Industrial הכוללים סדרה שיטתית של תהליכים כימיים, פיזיקליים, חשמליים ומכניים מוגנים בדרך כלל באמצעות מערכות מסורתיות ומיושנות, שמעולם לא תוכננו להתמודד עם האיומים המודרניים בתחום אבטחת הסייבר.
בתעשיות ייצור האנרגיה והזיקוק, תהליכים אלה עוסקים בהפיכת חומרי גלם לאנרגיה, בקנה מידה גדול. ציוד OT מסוגים שונים המשמש בבתי זיקוק נדרש לתקשר זה עם זה כדי שתהליכים הנדסיים יוכלו להתנהל כראוי.
וכאן מתגלה נקודת התורפה הקריטית.
מערכות בקרה כגון PLC, DCS ו-SCADA מניחות בדרך כלל שכל גורם המתקשר עמן הוא אמין. לפיכך, ייתכן שחסרים בהן אימות, הצפנה או היכולת לאמת פקודות.
אם מערכות ה-OT ממוקמות באותה רשת כמו מערכות ה-IT (כלי גישה מרחוק, חיבורי קבלנים או מחשבים ניידים לתחזוקה), כל פריצה באזורים הפחות מאובטחים הללו עלולה להגיע ישירות לסביבת הבקרה. כתוצאה מכך, אירוע אבטחה שמתחיל ב-IT עלול להתפשט לרוחב אל ה-OT כמעט ללא התנגדות.
התקפות DoS/DDoS, תוכנה שהוגדרה באופן שגוי או משתמשים בעלי כוונות זדוניות עלולים לתקשר ישירות עם מערכות הבקרה, ובכך לשנות ערכי תהליך, לעצור את הייצור, לגרום נזק לציוד או ליצור תנאי הפעלה לא בטוחים.
בסביבות OT ניתנת עדיפות לזמינות וליציבות. לא מדובר במערכות שניתן לתקן במהירות, מה שאומר שפרצות אבטחה נותרות חשופות לניצול במשך תקופות ארוכות. ברשת שטוחה או כזו שהפילוח בה לקוי, אירוע בודד עלול אפוא להחמיר במהירות ולהשפיע על מספר נכסים או אתרים.
הלקוח שלנו, אחת מחברות האנרגיה והכימיקלים הגדולות בעולם הנסחרות בבורסה, זיהה את חשיפתו לסיכונים והחליט לטפל בנקודות התורפה הנובעות ממערכות ישנות באמצעות פילוח.
כאשר קיימת פילוח נכון, הרשתות מופרדות על פי רמת הסיכון ותפקידן. בדרך זו, ניתן לגשת לנכסי OT קריטיים רק באמצעות נתיבים הנמצאים תחת בקרה הדוקה, בעוד שהתקשורת מוגדרת ומוגבלת במפורש, במקום להניח שהיא בטוחה כברירת מחדל.
מכיוון שחומות האש המסורתיות בתחום ה-IT התגלו כלא יעילות בטיפול בפרוטוקולי התקשורת הייחודיים שלהן, פנה הארגוןFirewall Industrial MetaDefender OPSWATFirewall ליצור פילוח מאובטח בין נכסי OT קריטיים לאזורים פחות מאובטחים.
כשהאבטחה הסייברית הופכת לביטחון לאומי
כחברה מובילה בתחום הנפט והגז באירופה, התהליכים של הלקוח התבססו על תשתית הפרוסה על פני מספר בתי זיקוק, פלטפורמות קידוח ימיות ומרכזי בקרה על צינורות.
תשתית זו הייתה תלויה במידה רבה במערכות תעשייתיות ישנות, כגון בקרי PLC, פלטפורמות SCADA וממשקי HMI.
מערכות אלה תוכננו במקור מתוך שיקולים של אמינות וזמינות, ולא מתוך שיקולים של אבטחת סייבר. הן לא כללו מנגנוני אימות, הצפנה ורישום מפורט מובנים.
חומות האש המסורתיות בתחום ה-IT שהיו בשימוש לא הצליחו להתמודד ביעילות עם פרוטוקולי התקשורת הייחודיים הנהוגים בסביבות OT ו-CPS, ובכך חשפו את המערכות ל:
- תעבורת רשת מיותרת וסיכוני תנועה רוחבית
- נקודות כניסה פוטנציאליות לתוכנות כופר ולמתקפות סייבר ממוקדות
- קשיים באכיפת בקרה מדויקת על פרוטוקולים תעשייתיים
אלה אינם סיכונים שארגון הפועל בענפי ייצור האנרגיה והזיקוק יכול פשוט לקבל בהשלמה: מתקפות על מערכות אנרגיה עלולות לאיים על ביטחון הציבור, לשבש שירותים חיוניים ולפגוע בביטחון הלאומי.
במקום להמתין עד שהגרוע מכל יקרה, הלקוח החליט לפתור את המצב המסוכן שעמד בפני הארגון, באמצעות הטמעתFirewallIndustrial MetaDefender OPSWAT.
הבטחת חוסן Industrial תוך עמידה בדרישות תקן IEC 62443 ו-NIS2
החברה הטמיעהFirewall Industrial OPSWAT MetaDefender Firewall ליצור פילוח מאובטח בין נכסי OT קריטיים לאזורים פחות מאובטחים.
MetaDefender Industrial Firewall
Firewall Industrial שלנוFirewall היא חומת אש עמידה ובעלת ביצועים גבוהים, שנועדה לשמש כקו ההגנה האחרון מפני טעויות תצורה מקריות, שימוש זדוני, איומי "יום אפס", מתקפות DoS ו-DDoS, וכן חריגות שעלולות להזיק.
הודות לבדיקת החבילות המעמיקה של פרוטוקולים תעשייתיים ולבקרת הגישה המבוססת על מדיניות, חומת האש אפשרה ללקוח:
- יש לבודד את נכסי OT/ICS מפני מתקפות סייבר המכוונות למערכות PLC, SCADA ו-DCS.
- לסנן ולשלוט בפרוטוקולים תעשייתיים כדי לחסום פקודות לא מורשות, תוך שמירה על פעילות בטוחה.
- הגנו על תחנות העבודה של היסטוריונים ומהנדסים מפני ניסיונות גישה בלתי מורשים.
תמיכה בתאימות לתקני IEC 62443 ו-NIS2
באמצעות "Firewall Industrial Firewall , הלקוח זכה לתמיכה גם במאמציו לעמוד בדרישות תקן IEC 62443 והנחיות NIS2, החלות על מפעילי שירותים חיוניים באירופה.
הנחיית NIS2 | IEC 62443 |
אכיפת ניהול סיכונים: אוכפת פילוח רשת בין מערכות ה-IT ל-OT כדי להפחית את הסיכון הסייבר המערכתי לשירותים חיוניים. | ארכיטקטורת אזורים ותעלות: |
צמצום שטח התקיפה: | אימות ברמת הפקודה: |
עמידות תפעולית: | סינון פקודות Industrial : |
בקרות המותאמות לביקורת: | שלמות בקרה ותקשורת (SR 3.x): |
אחריות ברמת הדירקטוריון: תקן ה- | אכיפת בקרת גישה לנכסי OT: מגביל את הגישה למחשבי PLC, למערכת SCADA ולתחנות עבודה הנדסיות |
בקרה או פילוח אדריכלי, יציבות תפעולית ושיפור הממשל
Firewall Industrial MetaDefender משמשתFirewall כמערכת בקרה מפצה עבור נכסים ישנים או כאלה שלא ניתן לעדכן, הנפוצים למדי בבתי זיקוק ובמערכות צינורות.
באמצעות Firewall, הלקוח יכול כעת:
- מניעת פקודות מקריות או בלתי מורשות לבקרים באמצעות בדיקת פרוטוקולים תעשייתיים.
- למנוע הפרעות ברמת האתר, וכך למנוע התפשטות למתקנים מרובים המחוברים זה לזה.
- הגבלת קצב התעבורה החריגה והחבילות הפגומות כדי לשמור על זמינות הבקר.
- יש להפריד את מערכות הבטיחות מרשתות הבקרה הסטנדרטיות כדי להפחית את הסיכון התפעולי.
- להבטיח אכיפה הניתנת לביקורת של מדיניות הניהול של הגישה עבור ספקים וקבלנים.
הזדמנויות עתידיות
הלקוח שלנו מבין כי פילוח מאובטח הוא רק הצעד הראשון לקראת יישום אסטרטגיית הגנה רב-שכבתית איתנה.
ובכל זאת, זהו צעד חשוב, שכן ההיערכות לצמיחה עתידית מאפשרת לארגון להמשיך בתהליכיו בסביבה בטוחה.
כעת יכול הלקוח להוסיף רבדים נוספים לאסטרטגיית אבטחת הסייבר שלו באמצעות:
- שילובFirewall Industrial MetaDefender Firewall OT Security MetaDefender OT Security נראות נכסים vulnerability detection בתי הזיקוק והצינורות.
- ניצול MetaDefender OT Access לאפשר גישה מרחוק ומאובטחת לסביבות OT.
- בניית אסטרטגיית הגנה רב-שכבתית בפלטפורמות ימיות ובמתקני זיקוק, במטרה לצמצם סיכונים הנובעים מגורמים פנימיים ומשרשרת האספקה.
אם הארגון שלכם שואף למודרניזציה ולהגנה על הרשת שלו בקנה מידה נרחב,Firewall Industrial MetaDefender Firewall לסייע לכם לאפשר איתור תקלות מהיר יותר ולשפר את התפעול.
צרו איתנו קשר כדי לגלות כיצד OPSWAT שלנו יכול להגן על המערכות שלכם.
