Спонсорська функція Підключення до Інтернету змінило все, включно з промисловим середовищем старої школи. Оскільки компанії модернізують свою діяльність, вони підключають більше свого обладнання до Інтернету. Це ситуація, яка створює явні та актуальні проблеми безпеки, і галузі потрібні нові підходи до їх вирішення.
Запровадження промислового Інтернету речей (IIoT) стрімко попереду. Дослідження Інмарсат виявив, що 77 відсотків опитаних організацій повністю розгорнули принаймні один проект IIoT, причому 41 відсоток з них зробили це між другим кварталом 2020 і 2021 років.
Те саме дослідження також попередило, що безпека є головною проблемою для компаній, які починають розгортати ІІоТ, при цьому 54 відсотки респондентів скаржаться, що це заважає їм ефективно використовувати їхні дані. Половина також назвали ризик зовнішніх кібератак як проблему.
Рішення IIoT є ключовими для конвергенції IT та OT (операційних технологій). Платформи OT, часто промислові системи керування (ICS), допомагають компаніям керувати своїми фізичними пристроями, такими як преси та конвеєрні стрічки, що живлять виробниче виробництво, або клапани та насоси, які забезпечують потік міської води.
При цьому вони генерують величезні обсяги даних, корисних для цілей аналітики. Але розміщення цієї інформації у відповідних корпоративних інструментах означає подолання розриву між ІТ та ОТ.
Оператори також хочуть, щоб ці системи OT були доступні віддалено. Надання звичайним ІТ-додаткам можливості керувати цими пристроями означає, що їх можна зв’язати з тими самими внутрішніми процесами, визначеними в ІТ-системах. Забезпечення віддаленого доступу для техніків, які не можуть або не бажають здійснювати багатокілометрову поїздку туди й назад лише для того, щоб внести оперативні зміни, також може заощадити час і гроші.
Ця потреба у віддаленому доступі загострилася під час кризи COVID-19, коли соціальне дистанціювання та обмеження на подорожі не дозволили технікам взагалі відвідувати об’єкти. Inmarsat виявив, що пандемія була основною причиною прискореного впровадження ІІоТ, наприклад, 84 відсотки повідомили, що вони прискорили або прискорять свої проекти як пряму відповідь на пандемію.
Тож для багатьох конвергенція IT та OT є не просто зручною; це важливо. Але це також створило ідеальний шторм для команд безпеки. Зовнішня доступна система ICS збільшує площу атаки для хакерів.
Атаки ICS в дії
Іноді ця конвергенція IT/OT може бути такою ж простою, як хтось інсталює програмне забезпечення віддаленого доступу на ПК на підприємстві. Це налаштування, яке дозволено хакери отримали доступ до систем контролю за допомогою встановлення інструменту віддаленого доступу на муніципальній водопровідній станції в Олдсмарі, штат Флорида, у 2021 році, перш ніж спробувати отруїти місцевих жителів гідроксидом натрію. Комп’ютер, зламаний зловмисником, мав доступ до обладнання OT на заводі. Шериф міста повідомив, що невидимий зловмисник тягнув курсор миші на очах у одного з його працівників.
Незрозуміло, що змусило хакерів спробувати отруїти невинних жителів Флориди, але деякі атаки мають фінансові мотиви. Одним із прикладів є атака програм-вимагачів EKANS, яка вдарив Honda у червні 2020 року, припинивши виробничі операції у Великобританії, США та Туреччині.
Зловмисники використовували програму-вимагач EKANS, щоб атакувати внутрішні сервери компанії, спричинивши серйозні збої на її підприємствах. В ан аналіз Компанія з кібербезпеки Darktrace пояснила, що EKANS — це новий тип програми-вимагача. Системи-вимагачі, які націлені на мережі OT, зазвичай роблять це, спочатку вражаючи ІТ-обладнання, а потім повертаючись. EKANS є відносно рідкісним, оскільки він націлений безпосередньо на інфраструктуру ICS. Він може вражати до 64 конкретних систем ICS у своєму ланцюжку знищення.
Експерти вважають, що інші атаки ICS фінансуються державою. Шкідлива програма Triton, вперше спрямована на нафтохімічні заводи в 2017 році, є все ще загроза за даними ФБР, яке приписує напади підтримуваним державою російським групам. За словами Бюро, це зловмисне програмне забезпечення особливо неприємне, оскільки воно призвело до фізичних пошкоджень, впливу на навколишнє середовище та втрати життя.
Стандартні рішення безпеки тут не працюватимуть
Традиційні підходи до кібербезпеки неефективні для вирішення цих уразливостей OT. Компанії можуть використовувати інструменти безпеки кінцевих точок, включаючи засоби захисту від шкідливих програм, щоб захистити свої ПК. Але що, якби кінцевою точкою був програмований логічний контролер, відеокамера з підтримкою ШІ або лампочка? Ці пристрої часто не мають можливості запускати програмні агенти, які можуть перевіряти їхні внутрішні процеси. Деякі з них можуть не мати процесорів або засобів зберігання даних.
Навіть якби пристрій IIoT мав пропускну здатність обробки та потужність для підтримки вбудованого агента безпеки, користувацькі операційні системи, які вони використовують, навряд чи підтримуватимуть загальні рішення. Середовище IIoT часто використовує кілька типів пристроїв від різних постачальників, створюючи різноманітне портфоліо нестандартних систем.
Потім постає питання масштабу та розподілу. Адміністратори та спеціалісти з безпеки, які звикли мати справу з тисячами стандартних комп’ютерів у мережі, побачать, що середовище IIoT, де датчики можуть нараховуватися сотнями тисяч, дуже відрізняється. Вони також можуть поширюватися на широку територію, особливо коли периферійні обчислювальні середовища набувають популярності. Вони можуть обмежити підключення до мережі в деяких більш віддалених середовищах, щоб заощадити енергію.
Оцінка традиційних систем захисту ICS
Якщо звичайні конфігурації ІТ-безпеки не можуть впоратися з цими викликами, то, можливо, альтернативи, орієнтовані на OT, зможуть? Основною стандартною моделлю є модель кібербезпеки Purdue. Створений в Університеті Пердью та прийнятий Міжнародним товариством автоматизації як частину свого стандарту ISA 99, він визначає кілька рівнів, що описують середовище ІТ та ICS.
Нульовий рівень стосується фізичних машин – токарних верстатів, промислових пресів, клапанів і насосів, які виконують роботу. Наступний рівень включає інтелектуальні пристрої, які маніпулюють цими машинами. Це датчики, які передають інформацію від фізичних машин і приводів, які ними керують. Потім ми знаходимо системи диспетчерського керування та збору даних (SCADA), які контролюють ці машини, наприклад, програмовані логічні контролери.
Ці пристрої підключаються до систем управління виробничими операціями наступного рівня, які виконують промислові робочі процеси. Ці машини забезпечують оптимальну роботу заводу та записують дані про його роботу.
На верхніх рівнях моделі Пердью розташовані корпоративні системи, які безпосередньо належать до сфери ІТ. Перший рівень тут містить специфічні для виробництва програми, такі як планування ресурсів підприємства, яке обслуговує логістику виробництва. Потім на найвищому рівні знаходиться ІТ-мережа, яка збирає дані з систем ICS для формування бізнес-звітів і прийняття рішень.
За старих часів, коли ніщо не спілкувалося ні з чим за межами мережі, керувати середовищем ICS за допомогою цього підходу було легше, оскільки адміністратори могли сегментувати мережу вздовж її кордонів.
Рівень демілітаризованої зони (DMZ) був навмисно доданий для підтримки цього типу сегментації, який розташовується між двома корпоративними рівнями та рівнями ICS, розташованими далі в стеку. Він діє як повітряний проміжок між підприємством і доменами ICS, використовуючи обладнання безпеки, таке як брандмауери, щоб контролювати трафік, що йде між ними.
Не кожне IT/OT середовище матиме цей рівень, враховуючи, що ISA лише нещодавно представила його. Навіть ті, які стикаються з труднощами.
Сучасні робочі середовища відрізняються від тих у 1990-х роках, коли вперше з’явилася модель Перд’ю, а хмари, як ми її знаємо, не існувало. Інженери хочуть входити безпосередньо в локальні операції керування або системи SCADA. Постачальники можуть захотіти контролювати свої інтелектуальні пристрої на сайтах клієнтів безпосередньо з Інтернету. Деякі компанії прагнуть перемістити весь свій рівень SCADA в хмару, наприклад, Severn Trent Water вирішене зробити в 2020 році.
Еволюція ICS як послуги (ICSaaS), якою керують треті сторони, ще більше заплутала воду для команд безпеки, які борються з конвергенцією IT/OT. Усі ці фактори ризикують відкрити численні діри в середовищі та обійти будь-які попередні спроби сегментації.
Розрізаючи весь заплутаний безлад
Натомість деякі компанії впроваджують нові підходи, які виходять за межі сегментації. Замість того, щоб покладатися на межі мережі, які швидко зникають, вони перевіряють трафік на рівні пристрою в реальному часі. Це не так далеко від оригінальних пропозицій депериметризації, висунутих Jericho Forum Open Group на початку нуля, але аналізувати трафік у такій кількості різних точок мережі тоді було важко. Сьогодні захисники можуть краще стежити за собою завдяки появі ШІ.
Темний слід застосування деякі з цих концепцій у своїй промисловій імунній системі. Замість того, щоб спостерігати за відомими зловмисними сигнатурами на кордонах сегментів мережі, він починає з вивчення того, що є нормальним скрізь у ІТ- та ОТ-середовищі, включаючи будь-які частини цього середовища, розміщені в хмарі.
Встановлюючи еволюцію базової лінії нормальності, служба потім аналізує весь трафік на наявність активності, яка виходить за його межі. Він може сповіщати адміністраторів і аналітиків безпеки про ці проблеми, оскільки це зробив для одного європейського виробничого клієнта.
Сервіс також автономний. Коли клієнт довіряє своїм рішенням настільки, що перемикає перемикач, імунна система може переходити від простого сповіщення до вжиття пропорційних дій. Це може означати блокування певних форм трафіку, забезпечення нормальної поведінки пристрою або, у важких випадках, повне розміщення систем на карантині, включаючи обладнання на рівнях OT/ICS.
Керівництво Darktrace сподівається, що цей перехід до більш детальної моделі постійного, повсюдного аналізу трафіку в поєднанні з оцінкою в реальному часі порівняно з відомою нормальною поведінкою допоможе запобігти наростаючій хвилі кібератак ICS. Сподіваємось, це також дозволить компаніям стати більш гнучкими, підтримуючи віддалений доступ і хмарні ініціативи ICS. У майбутньому вам не доведеться ризикувати, щоб хтось вимкнув світло, намагаючись зберегти світло.
Спонсор Darktrace
- AI
- ai мистецтво
- AI арт генератор
- ai робот
- штучний інтелект
- сертифікація штучного інтелекту
- штучний інтелект у банківській справі
- робот зі штучним інтелектом
- роботи зі штучним інтелектом
- програмне забезпечення для штучного інтелекту
- blockchain
- блокчейн конференція AI
- coingenius
- розмовний штучний інтелект
- крипто конференція ai
- dall's
- глибоке навчання
- у вас є гугл
- навчання за допомогою машини
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- масштаб ai
- синтаксис
- Реєстр
- зефірнет
