Bezpieczeństwo sieci przemysłowych

Urządzenia automatyki stosowane do kontroli działania procesów produkcyjnych lub procesów zawiązanych z transportem, dostawą energii są od około 10 -20 lat łączone z sieciami IT. Proces ten przebiegał wolno, lecz stopniowo a coraz większa ilość urządzeń typu sterowniki PLC, systemy kontrolne typu SCADA została podłączona do sieci bazującej na protokole IP. Rynek odszedł od dedykowanych interfejsów komunikacyjnych do sterowania procesami automatyki. Wpłynęło na to szereg czynników: koszt, łatwość komunikacji z urządzeniami, możliwości dostępu zdalnego np. dla zewnętrznych serwisantów. Jednocześnie jednak sieci IP służące do łączenia komponentów OT (czyli operational technology) bardzo często zaczęły być łączone z sieciami IT, klasycznymi sieciami służącymi do podłączania komputerów czy komunikacji z internetem.

Ten proces niejednokrotnie przebiegał w sposób niekontrolowany.

Zespołowi IT brakowało kompetencji, aby zaprojektować bezpieczne rozwiązanie sieciowe dla nowych podłączanych urządzeń OT, natomiast zespołom odpowiedzialnym za OT brakowało kompetencji w zakresie budowy, konfiguracji i administracji siecią oraz umiejętności administrowania rozwiązaniami bezpieczeństwa. W wielu wypadkach finalnie powstał twór podłączający istotne zasoby mniej lub bardziej bezpośrednio do internetu.

Czy to problem?
Okazuje się, że dość poważny.

Większość protokołów komunikacyjnych wykorzystywanych dla programowania, monitorowania, komunikacji kontrolnej urządzeń OT nie posiada wbudowanych zabezpieczeń. Protokoły takie jak Modbus, Profinet, S7 pozwalają każdemu podejrzeć komunikację, przesłać dane do sterownika, zmodyfikować jego program itp. Skutkuje to tym, że możliwy jest atak na zasoby OT, umożliwiający wykonanie tragicznych w skutkach zmian w infrastrukturze OT. Łatwo wyobrazić sobie co można zrobić, np. :

  • wstrzymać proces produkcyjny – to w najprostszy sposób spowoduje straty dla firmy;
  • uszkodzić maszyny/urządzenia wprowadzając do procesu produkcyjnego wartości odbiegające od poprawnego programu.Możliwe jest uszkodzenie w sposób fizyczny wynikające np. z przegrzania, zbyt wysokiego ciśnienia itp;
  • spowodować zagrożenie dla ludzkiego życia – niekontrolowany proces, którym sterują urządzenia OT może generować zdarzenia destruktywne.

Łatwo tutaj przywoływać także przykłady znacznie bardziej obrazowe, np.:

  • niekontrolowany zrzut wody w elektrowni wodnej skutkujący powodzią,
  • zatrucie wody spożywczej w stacjach uzdatniania wody przez zmianę parametrów.

Czy jest jakieś remedium na problemy bezpieczeństwa związane z sieciami OT?

Oczywiście 100% poziomu bezpieczeństwa nie ma, ale bezpieczeństwo IT i OT jest gonitwą za 99,9999 % – zawsze warto gonić jak najwyższy procentowy stopień bezpieczeństwa. Choć oczywiście warto pod uwagę brać też koszt związany z ryzykiem. Jak jednak ustaliliśmy koszt wystąpienia poważnego problemu w przypadku OT bywa często nawet niemożliwy do oszacowania.

Rozwiązania zwiększające bezpieczeństwi sieci OT

Pierwszym z rozwiązań zwiększających bezpieczeństwo sieci OT jest zastosowanie dedykowanego dla infrastruktury OT modelu sieciowego. Powstał taki model określany jako Purdue model.

Schemat poniżej

Purdue model

Model przewiduje separację sprzętu OT od sieci IT i zastosowanie stosownego urządzenia filtrującego komunikację między tymi dwoma sieciami.

Ewidencja urządzeń OT

Właściwe wykonanie ewidencji urządzeń OT zaczyna się od zebrania informacji o wszystkich urządzeniach OT łączących się z siecią IT. Należy stworzyć diagramy komunikacyjne określające ruch, ponieważ to pozwoli zbudować stosowne reguły firewallowe.

Często jednak zdarza się, że wiedzy na temat wszystkich połączeń nie mają nawet administratorzy OT a tym bardziej IT. Tu z pomocą przychodzą rozwiązania bezpieczeństwa systemów OT takie jak Cisco Cybervision. System ten pozwala na ewidencje urządzeń OT i zdefiniowanie na podstawie ich komunikacji logicznej mapy połączeń systemów.

Cisco Cybervision

zrzut z programu Cisco Cybervision

Ta plątaninka nie wygląda wprawdzie łatwo i przyjemnie, ale można ją filtrować pod kątem konkretnego urządzenia czy procesu.

Cybervision

Wiedza na temat procesu komunikacyjnego jest bezcenna w wypadku próby zabezpieczenia środowiska.

Po pierwsze, tak jak pisałem, możemy na tej podstawie tworzyć reguły firewallowe, ale też może stać się to zaczątkiem segmentacji lub mikroseganetacji nawet.

Segmentacja i zastosowanie modelu purdue

Segmentacja jako proces pozwoli podzielić urządzenia separując je do osobnych vlanów, co pozwoli na zwiększoną kontrolę ruchu sieciowego i tym samym mniejszą ekspozycję na zagrożenia.

Aby jednak dopłynąć do tak pięknie, jak powyżej sformułowanego założenia, to musimy, kolokwialnie mówiąc, wiedzieć co mamy w sieci i co z czym się łączy. Moje dwudziestoletnie doświadczenie w pracy z sieciami teleinformatycznymi podpowiada mi, że tego nie wie nikt lub prawie nikt.

Natomiast Cisco Cybervision wie i pomoże.

W sytuacji, gdy Cisco Cybervision pomogło mi już rozpoznać wszystkie urządzenia OT podłączone do sieci i przeprowadziłem stosowna re-aranżacje środowiska sieciowego tak, aby bardziej dostosować się do wspomnianego modelu purdue co dalej?

Skanowanie podatności OT

Warto monitorować podatności istniejące na urządzeniach OT. I tu znowu z pomocą przychodzi Cisco Cybervision, weryfikuje wersje softu na sterownikach i systemach, sprawdza uruchomione usługi i podsuwa gotową listę podatności.

Podatności Cisco Cybervison

Z tymi podatnościami oczywiście warto powalczyć, eliminując je w miare możliwości tam gdzie da się przeprowadic upgrade, tam warto to zrobić, tam, gdzie możemy ograniczyć powierzchnie ataku ewentualnie regułkami firewallowymi wytniemy ruch do podatnego systemu tak, aby pozostał tylko ten absolutnie niezbędny.

Skoro już jesteśmy przy filtrowaniu, to warto wspomnieć o funkcjonalnościach filtrowania ruchu dla OT.

Firewall OT

Cisco posiada znakomite rozwiązanie, które pozwala na filtrowanie ruchu sieciowego między siecią IT a rozwiązaniem OT.

System Cisco FTD lub ISA3000 pozwala na definiowanie reguł filtrowania wg w zasadzie prawie dowolnych kryteriów, między innymi wykorzystując np. rozpoznawanie aplikacji.

Dodawanie reguły w Cisco Cybervision

Dodatkowo Cisco Cybervison, czyli narządzie kompleksowej ochrony sieci OT należy także postrzegać jako produkt realizujący funkcję IDS-a, czyli systemu Intrusion Detection System.

Produkt ten pozwoli wykrywać zdarzenia będące potencjalnymi zagrożeniami na podstawie zarówno sygnatur (czyli wzorców niebezpiecznego ruchu) lub behawioralnie, czyli bazując na wcześniejszym zachowaniu konkretnych urządzeń: takich jak wolumen ruchu, częstotliwość połączeń itp.

Dashboard w Cisco Cybervision
Alerty w Cisco Cybervision

System Cisco Cybervision może jedynie alertować o zagrożeniach lub po integracji z firewallem automatycznie je blokować.

Analiza behawioralna

Tak jak wzmiankowałem Cisco Cybervision pozwala także na analizę behawioralną ucząc się sposobu działania infrastruktury OT i wnioskując na podstawie działania sztucznej inteligencji AI o odstępstwach od standardowego zachowania, które mogą być poczytywane jako forma ataku / problemu bezpieczeństwa.

Analiza w Cisco Cybervision

Czy trudno wdrożyć Cisco Cybervsion?

W zasadzie nie, w szczególności, jeśli infrastruktura firmy bazuje już na przełącznikach Cisco, urządzenia te mają możliwość działać jako sensor przechwytujący ruch, który poddawany jest analizie. Cisco Cybervsion bazuje na monitorowaniu i obserwacji ruchu sieciowego.

Jeśli jednak nie masz w sieci urządzeń Cisco, to nic straconego, Cybervision potrafi też działać z dowolnym urządzeniem, które pozwala na duplikację ruchu (span porty).

autorem artykułu jest

Piotr Ksieniewicz – główny inżynier Network Expert

Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799,  CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.

Piotr Ksieniewicz – główny inżynier Network Expert
Cisco Partner

Potrzebujesz wsparcia przy bezpieczeństwie sieci OT?

Skontaktuj się z nami!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, adres email) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    Partner Cisco Polska

    Mateusz Ciecieręga


    Mateusz Ciecieręga
    Account Manager

    +48 576 233 339
    mateusz.ciecierega@netxp.pl

    2021-12-04T11:21:49+01:00
    Przejdź do góry