Ako sa prostredia prevádzkovej technológie (OT) vyvíjajú, siete prepojených zariadení už nie sú obmedzené len na izolované priemyselné vybavenie. Dnešné OT systémy zahŕňajú rôzne zariadenia – od tradičných programovateľných logických automatov (PLC) a rozhraní človek-stroj (HMI) až po zariadenia internetu vecí (IoT). Zahŕňajú aj inžinierske pracovné stanice a IT aktíva pripojené k podnikovej sieti.
Prepojené senzory, inteligentné zariadenia a automatizačné systémy sa stali bežnou súčasťou priemyselných prostredí. Kombinácia IT systémov a IoT zariadení s OT zjednodušila zdieľanie dát aj diaľkové ovládanie zariadení. Hoci to môže prispieť k efektivite a modernizácii, nové zariadenia a komunikačné cesty zároveň prinášajú nové riziká do prevádzkového prostredia.
Táto prepojenosť dala vznik tzv. kyber-fyzickým systémom, kde digitálne technológie priamo ovplyvňujú fyzické operácie. Spoločnosť Gartner definuje kyber-fyzické systémy ako „inžinierske systémy, ktoré orchestrujú snímanie, výpočty, riadenie, sieťovanie a analytiku, aby interagovali s fyzickým svetom (vrátane ľudí)… Ak sú bezpečné, umožňujú bezpečný, spoľahlivý, odolný a prispôsobivý výkon v reálnom čase.
Čo sú kyber-fyzické systémy (CPS)?
Pojem kyber-fyzické systémy sa často používa ako zastrešujúci výraz pre zariadenia zahŕňajúce OT, IoT (internet vecí), IIoT (industriálny internet vecí), internet medicínskych vecí (IoMT), riešenia pre inteligentné budovy, robotiku a autonómne systémy. Slúži ako všeobecný rámec pre všetky tieto technológie.
Kým existujú riešenia na zabezpečenie IT sietí proti kybernetickým útokom na zdravotnícke alebo IoT zariadenia, naším zameraním je predchádzať útokom na kritickú infraštruktúru, ktoré môžu ohroziť národnú bezpečnosť a ochromiť celé komunity. Riziká sa ukázali v incidentoch ako červ Stuxnet, útok na ukrajinskú elektrickú sieť v roku 2015 či ransomvérový útok na Colonial Pipeline.
Koncept kyber-fyzických systémov môže pomôcť CISO a IT bezpečnostným profesionálom pochopiť, že kybernetická bezpečnosť už nie je obmedzená len na úniky dát či krádeže. Dnešné útoky predstavujú reálnu hrozbu pre fyzický svet – môžu narušiť dodávku energie, zastaviť činnosť ropovodov, ba dokonca ohroziť ľudské životy.
Bezpečnostné výzvy kyber-fyzických systémov
IT a IoT zariadenia sú často priamo prepojené s OT systémami, aby umožnili zdieľanie dát, vzdialené monitorovanie a analýzu v reálnom čase. Rozšírený útokový povrch kyber-fyzických systémov neunikol pozornosti útočníkov. Štátom podporované skupiny aj ransomvérové gangy čoraz častejšie cielia na IT, keďže vedia, že jediný prienik môže narušiť kritickú infraštruktúru.
Zraniteľný IT systém môže byť odrazovým mostíkom pre laterálny pohyb smerom k citlivým OT aktívam a následné narušenie prevádzky. IoT zariadenia, ako sú senzory či kamery, sa čoraz viac integrujú do OT prostredí za účelom optimalizácie procesov v reálnom čase. Tieto zariadenia sú však často nebezpečné už svojím dizajnom – chýba im silná autentifikácia či šifrovanie a často sú prístupné z internetu.
Rizikovo orientovaný prístup k správe zraniteľností v OT prostredí zabezpečuje, že priemyselné organizácie dávajú prednosť tým zraniteľnostiam, ktoré majú najväčší potenciál narušiť prevádzku a bezpečnosť.
Osvedčené postupy pre zabezpečenie prevádzkovej technológie (OT)
Riešenie týchto rizík si vyžaduje komplexný prístup, ktorý zohľadňuje celý útokový povrch. Inštitút SANS ponúka odporúčania na kľúčové opatrenia pre zabezpečenie kyber-fyzických systémov v OT prostrediach. Tu je súhrn toho, čo je potrebné zohľadniť pre zabezpečenú a odolnú priemyselnú prevádzku:
Segmentácia a riadenie prístupu
Stratégie OT bezpečnosti často začínajú spevnením prostredia – odstránením nadbytočných prístupových bodov OT siete, zavedením silných politík na IT/OT rozhraniach a elimináciou vysoko rizikových zraniteľností. Tento prístup znižuje laterálny pohyb v sieti a obmedzuje možnosť šírenia narušenia.
Zabezpečený prístup je kľúčový – je potrebné implementovať robustné riešenie, ktoré účinne riadi a monitoruje prístup do prostredia ICS. Malo by zahŕňať viacfaktorovú autentifikáciu, šifrovanú komunikáciu a prísne prístupové pravidlá v súlade s firemnými politikami.
Zvýšená viditeľnosť a monitorovanie siete
V oblasti kybernetickej bezpečnosti platí: nemôžete ochrániť to, čo nevidíte. Viditeľnosť aktív je základom pre ochranu týchto systémov. Je nevyhnutné získať prehľad o všetkých aktívach v reálnom čase, analyzovať ich komunikačné vzory, automaticky identifikovať zraniteľnosti a určiť ich prioritu podľa dôležitosti a funkcie. Využitie OT-špecifickej spravodajskej činnosti zvyšuje presnosť detekcie a rýchlosť reakcie.
Na dosiahnutie úplnej viditeľnosti naprieč kyber-fyzickým povrchom útoku využívajte nástroje na inventarizáciu aktív a mapovanie siete – vrátane zastaraných OT systémov a IoT zariadení – a analyzujte ich komunikačné vzory.
Rizikovo orientovaná správa zraniteľností
Nie všetky zraniteľnosti predstavujú rovnakú mieru rizika pre OT systémy. Organizácie by sa mali zamerať na tie, ktoré majú najväčší dopad na prevádzku, a podľa toho alokovať zdroje.
Efektívne riešenie pre správu zraniteľností by malo poskytovať presné informácie o najkritickejších slabinách v OT prostredí. Musí obsahovať rozsiahlu databázu OT zraniteľností s jasným návodom na prioritizáciu. Tým sa znižuje riziko, minimalizujú výpadky a sústredia sa zdroje tam, kde sú najviac potrebné.
Proaktívna detekcia hrozieb a monitorovanie
Priebežné monitorovanie OT sietí pomáha detegovať známky ransomvéru alebo malvéru skôr, než dôjde k eskalácii. Využívanie OT-špecifickej spravodajskej analýzy na pochopenie taktík, techník a postupov (TTP) útočníkov podporuje proaktívnu obranu.
Efektívna detekcia hrozieb by mala poskytovať podrobné informácie o TTP nepriateľov a generovať kontextom obohatené upozornenia. Ideálne je, ak detekcia hrozieb zapadá do vyšetrovacích playbookov, čo umožňuje analytikom rýchlejšie a efektívnejšie reagovať. Na rozdiel od detekcie založenej na anomáliách, behaviorálna analýza hrozieb znižuje počet falošných poplachov a poskytuje hlbší kontext.
Plánovanie reakcie na incidenty v OT
Reakcia na incidenty v OT sa výrazne líši od IT prostredí kvôli špecifickým zariadeniam, protokolom a technikám používaným v priemyselných systémoch. Účinná OT reakcia si vyžaduje špecifické nástroje, školený personál a lokálne prispôsobené stratégie – v závislosti od toho, či ide o ropovod, elektrickú sieť alebo výrobný závod. Vypracujte plán s určením kľúčových kontaktov, rolí a krokov pre rôzne scenáre. Pravidelné cvičenia zvyšujú pripravenosť na reálne situácie.
Budovanie bezpečnostnej stratégie pre OT
Budovanie odolnosti voči kybernetickým hrozbám v OT je postupný proces, často sprevádzaný nejasnosťami ohľadom ďalších krokov, zodpovednosti a zdrojov. Priemyselné prostredia čelia nielen modernizačným a regulačným výzvam, ale aj bezpečnostným a prevádzkovým rizikám. Zavedenie prispôsobiteľných bezpečnostných kontrol pre ICS je rozhodujúce pre dlhodobú odolnosť.