OPSWAT תשתיות קריטיות, אך הדבר אינו מוגבל למה שממשלות מגדירות כ"תשתיות קריטיות", אלא למה שאתם רואים כקריטי.
בלב התשתית הזו עומדים נתונים קריטיים – נתונים שמבטיחים פעילות בטוחה, יציבה ורציפה.
בסביבות ICS (מערכותIndustrial ) ו-OT, נתונים אלה משקפים את הפונקציות/התהליכים המרכזיים של העסק. אך כאשר מתרחשת תקרית סייבר, אחת העדיפויות הראשונות היא הבלימה.
דילמת הבלימה
הצעד הראשון בבלימת התפשטות התקיפה הוא בידוד המערכות שנפגעו וניתוק נתיבי התקשורת העלולים להפיץ את התקיפה. ההנחיות של CISA (הסוכנות לביטחון סייבר ותשתיות) בנוגע לתגובה לתוכנות כופר, למשל, קוראות במפורש לבודד מיד את המערכות שנפגעו ולנתק מכשירים ככל שהדבר אפשרי(1). זוהי עצה נבונה – אך בסביבות תעשייתיות היא עלולה ליצור דילמה תפעולית:
| יש להפריד בין צרכי האבטחה | צורך בשקיפות תפעולית |
|---|---|
| עצור את התנועה הצידית | האם המערכות עדיין פועלות בבטחה? |
| די עם הגישה של "פקודה ושליטה" | האם המערכות יציבות או שהן חורגות מהטווח המותר? |
| למנוע התפשטות | האם עלינו להפסיק את הפעילות או שנוכל להמשיך לפעול ללא תקלות? |
דיודות אופטיות מסירות כל ספק
דיודה אופטית לנתונים מאפשרת לארגונים לחסום נתיבים דו-כיווניים, כגון חומות אש, רשתות VPN, גישה מרחוק ויחסי אמון, תוך שמירה על האפשרות להעברת נתוני טלמטריה קריטיים החוצה. שיטה זו מספקת מנגנון למודעות לתהליכים, שיפור הבטיחות וקבלת החלטות מושכלת יותר על סמך נתונים בזמן אמת.
Core
למרות שאתם "סוגרים את הדלת" בין ה-IT ל-OT במהלך תהליך הבידוד, אתם עדיין יכולים להשאיר "חריץ" שיאפשר לנתוני תהליכים לקריאה בלבד לצאת מסביבת ה-OT – והכל מבלי לאפשר נתיב רשת חזרה פנימה.
הכלאה כחלק מתגובה לאירועים (IR) עולה בקנה אחד עם ההנחיות הוותיקות של NIST בנושא אבטחת OT. NIST מציין כי חלופה לחומת אש היא שער חד-כיווני או דיודה נתונים, המאפשרים תקשורת מורשית ומוגדרת מראש בכיוון אחד בלבד(2).
מה קורה כשהכל מחשיך
איך אפשר לנהל ייצור ללא אוטומציה ותשתית? דוגמה נפוצה ל"הכלה באמצעות ניתוק" היא תקרית תוכנת הכופר של Norsk Hydro משנת 2019, שבה החברה ניתקה את הגישה לרשת כדי למנוע התפשטות התוכנה, ועברה לתקופה מסוימת לתהליכים ידניים. תוכנת הכופר LockerGoga פגעה בעיקר בחלק ממפעלי עיבוד האלומיניום של החברה, וההשפעה הכלכלית עלולה להגיע ליותר מ-71 מיליון דולר. עובדי מפעל בדימוס שהכירו את המערכת הישנה המבוססת על נייר התנדבו לחזור למפעלים כדי להמשיך את הייצור(3).
יש חשיבות להבנת מקרה זה, שכן הוא ממחיש את העלויות התפעוליות והכספיות הכרוכות באובדן הקישוריות הדיגיטלית והנראות המרכזית של תהליכים אוטומטיים במהלך תגובה לאירועי אבטחה (IR). זו הייתה ההחלטה הנכונה.
נראות של ציוני החלטות באמצעות תיחום
בארגונים תעשייתיים רבים, השקיפות התהליכית תלויה בזרימת נתונים ממקורות OT כגון:
- שרתי OPC UA (ערכים בזמן אמת, התראות, נתונים בהקשר)
- היסטוריונים מעדיפים את AVEVA PI (סדרות זמן + אירועים + הקשר של מסגרת הנכסים)
במהלך תהליך הבידוד, נהוג להשבית חומות אש וכללים או לחסום גישה מרחוק כדי למנוע מנתוני טלמטריה של מערכות תפעוליות (OT) להתחבר לכלים ארגוניים. ארכיטקטורת דיודה משנה את אופן הכשל הזה:
- ניתן לחסום את נתיבי חומת האש/השרת כדי למנוע סיכונים נכנסים.
- עדיין ניתן לקבל נתוני טלמטריה בכיוון אחד כדי לשמור על מודעות מצבית ולבצע מיון מהיר יותר של תקריות בזמן אמת.
- אם אתם משתמשים בכלים אחרים לניטור תנועה ברשת לצורך זיהוי איומים, תוכלו להמשיך להעביר את הנתונים הללו דרך דיודה
תרחיש לדוגמה
אירוע
תוכנת כופר מתפרצת ברשת הארגונית. צוות התגובה לאירועים מבודד ומנתק את התעבורה בין מערכות ה-IT ל-OT כדי למנוע זיהום של תשתית ה-OT.
הבעיה
צוותי המרכז מאבדים את הגישה ללוחות המחוונים של OT ולתצוגות ההיסטוריה, המספקים נראות סביבתית ומאפשרים לענות על השאלות: "האם זה בטוח? האם זה יציב?"
באמצעות דיודה, סביבת ה-OT ממשיכה לשדר נתוני טלמטריה לקריאה בלבד לרשת מקלטים, שם הנהלת ה-SOC/תפעול יכולה לעקוב אחר מגמות מרכזיות, התראות ונתוני בטיחות – ללא כל תקשורת בקרה חזרה לסביבת ה-OT.
אמנם דיודה אינה "פותרת את בעיית תוכנות הכופר" (עיינו בטכנולוגיות המניעה הקיימות MetaDefender Core), אך היא מצמצמת את היקף הנזק על ידי מניעת גישה לרשת ממקומות בסיכון גבוה, תוך שמירה על רמת נראות תפעולית מינימלית.
נתונים מעשיים שיש לשלוח
כדי לשמור על יעילות תפעולית, יש להגדיר מאגר נתונים בנושא נראות משברים בשלב התכנון של תוכנית התגובה לאירועים (IR). יש לכלול נתונים כגון:
- ערכי תהליך קריטיים לבטיחות (לחץ, טמפרטורה, מפלסים, מנגנוני נעילה)
- מחווני מצב/פעולה (אוטומטי/ידני, מצב מתיר, תקלות)
- סיכומי התראות (מספרים + ההתראות המובילות)
- נתוני טלמטריה על תקינות הרשת (מתגים/נתבים קריטיים, מצב פעיל/לא פעיל של מכשירים/יציאות, נתוני תקינות ממאגר הנתונים ההיסטורי)
- הקשר מינימלי (שמות נכסים/יחידות, כדי שהצוותים יוכלו להבין במהירות)
הפניות
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [באינטרנט]
2. NIST. SP800-82r3. NIST. [מקוון] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. בריגס, ביל. האקרים תקפו את Norsk Hydro באמצעות תוכנת כופר. החברה הגיבה בשקיפות. Microsoft.com. [מקוון] 16 בדצמבר 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
