Demonstracja zabezpieczeń FortiGate i monitorowanie w systemie SIEM
Przeczytaj część I z serii: Cyberbezpieczeństwo w technologii operacyjnej (OT): Praktyczne zilustrowanie cz I
W tej demonstracji przedstawimy, jak zaawansowane funkcje zabezpieczeń FortiGate łącznie z systemem SIEM mogą skutecznie chronić sterowniki PLC w środowisku OT oraz umożliwiają bieżące monitorowanie i reagowanie na zagrożenia. Skupimy się na polityce Kontroli Aplikacji, a następnie przejdziemy do analizy zdarzeń w systemie SIEM.
Reguła kontroli aplikacji FortiGate dla kategorii przemysłowej
Aby to zademonstrować, w pierwszym etapie symulowano atak, w którym nieautoryzowany kod miał zakłócić linię automatyzacji sortowania. W drugim etapie polityka Kontroli Aplikacji została włączona, blokując wszystkie zmiany w sterowniku PLC. Z uwagi na to, że komunikacja nie była szyfrowana, firewall mógł monitorować ruch, a następnie blokować, zezwalać lub monitorować go w czasie rzeczywistym.
Dlaczego kontrola aplikacji jest kluczowa w ochronie OT?
Przykład zastosowania Kontroli Aplikacji w FortiGate pokazuje, jak efektywnie można identyfikować i reagować na nieautoryzowane próby manipulacji w systemach OT. Zablokowanie kategorii przemysłowej w polityce firewalla pozwala na szczegółowe monitorowanie i kontrolę nad aplikacjami, które mogą mieć dostęp do kluczowych komponentów produkcyjnych.
FortiGate kontrola aplikacji dla przemysłu sygnatury protokołów Siemens OT
Niezaszyfrowana komunikacja, choć powszechna w wielu systemach OT, stanowi poważne ryzyko bezpieczeństwa. Nowoczesne zapory sieciowe, takie jak FortiGate, są wyposażone w zaawansowane funkcje monitorowania i analizy ruchu sieciowego, co umożliwia im rozpoznawanie i blokowanie podejrzanych działań.
Na przykładzie zastosowania polityki kontroli aplikacji, połączenia protokołu S7 do zarządzania PLC zostały zablokowane. Trzy próby komunikacji — od ustawienia po tworzenie obiektu — pokazują skuteczność blokady, chroniąc infrastrukturę przed nieautoryzowanymi działaniami.
FortiGate kontrola aplikacji zablokowane połączenia dla przemysłu Siemens OT
FortiGate kontrola aplikacji zablokowane połączenie do sterownika Siemens OT
Ten przykład podkreśla znaczenie zaawansowanych narzędzi monitorowania i kontroli w ochronie systemów OT przed zaawansowanymi zagrożeniami cybernetycznymi. Wdrażanie takich rozwiązań pozwala na bieżące śledzenie i reagowanie na próby naruszenia bezpieczeństwa, co jest kluczowe w zapewnieniu ciągłości i bezpieczeństwa operacyjnego w nowoczesnych zakładach przemysłowych.
Dalszym krokiem po wdrożeniu polityki zabezpieczeń jest analiza zdarzeń w systemie SIEM. W przedstawionym scenariuszu logi z firewalla FortiGate są przekazywane do systemu SIEM, gdzie analitycy mogą monitorować dashboardy oraz reguły zdefiniowane dla tego środowiska.
Elastic SIEM kontrola aplikacji FortiGate
Elastic SIEM kontrola aplikacji FortiGate
Elastic SIEM kontrola aplikacji FortiGate
Elastic SIEM kontrola aplikacji FortiGate
Na przykładzie sterownika Siemens PLC, zidentyfikowanego w polityce Kontroli Aplikacji, system SIEM generuje alerty dotyczące prób nieautoryzowanych zmian.
Elastic SIEM Alerts dla Siemens PLC
Dzięki integracji firewalli FortiGate z systemem SIEM, możliwe jest nie tylko bieżące monitorowanie aktywności w sieci, ale także proaktywne reagowanie na zagrożenia, co znacząco zwiększa bezpieczeństwo infrastruktury.
Vladyslav Diadenko – NOC Engineer. W Network Expert nadzoruje i utrzymuje właściwe działanie sieci u klientów.
Inne treści z kategorii
