"אמון אפס" בטכנולוגיה תפעולית: מה דורש המדריך החדש של CISA ממערך האבטחה שלכם

"אמון אפס" (Zero Trust) עבור OT (טכנולוגיה תפעולית) היא ארכיטקטורת אבטחה המבטלת את האמון המובנה ברשתות תעשייתיות, ומחייבת אימות מתמשך של כל משתמש, מכשיר והעברת נתונים על סמך זהות, הקשר וסיכון, בטרם תינתן גישה לכל מערכת תפעולית או תהליך פיזי. בניגוד לתחום ה-IT, מודל "אמון אפס" ב-OT חייב לפעול מבלי לשבש את הפעילות השוטפת, את מערכות הבטיחות או את הציוד הקיים שאינו תומך בהפעלת סוכני אבטחה מודרניים.

חמש סוכנויות ממשלתיות בארה"ב: CISA (הסוכנות לאבטחת סייבר ותשתיות), משרד ההגנה, משרד האנרגיה, ה-FBI ומשרד החוץ, פרסמו את ההצהרה הסמכותית ביותר עד כה בנושא אבטחת סייבר תעשייתית: "התאמת עקרונות 'אמון אפס' לטכנולוגיה תפעולית". המסר חד-משמעי. "אמון אפס" (Zero Trust) כבר אינו מסגרת השמורה לסביבות IT בלבד. כיום, זוהי הגישה האבטחתית המצופה מכל ארגון המפעיל מערכות OT, החל מרשתות אנרגיה, דרך מתקני טיהור מים ועד למתקנים ממשלתיים.

אם אתם מנהלי אבטחת OT הקוראים את הדברים הללו, השאלה אינה האם "אמון אפס" (Zero Trust) הוא הכיוון הנכון. השאלה היא כיצד לגשר על הפער שבין דרישות הציות והביקורת הממשלתיות לבין מתקן המפעיל ציוד בן עשרות שנים, צוות עמוס בעבודה, ודירקטוריון השואל מה אתם עושים בעניין. פוסט זה עונה על השאלה הזו: מה דורש למעשה המדריך של CISA בכל אחד מהעקרונות, וכיצד פלטפורמת OPSWAT מתאימה לכל אחד מהם.

המדריך מציין שלושה עמודי תווך שכל תוכנית "אמון אפס" (Zero Trust) בתחום ה-OT חייבת להתייחס אליהם: נראות מקיפה של הנכסים, מערכת IAM (ניהול זהויות וגישה) איתנה, וניהול סיכונים יזום בשרשרת האספקה. כמו כן, הוא מציין את הגורמים העוינים המניעים את הדחיפות — קבוצות המזוהות עם מדינות, כגון "Volt Typhoon", ש-CISA הבחינה כי הן מתמקמות מראש בתוך רשתות OT כדי לשמור על נוכחות מתמשכת ולהמתין להפעלה.

בתחום ה-IT, מודל "אמון אפס" (Zero Trust) מיושם באמצעות תוכנה — ספקי זהות, סוכני קצה ומדיניות גישה הניתנים לעדכון תוך שעות ספורות. סביבות OT פועלות תחת אילוצים שהופכים גישות IT ישירות לבלתי ישימות: בקרי PLC (בקרים לוגיים מתוכנתים) ישנים עם מחזור חיים של 20 שנה שאינם יכולים להריץ סוכני אימות מודרניים, דרישות זמן פעולה קפדניות שבהן חבילת גילוי עלולה לגרום לכיבוי לא מתוכנן, וקשר ישיר בין אבטחת סייבר לבטיחות פיזית ש-IT פשוט אינו מחזיק בו.

המדריך של CISA מתייחס בכנות למגבלות אלה. יישום מודל "אמון אפס" בתשתיות תעשייתיות מיושנות דורש שנים והשקעה ניכרת. המתח הזה הוא אמיתי.

המדריך מבהיר כי סביבת האיומים אינה ממתינה עד שתוכניות אלה יבשילו. ככל שמערכות OT הופכות ליותר ויותר מקושרות לרשתות IT ומנוטרות מרחוק, ההנחה המסורתית בדבר "פער אווירי" כבר אינה תקפה. התוקפים כבר הסתגלו למצב. אמצעי הבקרה שארגונים מיישמים כיום — אפילו אלה ההדרגתיים — קובעים איזה חלק משטח ההתקפה נחשף בזמן שהשינוי המקיף יותר נמצא בעיצומו. השאלה אינה האם להתחיל, אלא היכן.

המדריך של CISA מזהה שלוש סדרי עדיפויות עבור גישת "אמון אפס" (Zero Trust) בתחום ה-OT: נראות מקיפה של הנכסים, ניהול זהויות וגישה איתן, וניהול סיכונים יזום בשרשרת האספקה. כמו כן, הוא מצביע על גורמי איום ספציפיים — Volt Typhoon וקבוצות המזוהות עם מדינות — שכבר מנצלים את הפרצות שאותן נועדו אמצעי הבקרה הללו לסגור.

הפלטפורמה OPSWAT נבנתה בדיוק למטרה זו. איתור נכסי OT באופן פסיבי, מבלי לגעת ולו במכשיר אחד. בידוד Hardware, המונע פיזית סוגים שלמים של התקפות מרחוק. טכנולוגיית Deep CDR™ המופעלת בכל נקודת העברת קבצים — רשת, USB, העברת נתונים. אכיפת זהות וגישה ברמת ההפעלה, עוד בטרם תגיע כל חיבור למערכת בקרה.

בסביבות OT, נראות הנכסים פירושה שמירה על רשימת מלאי מלאה ומתעדכנת באופן רציף של כל מכשיר ברשת התעשייתית — כולל בקרי PLC ישנים, יחידות מסוף מרחוק (RTU) וממשקי אדם-מכונה (HMI) — יחד עם גרסאות הקושחה והפרוטוקולים, תוך שימוש בשיטות ניטור פסיביות שאינן מייצרות תעבורה העלולה לשבש את פעולתן של מערכות בקרה רגישות.

זהו המקום שבו רוב תוכניות האבטחה בתחום ה-OT סובלות מהפער הגדול ביותר שטרם טופל; והסיבות לכך הן ארכיטקטוניות, ולא ארגוניות. Industrial נבנות סביב אוכלוסיית מכשירים שונה בתכלית מזו של סביבות ה-IT. רשת OT טיפוסית מכילה בקרי PLC, RTU, בקרי DCS, חיישנים, ממסרים, ממשקי HMI, תחנות עבודה הנדסיות ושכבה הולכת וגדלה של מכשירי IIoT, כאשר כל אחד מהם מתקשר בפרוטוקול המדויק שלשמו תוכנן: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA ועשרות גרסאות קנייניות. כלי גילוי IT סטנדרטיים אינם יכולים לנתח פרוטוקולים אלה. הם אינם מבינים את הסמנטיקה של קוד פונקציה של Modbus, אינם יכולים לפרש אובייקט נתונים של DNP3, ואין להם מודל המגדיר מהו התנהגות נורמלית לעומת התנהגות חריגה בחילופי הודעות מרומזים ב-EtherNet/IP. כאשר כלים אלה נתקלים במכשירי OT, הם מחזירים נתונים לא שלמים או מייצרים תעבורה בלתי צפויה שהמכשיר המקבל מעולם לא תוכנן לטפל בה.

תוצאה זו אינה היפותטית. סריקה אקטיבית בסביבות OT גרמה להפרעות בלתי מתוכננות בתהליכים ולנעילת מכשירים במתקני ייצור. זו הסיבה שהמדריך של CISA ממליץ על ניטור פסיבי כשיטה המתאימה לאיתור נכסי OT, וזו הסיבה שההמלצה הזו אינה נתונה למשא ומתן בסביבות עם דרישות קפדניות לזמן פעולה. איסוף פסיבי, המופעל באמצעות TAPs ברשת או יציאות SPAN, מאזין לתעבורה מבלי להזריק שאילתות העלולות לשבש מערכות בקרה רגישות. הוא מתבונן במה מתקשר, איך הוא מתקשר, ומה נראה נורמלי, מבלי לגעת במכשיר בודד ברשת המפוקחת.

בעיית הכיסוי שגישה זו נדרשת לפתור מחמירה בשל אופי דפוסי התקשורת של טכנולוגיות תפעוליות (OT). מכשירים רבים מתקשרים רק במהלך אירועים תפעוליים ספציפיים: בקר לוגי מתוכנת (PLC) עשוי לשדר רק במהלך מחזור ייצור, ממסר עשוי לדווח רק במצב של תקלה, וחיישן שטח עשוי לייצר תעבורה לסירוגין המופרדת על ידי מרווחי זמן ארוכים של שקט. חלון ניטור שאינו לוקח בחשבון את כל טווח מצבי התפעול יניב רשימה חלקית — והנכסים החסרים ברשימה זו הם בדיוק הנכסים שלא ניתן להגן עליהם, לפצל אותם או לפקח עליהם. על פי נתוני SANS 2025 State of ICS/OT Cybersecurity, נראות הנכסים נותרה בראש סדר העדיפויות של השקעות האבטחה עבור ארגונים תעשייתיים, אך פחות מ-1 מכל 8 מדווחים על נראות מלאה בסביבתם, החל מגישה ראשונית לרשת ועד להשפעה פוטנציאלית על תהליכים פיזיים. הפער אינו בעיה של מימון. זו בעיה של מתודולוגיה.

קבוצת "Volt Typhoon" מנצלת בדיוק את הפער הזה. הגישה המתועדת של הקבוצה כוללת התמזגות בפעילות הרשת הרגילה — באמצעות פרוטוקולים לגיטימיים, נתיבים מורשים וכלי ניהול סטנדרטיים — כדי להשיג גישה מתמשכת בתוך סביבות OT. ללא נראות מלאה לגבי התוכן ברשת ומהו התנהגות תקינה, טכניקות אלה נותרות למעשה בלתי נראות.

MetaDefender Security™, פלטפורמת אבטחת ה-OT OPSWAT, מתמודדת עם אתגר זה באמצעות זיהוי נכסים פסיבי וניתוח מעמיק של פרוטוקולי OT. באמצעות האזנה לתעבורת הרשת במקום לייצר אותה, הפלטפורמה בונה מאגר נכסים מלא וקו בסיס התנהגותי מבלי לגעת במכשירים הנמצאים תחת ניטור — לצד ניהול פגיעות ותיקונים ודיווחי תאימות, הכל בממשק יחיד המותאם ל-OT. כך ניתן לזהות הפעלות חריגות, תקשורת בלתי צפויה בין מכשירים ואינטראקציות פרוטוקול לא מורשות — עוד בטרם הן מסלימות לכדי השפעה תפעולית.

האתגר הקשה ביותר בתחום ניהול זהויות וגישה (IAM) בתחום ה-OT הוא שתוקפים נעזרים יותר ויותר בנתיבי גישה לגיטימיים — אישורים תקפים, הפעלות מרחוק מורשות וכלי הנדסה סטנדרטיים — במקום ניצול פרצות בתוכנה. הגורמים המזוהים עם איראן, שתוארו בהודעה משותפת שפרסמו לאחרונה ה-FBI וה-CISA, התחברו לבקרי PLC המחוברים לאינטרנט באמצעות יציאות תקשורת תעשייתיות סטנדרטיות, ותקשו עם מערכות הבקרה כאילו היו מפעילים מורשים.

פתרון הגישה מרחוק הנפוץ ביותר בסביבות OT – ה-VPN – יוצר סוג של סיכון שהוא מבני, ולא קשור להגדרות. רשתות VPN יוצרות קישוריות ישירה ברמת הרשת, המפרה את הבידוד ההיררכי של מודל פרדו, ומכניסה ספקים חיצוניים למקטעי רשת הבקרה ללא בקרה מדויקת על הפעלות וללא מנגנון לאכיפת עקרון "הרשאות מינימליות". כל מכשיר שנפרץ או מאובטח בצד הספק של המנהרה הזו יורש נתיב רשת ישיר למערכות הייצור. עבור נקודות קצה OT ישנות ללא יכולת אימות מובנית, החשיפה מחמירה עוד יותר. מכשירים אלה אינם יכולים לתעד אירועי גישה, אינם יכולים לאכוף מדיניות הפעלה ואינם יכולים לנתק חיבורים לא מורשים. כל אכיפה שקיימת חייבת להיות ממוקמת במלואה במעלה הזרם של המכשיר, או שהיא לא קיימת כלל. MetaDefender Industrial , חומת האש התעשייתית OPSWAT לרשתות OT, מטפלת בבעיית הפיצול באופן ישיר — היא אוכפת פיצול מבוסס אזורים ושולטת בתנועה רוחבית גם כאשר הפעלה של ספק כבר נמצאת בתוך הרשת.

המדריך של CISA ממחיש באופן מוחשי את ההשלכות של התעלמות מהבעיה. גורמים עוינים המזוהים עם מדינות הצליחו להגיע ולפעול על בקרי PLC המחוברים לאינטרנט באמצעות יציאות תקשורת תעשייתיות סטנדרטיות, ולא באמצעות ניצול פרצות בתוכנה, אלא פשוט על ידי התחברות כפי שמפעיל מורשה היה עושה. פרטי ההזדהות נראו תקינים. הפרוטוקולים נראו כצפוי. שום דבר לא העלה חשד לגבי ההפעלה, מכיוון שלא הוצב דבר שיבדוק את תקינות ההפעלה בשכבת הגישה.

MetaDefender OT Access מודל ה-Zero Trust ברמת ההפעלה, עוד לפני שהחיבור מגיע לנכס OT. כל הפעלה מרחוק – בין אם מדובר במהנדס פנימי, בחלון תחזוקה מתוזמן של יצרן ציוד מקורי (OEM) או בקבלן צד שלישי שמתחבר בפעם הראשונה – עוברת אימות פרטני, מוגבלת להיקף הגישה המינימלי הנדרש, מוגבלת בזמן ונרשמת במלואה. ההפעלות מוקלטות, מנוטרות ברציפות וניתן להפסיקן בזמן אמת אם ההתנהגות חורגת מהפרמטרים הצפויים. אין גישה קבועה לרשת, מנהרה קבועה או נתיב לנכסים מחוץ למה שההפעלה הספציפית דורשת במפורש. ובאשר למכשירים ישנים שאינם תומכים באימות מודרני – MetaDefender OT Access באכיפה בשכבת ניהול החיבורים, כך שהבקרה קיימת ללא תלות ביכולות המכשיר עצמו.

בתחום ה-OT, סיכוני שרשרת האספקה כוללים אירועי העברה דיגיטליים ופיזיים כאחד: עדכוני תוכנה המועברים ברשתות, מחשבים ניידים של ספקים המובאים לאתר, קושחה הנטענת USB , וקבצי הנדסה המועברים ממחלקת ה-IT לרשתות בקרה מנותקות. כל אחד מאלה מהווה סיכון להחדרת תוכן זדוני למערכות, אשר ברגע שנפרצו, עלולות להשפיע באופן ישיר על תהליכים פיזיים.

לפני שכל רכיב תוכנה מגיע לגבול ה-OT, יש לוודא את תקינותו. MetaDefender Software Chain™ מטפל בכך בצד ה-IT של שרשרת ההעברה — אימות כלי הנדסה, חבילות קושחה ועדכוני תוכנה תעשייתית המסופקים על ידי הספקים מול נתוני ה-SBOM, אימות שהרכיבים לא עברו שינוי במהלך ההעברה, וזיהוי רכיבים לא מוכרים לפני שהם מאושרים להעברה. בזמן שקובץ מגיע לנקודת Kiosk או לתהליך MFT , הוא כבר עבר את בדיקת תקינות שכבת ה-IT. לפיכך, בקרות הגבול מחזקות החלטה שכבר התקבלה, ולא מפצות על החלטה שמעולם לא התקבלה.

זהו משטח התקיפה שבקרות מבוססות רשת אינן יכולות לטפל בו באופן מלא — אך אכיפה ברמת הרשת עדיין ממלאת תפקיד קריטי ברגע שספק נמצא בתוך הרשת.Firewall Industrial MetaDefender Firewall MetaDefender Firewall לבדיקת תוכן הפרוטוקול התעשייתי בפועל של כל הפעלה של ספק. גם כאשר חיבור של צד שלישי מאושר, חומת האש מוודאת שהפקודות נותרות בגבולות קודי הפונקציות והטווחי הערכים הצפויים לאותה הפעלה — וחוסמת בזמן אמת פקודות זדוניות שמקורן בכלי ספק שנפרץ או בעדכון שזויף. הוא גם אוכף נתיבי תקשורת קפדניים: מכשיר המחובר לספק יכול להגיע רק למערכות הספציפיות שהוגדרו עבורו, ובכך למנוע כל פגיעה בשרשרת האספקה לפני שתתפשט לרוחב אזורי OT. ובמקרה של CVEs ידועים ברכיבי OT שבהם התיקון של הספק עדיין לא נשלח — מה שלעתים קרובות לוקח חודשים ב-OT — Industrial Firewall תיקונים וירטואליים ברמת הרשת, וחוסם ניצול מבלי לגעת במכשיר.

MetaDefender , פתרון האבטחה OPSWAT למדיה נשלפת, מיירט ובודק כל אמצעי אחסון נשלף לפני כניסתו לאזור מאובטח. כל קובץ נסרק באמצעות Metascan™ Multiscanning יותר מ-30 מנועי אנטי-תוכנה זדונית, מוערך על ידי Predictive Alin AI לזיהוי יום אפס לפני ביצוע, ומעובד באמצעות טכנולוגיית Deep CDR™, המשחזרת את הקובץ למצב בטוח ידוע — מסירה איומים מוטמעים תוך שמירה על התוכן הלגיטימי הדרוש לטכנאי לביצוע עבודתו. MetaDefender Media Firewall, פתרון אכיפת הסריקה של מדיה נשלפת OPSWAT, מרחיב אכיפה זו USB ברמת נקודת הקצה — תוך יישום אימות מבוסס חומרה, לפיו רק מדיה נשלפת שכבר נסרקה ואושרה על ידי MetaDefender Kiosk להתחבר לתחנת עבודה מוגנת, ללא תלות במיקומה במתקן. MetaDefender , פתרון ההגנה המתקדם OPSWAT לנקודות קצה, מותקן בנקודות קצה קריטיות כדי לאמת אם קבצים ממכשירי מדיה נשלפים נסרקו ועובדו תחילה על ידי MetaDefender Kiosk. הדבר מבטיח שרק קבצים מאומתים יוכלו להיפתח, להועתק או להיות נגישים על ידי נקודת הקצה, ושהקבצים הבלתי מורשים או שלא נסרקו יחסמו מלהגיע לסביבות קריטיות.

במקרה של העברות החוצות אזורי רשת — ממערכת ה-IT למערכת ה-OT, או ממערכות המחוברות לענן לסביבות בקרה מבודדות — MetaDefender Diode™, פתרון דיודת הנתונים OPSWAT, מספק זרימת נתונים חד-כיוונית המופעלת באמצעות חומרה. הדבר כולל נתוני תפעול כגון ערכי היסטוריה, טלמטריית חיישנים ונתוני תהליכים הזורמים החוצה מרשת ה-OT למערכות IT, לפלטפורמות ניתוח נתונים או לתשתית ענן לצורך ניטור ודיווח. אף פקודה נכנסת, בקשת חיבור, עדכון תוכנה או מטען לא יכולים לחצות את הגבול בכיוון ההפוך. הבטחת האבטחה אינה תלויה בתצורה נכונה, בתוכנה שעברה תיקונים קבועים או בשלמות אישורי הגישה, מכיוון שאף אחד מהגורמים ברמת התוכנה הללו אינו יכול לעקוף את אילוץ החומרה. עבור ארגונים המפעילים מערכות בקרה ישנות שאינן ניתנות לשדרוג, אינן יכולות להריץ סוכני קצה ואינן יכולות לסבול השבתה הנגרמת על ידי אבטחה, זוהי הארכיטקטורה שהמדריך של CISA וקהילת אבטחת התעשייה הרחבה יותר הסכימו עליה כתשובה הטכנית המתאימה.

MetaDefender File Transfer™ (MFT) מספק מענה לדרישות העברה מובנית עבור ארגונים הזקוקים להעברת קבצים תפעוליים בין אזורים, תוך ביצוע בדיקה מלאה, רישום ביקורת ובקרת זרימת עבודה. המערכת אוכפת אימות תוכן בכל פעולת העברה, ומבטיחה כי מסלול העברת הקבצים עצמו לא יהפוך לנקודת כניסה בלתי מפוקחת.

לא כל גבול ניתן להגנה באמצעות מדיניות. חלקם דורשים אמצעים פיזיים. פתרונות Cross-Domain Solutions (CDS) אוכפים גבולות ברמת החומרה בין רשתות OT ו-IT, שם לא ניתן לפתוח נתיב כניסה באמצעות תצורה שגויה של תוכנה, גניבת אישורים או פרצת "יום אפס". MetaDefender Optical Diode MetaDefender Security Gateway™ מוסמכים שניהם לפי תקן Common Criteria EAL4+ותומכים בתאימות ל-NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 ו-ISO 27001](opswat) — מערך המסגרות המלא המסדיר תשתיות קריטיות בתחומי האנרגיה, הגרעין, הכימיה והביטחון.

המדריך של CISA תואם את הפונקציות של NIST CSF (מסגרת אבטחת הסייבר) 2.0 — ניהול, זיהוי, הגנה, איתור, תגובה והתאוששות. הטבלה שלהלן משייכת כל דרישה OPSWAT הרלוונטית OPSWAT :

"אמון אפס" (Zero Trust) בתחום ה-OT אינו מוצר שניתן לרכוש. המדריך של CISA מבהיר נקודה זו — כלים וטכנולוגיות הם הכרחיים, אך אינם מספיקים כשלעצמם. מה שארגונים צריכים זו פלטפורמה שנבנתה עבור סביבות שבהן זמינות, בטיחות ותאימות הן דרישות שאינן ניתנות למשא ומתן. פלטפורמת MetaDefender™ OPSWAT מספקת את הארכיטקטורה הזו בכל היקף המנדט של CISA — החל מתיבת הדואר הנכנס שבה מתחיל הגישה הראשונית, ועד לגבול המוגן בחומרה שבו מסתיימות הפקודות למערכות קריטיות.

כפי שניתן לראות בטבלה שלעיל, OPSWAT כל קטגוריות הבקרה התואמות ל-CISA בכל שש הפונקציות של NIST CSF 2.0 בפלטפורמה אחת — היקף שאף ספק המתמחה אך ורק ב-OT אינו יכול להתחרות בו. מוכנים לבדוק היכן עומדת סביבת ה-OT שלכם ביחס למסגרת ה-Zero Trust של CISA?

שוחח עם מומחה →