Funcție sponsorizată Conectivitatea la internet a schimbat totul, inclusiv mediile industriale vechi. Pe măsură ce companiile își modernizează operațiunile, își conectează mai multe utilaje la web. Este o situație care creează preocupări clare și actuale de securitate, iar industria are nevoie de noi abordări pentru a le gestiona.
Adoptarea Internetului Industrial al Lucrurilor (IIoT) se accelerează. Cercetare de la Inmarsat a constatat că 77% dintre organizațiile chestionate au implementat pe deplin cel puțin un proiect IIoT, 41% dintre ele făcând acest lucru între al doilea trimestru din 2020 și 2021.
Aceeași cercetare a avertizat, de asemenea, că securitatea este o preocupare principală pentru companiile care se lansează în implementări IIoT, 54% dintre respondenți plângându-se că le-a împiedicat să-și folosească datele în mod eficient. Jumătate a citat, de asemenea, riscul atacurilor cibernetice externe drept problemă.
Soluțiile IIoT sunt esențiale pentru convergența IT și OT (tehnologia operațională). Platformele OT, adesea sisteme de control industrial (ICS), ajută companiile să-și gestioneze dispozitivele fizice, cum ar fi presele și benzile transportoare care alimentează producția de producție sau supapele și pompele care mențin apa municipală să curgă.
Procedând astfel, generează cantități uriașe de date care sunt utile în scopuri de analiză. Dar introducerea acestor informații în instrumentele adecvate de întreprindere înseamnă reducerea decalajului dintre IT și OT.
De asemenea, operatorii doresc ca acele sisteme OT să fie accesibile de la distanță. Oferind aplicațiilor IT convenționale capacitatea de a controla acele dispozitive înseamnă că acestea pot fi conectate cu aceleași procese back-end definite în sistemele IT. Și permiterea accesului de la distanță pentru tehnicieni care nu pot sau nu doresc să facă o călătorie dus-întors de mai mulți kilometri doar pentru a face o schimbare operațională poate economisi timp și bani.
Această nevoie de acces de la distanță s-a accentuat în timpul crizei COVID-19, când distanțarea socială și restricțiile de călătorie i-au împiedicat pe tehnicieni să facă orice vizite la fața locului. Inmarsat a descoperit că pandemia a fost o cauză fundamentală a adoptării accelerate a IIoT, de exemplu, 84% raportând că au sau își vor accelera proiectele ca răspuns direct la pandemie.
Deci, pentru mulți, convergența dintre IT și OT este mai mult decât convenabilă; este esential. Dar a creat și o furtună perfectă pentru echipele de securitate. Un sistem ICS accesibil din exterior mărește suprafața de atac pentru hackeri.
Atacurile ICS în acțiune
Uneori, acea convergență IT/OT poate fi la fel de simplă ca cineva care instalează un software de acces la distanță pe un computer la o unitate. Acesta este configurația care permis hackerii să acceseze sistemele de control prin instalarea unui instrument de acces la distanță la uzina municipală de apă din Oldsmar, Florida, în 2021, înainte de a încerca să otrăvească locuitorii locali cu hidroxid de sodiu. PC-ul pe care atacatorul l-a compromis a avut acces la echipamentul OT din fabrică. Șeriful orașului a raportat că intrusul invizibil trăsese cursorul mouse-ului în fața unuia dintre lucrătorii săi.
Nu este clar ce i-a determinat pe hackeri să încerce să otrăvească floridenii nevinovați, dar unele atacuri au motive financiare. Un exemplu este atacul ransomware EKANS care a lovit Honda în iunie 2020, închiderea operațiunilor de producție în Marea Britanie, SUA și Turcia.
Atacatorii au folosit ransomware-ul EKANS pentru a viza serverele interne ale companiei, provocând perturbări majore la fabricile acesteia. Într-un analiză În urma atacului, compania de securitate cibernetică Darktrace a explicat că EKANS este un nou tip de ransomware. Sistemele ransomware care vizează rețelele OT fac în mod normal acest lucru lovind mai întâi echipamentele IT și apoi pivotând. EKANS este relativ rar prin faptul că vizează direct infrastructura ICS. Poate viza până la 64 de sisteme ICS specifice în lanțul său de ucidere.
Experții cred că alte atacuri ICS sunt sponsorizate de stat. Malware-ul Triton, îndreptat pentru prima dată către fabricile petrochimice în 2017, este inca o amenintare potrivit FBI, care atribuie atacurile unor grupuri rusești susținute de stat. Acest malware este deosebit de neplăcut, potrivit Biroului, deoarece a permis daune fizice, impact asupra mediului și pierderi de vieți omenești.
Soluțiile standard de securitate nu vor funcționa aici
Abordările tradiționale de securitate cibernetică nu sunt eficiente în rezolvarea acestor vulnerabilități OT. Companiile ar putea folosi instrumente de securitate endpoint, inclusiv anti-malware, pentru a-și proteja computerele. Dar dacă punctul final ar fi un controler logic programabil, o cameră video activată AI sau un bec? Aceste dispozitive nu au adesea capacitatea de a rula agenți software care pot verifica procesele lor interne. Unele ar putea să nu aibă procesoare sau facilități de stocare a datelor.
Chiar dacă un dispozitiv IIoT avea lățimea de bandă de procesare și capabilitățile de putere pentru a susține un agent de securitate la bord, sistemele de operare personalizate pe care le utilizează ar fi puțin probabil să accepte soluții generice. Mediile IIoT folosesc adesea mai multe tipuri de dispozitive de la diferiți furnizori, creând un portofoliu divers de sisteme non-standard.
Apoi mai este problema amplorii și distribuției. Administratorii și profesioniștii în securitate obișnuiți să se ocupe de mii de PC-uri standard într-o rețea vor găsi un mediu IIoT, în care senzorii pot număra sute de mii, foarte diferiți. Ele se pot răspândi, de asemenea, pe o zonă largă, mai ales pe măsură ce mediile de calcul edge câștigă tracțiune. S-ar putea limita conexiunile la rețea în unele medii mai îndepărtate pentru a economisi energie.
Evaluarea cadrelor tradiționale de protecție ICS
Dacă configurațiile convenționale de securitate IT nu pot face față acestor provocări, atunci poate că alternativele centrate pe OT pot face față? Modelul standard de bază este modelul de securitate cibernetică Purdue. Creat la Universitatea Purdue și adoptat de către Societatea Internațională de Automatizare ca parte a standardului său ISA 99, definește mai multe niveluri care descriu mediul IT și ICS.
Nivelul zero se ocupă de mașinile fizice – strunguri, prese industriale, supape și pompe care duc la bun sfârșit. Următorul nivel în sus implică dispozitivele inteligente care manipulează acele mașini. Aceștia sunt senzorii care transmit informații de la mașinile fizice și actuatorii care le conduc. Apoi găsim sistemele de control de supraveghere și achiziție de date (SCADA) care supraveghează acele mașini, cum ar fi controlerele logice programabile.
Aceste dispozitive se conectează la sistemele de management al operațiunilor de producție de la nivelul următor, care execută fluxuri de lucru industriale. Aceste mașini asigură ca instalația să funcționeze în mod optim și înregistrează datele operaționale ale acesteia.
La nivelurile superioare ale modelului Purdue se află sistemele de întreprindere care se află direct în domeniul IT. Primul nivel conține aplicațiile specifice producției, cum ar fi planificarea resurselor întreprinderii care se ocupă de logistica producției. Apoi, la cel mai înalt nivel se află rețeaua IT, care recoltează date din sistemele ICS pentru a stimula raportarea afacerilor și luarea deciziilor.
Pe vremuri, când nimic nu vorbea cu nimic în afara rețelei, era mai ușor să gestionezi mediile ICS folosind această abordare, deoarece administratorii puteau segmenta rețeaua de-a lungul granițelor sale.
Un strat de zonă demilitarizată (DMZ) a fost adăugat în mod deliberat pentru a sprijini acest tip de segmentare, așezat între cele două straturi de întreprindere și straturile ICS mai jos în stivă. Acționează ca un decalaj între întreprindere și domeniile ICS, folosind echipamente de securitate, cum ar fi firewall-uri, pentru a controla traficul care trece între ele.
Nu orice mediu IT/OT va avea acest strat, dat fiind că ISA l-a introdus de curând. Chiar și cei care se confruntă cu provocări.
Mediile de operare de astăzi sunt diferite de cele din anii 1990, când modelul Purdue a evoluat pentru prima dată și cloud-ul așa cum îl știm noi nu exista. Inginerii doresc să se conecteze direct la operațiunile de management la nivel local sau la sistemele SCADA. Furnizorii ar putea dori să-și monitorizeze dispozitivele inteligente pe site-urile clienților direct de pe Internet. Unele companii tânjesc să ridice întregul lor strat SCADA în nor, ca Severn Trent Water hotărât de făcut în 2020.
Evoluția ICS ca serviciu (ICSaaS), gestionat de terți, a tulburat și mai mult apele pentru echipele de securitate care se confruntă cu convergența IT/OT. Toți acești factori riscă să deschidă mai multe găuri în mediu și să evite orice eforturi anterioare de segmentare.
Tăiind prin toată mizeria încâlcită
În schimb, unele companii adoptă noi abordări care se aventurează dincolo de segmentare. În loc să se bazeze pe limitele rețelei care dispar rapid, ei examinează traficul la nivel de dispozitiv în timp real. Aceasta nu este departe de propunerile inițiale de deperimetrare avansate de Forumul Jericho al Grupului Open la începutul anilor ’00, dar analiza traficului în atâtea puncte diferite ale rețelei era dificilă atunci. Astăzi, apărătorii sunt mai capabili să țină un ochi vigilent datorită apariției AI.
Darktrace este punerea în aplicare unele dintre aceste concepte în cadrul sistemului său imunitar industrial. În loc să urmărească semnăturile rău intenționate cunoscute la granițele segmentelor de rețea, începe prin a afla ce este normal peste tot în mediul IT și OT, inclusiv în orice parte a acelui mediu găzduit în cloud.
Stabilind o linie de bază în evoluție a normalității, serviciul analizează apoi întregul trafic pentru activitatea care se încadrează în afara acestuia. Poate alerta administratorii și analiștii de securitate cu privire la aceste probleme, așa cum este a făcut pentru un client european de producție.
Serviciul este, de asemenea, autonom. Atunci când un client are suficientă încredere în deciziile sale pentru a comuta, sistemul imunitar poate trece de la simpla alertă la acțiuni proporționale. Acest lucru ar putea însemna blocarea anumitor forme de trafic, impunerea comportamentului normal al unui dispozitiv sau, în cazuri grave, punerea în carantină completă a sistemelor, inclusiv a echipamentelor din straturile OT/ICS.
Directorii Darktrace speră că această trecere la un model mai granular de analiză constantă, omniprezentă a traficului, combinată cu evaluarea în timp real față de comportamentul normal cunoscut, va ajuta la zădărnicirea valului în creștere al atacurilor cibernetice ICS. De asemenea, sperăm că va permite companiilor să devină mai agile, susținând accesul de la distanță și inițiativele ICS bazate pe cloud. În viitor, nu va trebui să riști ca cineva să stingă luminile în încercarea ta de a menține luminile aprinse.
Sponsorizat de Darktrace
- AI
- ai art
- ai art generator
- ai robot
- inteligență artificială
- certificare de inteligență artificială
- inteligența artificială în domeniul bancar
- robot cu inteligență artificială
- roboți cu inteligență artificială
- software de inteligență artificială
- blockchain
- conferință blockchain ai
- coingenius
- inteligența artificială conversațională
- criptoconferință ai
- dall-e
- învățare profundă
- google ai
- masina de învățare
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- scara ai
- sintaxă
- Registrul
- zephyrnet
