Внедрение технологий промышленного интернета вещей (IIoT) в производственную среду приводит к значительному повышению эффективности и снижению эксплуатационных расходов. Наряду с этими преимуществами IIoT также открывает операционные сети для угроз безопасности, с которыми они никогда не сталкивались в прошлом.

Например, такие атаки, как Lockergoga, BlackEnergy, VPNFilter и Wannacry, - это лишь некоторые из недавних вредоносных кампаний, которые затронули критическую инфраструктуру и производственные операции. В некоторых случаях субъектами были мошеннические группировки, в том числе национальные государства, которые взломали промышленные сети и вызвали хаос.

Однако угроза изнутри также вездесуща и весьма значительна, поскольку у инсайдеров есть «ключи от королевства» - или, по крайней мере, они знают, как их найти. Некоторые исследования показывают, что на внутренние угрозы приходится более 50 процентов всех инцидентов промышленной кибербезопасности.

II OT угроза

В то время как IIoT имеет огромные перспективы для улучшения производства посредством создания сетей интеллектуальных устройств, которые могут взаимодействовать и координировать друг с другом через Интернет, недостатком является то, что лишь немногие поставщики и клиенты полностью осведомлены о потенциальных рисках безопасности, связанных с технологией.

Введение IIoT во многих случаях обеспечило большую эффективность, но отсутствуют средства управления, необходимые для защиты этого потенциального нового вектора атаки. Фактически, отсутствие стандартов безопасности для устройств IIoT может создать дыры, которые могут повлиять как на ИТ, так и на среды OT. Давайте рассмотрим основные угрозы безопасности IIoT.

Пароли по умолчанию

Многие устройства IIoT предварительно настроены с паролем по умолчанию, что значительно экономит время ИТ-персонала. Однако это преимущество также является серьезным недостатком безопасности. Когда сотни тысяч устройств используют один и тот же пароль по умолчанию, злоумышленники могут легко скомпрометировать организации, которые пренебрегли или намеренно решили не менять его.

Отсутствующие патчи

Это еще одна огромная проблемная область для организаций, поскольку многие устройства IIoT не могут быть исправлены или поставщики не выпускают исправления для известных уязвимостей. 

Слишком много устройств для управления

Простое выполнение инвентаризации огромного количества устройств IIoT в инфраструктуре может послужить сигналом пробуждения. Многие администраторы безопасности не знают о разрастании, которое может произойти, когда IIoT станет основным в среде OT. Хотя эти цифры могут быть значительно больше, чем первоначально предполагалось, возможность отслеживать производителей, номера версий, уровни исправлений и т. Д., Не говоря уже об обнаружении уязвимостей, может стать работой на полный рабочий день. Это просто становится слишком много, чтобы управлять.

Боковая крип безопасности

Независимо от типа устройства IIoT, все они могут быть использованы злоумышленниками в качестве трамплина для взлома сетей IT и OT. Оказавшись внутри сети, хакер может нанести значительный ущерб инфраструктурам ИТ и ОТ и перемещаться в боковом направлении между ними; это просто вопрос поиска слабого звена в цепи.

Меры безопасности IIoT

К счастью, следующие лучшие практики могут снизить многие риски IIoT.

Борьба с угрозами ОТ с помощью технологий ОТ

ИТ-угрозы могут поразить сети ОТ, особенно при внедрении IIoT. Тем не менее, важно также использовать безопасность OT для сред OT. Это включает в себя использование гибридного механизма обнаружения, который может искать известные угрозы с использованием сигнатурного обнаружения, обнаружения на основе аномалий неизвестных угроз и обнаружения на основе политик, которое вызывает оповещения, когда функции на основе OT нарушают предустановленные «правила».

Управление активами

Идентификация и сопоставление всех устройств в среде OT и ведение актуального инвентаризации их - даже тех, которые не активно взаимодействуют по сети, - жизненно важный первый шаг. В идеале это должно включать сбор детальной информации о каждом устройстве, такой как версии прошивки, конфигурации объединительной платы ПЛК и серийные номера.

Оценка риска и уязвимости

Поскольку существует так много потенциальных направлений атак, которые нужно защищать, лучше всего сосредоточиться на самых больших источниках рисков и уязвимостей. Это включает в себя автоматизацию процесса выявления и обработки новых уязвимостей. Система управления уязвимостями может генерировать периодические отчеты об уровнях риска для каждого актива в сети системы промышленного контроля (ICS). При обнаружении или раскрытии новых уязвимостей должен быть создан механизм для выявления уязвимых устройств, устранения угроз и проверки успешного применения исправления.

Управление устройством и конфигурацией

Мониторинг и управление изменениями в среде ICS, чтобы гарантировать, что конфигурации устройства и системы безопасны и хорошо документированы, имеют важное значение. Это требует ведения постоянно обновляемого списка номеров версий всего установленного программного и микропрограммного обеспечения и его регулярного сравнения со списком известных уязвимостей.

Между тем, регулярное сканирование сетей OT позволяет обнаруживать неизвестные устройства и вносить в них непреднамеренные изменения.

Лучшие решения выпускают уведомления всякий раз, когда появляется новая уязвимость. Они также сочетают мониторинг сети с запросами активных устройств, чтобы обеспечить всестороннюю оценку уязвимости. Например, они предоставляют информацию о текущих версиях прошивки устройства и связанных с ним CVE, перечисляют открытые порты и рассчитывают точные, актуальные риски.

Политики безопасности также должны применяться для контроля того, какие устройства могут выполнять определенные (привилегированные) действия, такие как загрузка кода или встроенного ПО на промышленные контроллеры. Кроме того, политика должна предусматривать, что определенные устройства не имеют доступа к Интернету.

Наконец, в дополнение к внедрению этих передовых методов для устранения рисков IIoT, объединение безопасности ИТ и ОТ может защитить промышленные сети управления от угроз независимо от их происхождения.

Поделиться: