільки вистачить?» шляхом зменшення необхідної потужності та вартості програм кібербезпеки, які спрямовані на вирішення решти ризиків у мережах OT. Враховуючи кризу, яку ми бачимо через відключення OT, пошкодження обладнання та ще гірше, спричинене кібератаками, настав час для цього нового підходу.

більше інформація про книгу можна знайти за посиланням.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot/engineering-grade-ot-protection