אם אתם עובדים בתחום האבטחה, אתם יודעים איך זה עובד: שקיפות היא תנאי הכרחי.
דבר זה עולה בקנה אחד עם "שלושת אמצעי הבקרה הקריטיים למערכות בקרה ותעשייה (ICS) – נראות וניטור רשת" של SANS, וכן עם תקני NIST CSF ו-ISA/IEC 62443, המפרטים במפורש את דרישות הנראות.
עם זאת, קשה לשלב באופן בטוח נראות רשת בסביבות OT ו-ICS עבור כל הצוותים הזקוקים לכך:
- צוותי אבטחת IT ו-OT זקוקים ליומנים כדי לפקח על אירועים.
- לצוותי התגובה לאירועים דרושים נתונים כדי לקבל החלטות מושכלות במהלך מתקפות.
- אנליסטים פורנזיים זקוקים לנתונים כדי להבין כיצד התרחשה תקיפה בסביבת ה-OT ואת רצף האירועים.
- אפילו צוותי ציות זקוקים לתיעוד כדי להוכיח שביצעו בדיקת נאותות.
השאלה אינה "איך" לספק גישה ל-OT לצוותים אלה; השאלה היא כיצד לספק גישה מבלי להשאיר בטעות פתח לתוקפים.
וכאןNetWall לתמונה ה OPSWAT MetaDefender NetWall .
במקום לאפשר לכל אחד מהצוותים הללו לגשת לסביבת ה-OT,דיודה חד-כיוונית של MetaDefender NetWall מעבירה יומנים מה-OT ל-IT, ומאפשרת לצוותים לראות מה קורה מבלי לחשוף את המערכת לאיומים.
מי זקוק לרישומי OT (ולמה הם לא יכולים פשוט "להתחבר")
למסגרות כגון "שלושת הבקרות הקריטיות" של SANS עבור מערכות בקרה ותעשייה (ICS), NIST CSF ו-ISA/IEC 62443 יש כללים ברורים בנוגע לשקיפות.
אמצעי בקרת הנראות חיוניים לזיהוי נכסים, לאיתור נקודות תורפה ולניטור איומים בזמן אמת, מבלי לשבש תהליכים תעשייתיים קריטיים ורגישים.
בתוך ארגון פועלות צוותים שונים, אשר הגישה שלהם לנתוני OT בזמן אמת היא הכרחית.
אנליסטים במרכז תפעול אבטחה (SOC)
אנליסטים ב-SOC אחראים על ניטור, זיהוי, חקירה ותגובה להתראות אבטחה.
בקיצור, תפקידם הוא לאתר איומים לפני שהם הופכים לאסונות. לשם כך, הם זקוקים לרישומי OT בזמן אמת כדי לזהות פריצות, תוכנות זדוניות או תעבורה חריגה.
עם זאת, אם תוקף מצליח להשיג גישה ישירה לסביבת ה-IT, הוא יכול לעבור במהירות למערכות ה-OT, ובכך ליצור סיכון חמור לפריצה למערכות ה-OT.
מסיבה זו, צוותי SOC אינם יכולים להסתמך על שיטות כניסה פשוטות כדי לגשת לנתוני OT בזמן אמת לצורך ניטור.
אם מערכת ה-SOC תיפרץ, תוקף יוכל לנצל את החיבור הזה כנתיב כניסה לסביבת ה-OT.
OT Security קבוצות
צוותי אבטחת OT מגנים על מערכות בקרה תעשייתיות ועל טכנולוגיות OT כגון SCADA, בקרי PLC ורובוטים תעשייתיים, המנהלים את התשתית הפיזית.
צוותים אלה זקוקים ליומני אבטחה לצורך ניתוח פורנזי וזיהוי חריגות.
גם מתן גישה לסביבת ה-OT למערכות בסביבת ה-IT, באמצעות כלי אבטחה ייעודיים ל-ICS ו-OT, אינו רעיון מוצלח.
בדומה למצב ה-SOC, אם מערכות ה-IT הללו ייפרצו, הן עלולות לספק לתוקפים נתיב ישיר אל פעילות ה-OT.
צוותי תגובה לאירועים וניתוח פורנזי
במקרה של זיהוי חריגה או פרצת אבטחה, צוותי התגובה לאירועים וניתוח פורנזי נקראים לחקור את המקרה ולתקן את הנזק.
הם זקוקים לרישומי יומן כדי לזהות, לבלום ולחסל מתקפות על מערכות OT, ובכך ליצור מסלול למניעת תקריות חוזרות.
עם זאת, בדרך כלל פונים לצוותים אלה רק לאחר שכבר אומתה פריצה, כאשר הסיכונים גבוהים עוד יותר.
אם כלי התגובה או פרטי ההזדהות ייחשפו, נתיב כניסה למערכת ה-OT יספק לתוקפים בדיוק את מה שהם צריכים.
לפיכך, לצוותי התגובה לאירועים ולצוותי החקירה הפורנזית לא צריכה להיות גישה ישירה לסביבת ה-OT באמצעות התחברות.
צוותי תאימות וביקורת
אם אין יומנים, לא מתקיימים תקני הציות.
צוותי ציות וביקורת זקוקים לאחסון יומנים לטווח ארוך ולמעקב אמין אחר אירועים כדי לעמוד בדרישות הרגולטוריות ובדרישות הדיווח.
עם זאת, מתן גישה ישירה למבקרים לסביבת ה-OT אינו הכרחי ואינו מומלץ.
הרבה יותר בטוח ובשליטה לספק להם את היומנים והדוחות הנדרשים באופן חיצוני, מאשר לפתוח נתיב גישה פעיל למערכות OT.
למה דיודה נתונים? כי גישה נכנסת היא סיוט
בשלב זה ברור כי מתן אפשרות למערכות ארגוניות לבצע שאילתות ישירות ביומני OT טומן בחובו סיכוני אבטחה גבוהים.
חיבור לא מאובטח הוא כל מה שתוקף צריך כדי:
- מעבר מתחום ה-IT לתחום ה-OT.
- להוציא נתונים רגישים מסביבות OT ו-ICS, לרבות מידע על מערכות בקרה כגון יצרנים ודגמים של בקרי PLC, ערכי תהליך ועוד.
- לזייף את יומני הרישום כדי לטשטש את עקבותיהם.
MetaDefender Netwall מבטל סיכונים אלה באמצעות אכיפה חומרתית של זרימת נתונים חד-כיוונית.
יומנים נשלחים החוצה, אך שום דבר לא חוזר פנימה.
הצוותים שלנו מקבלים את הנתונים הדרושים להם, ומערכת ה-OT נשארת מוגנת ובטוחה.
איך זה עובד
המערכת של Splunk בסביבת ה-OT אוספת יומני אבטחה מכל רחבי סביבת ה-OT.
- האוסף כולל יומני חומת אש,IPS , יומני אירועים של Windows ואפילו אירועי PLC.
במקום לאפשר למשתמשים או למערכות ארגוניות לגשת לרשת ה-OT, OPSWAT NetWall מעבירה את היומניםNetWall החוצה מתוך אספן ה-Splunk של ה-OT.
לאחר מכן, מופע Splunk הארגוני מקבל העתקה של אירועים אלה מ-Splunk ל-Splunk.
כך, צוותי האבטחה והתאימות זוכים לשקיפות הדרושה להם, מבלי ליצור נתיבי גישה נכנסים העלולים לחשוף את סביבת ה-OT לסיכונים.
מסקנות סופיות: אבטחה ללא פשרות
אם צוותי האבטחה בארגון שלכם מבקשים לקבל יומני OT, אל תסגרו את הדלת בתשובה נחרצת של "לא".
אתה יכול להעניק להם את הגישה הדרושה להם, אך לא באופן שיחשוף את כל הסביבה.
דיודת הנתוניםNetwall של OPSWAT מספקת להם את הנראות הדרושה להם, תוך שמירה עלאבטחתמערכות ה-OT.
בהיעדר גישה נכנסת, אין כל סיכון לפריצה.
OPSWAT NetWall שהמידע הנכון יגיע לידיים הנכונות, בדרך הנכונה.
אין צורך לבחור בין נראות לבטיחות.
בעזרת דיודה לניתוב נתונים, ניתן להשיג את שניהם.
צרו איתנו קשר וגלו כיצד OPSWAT NetWall לצוותי האבטחה שלכםNetWall פרודוקטיביות, ולסביבת ה-OT שלכם להישאר בטוחה ומוגנת.
