Защита от увеличивающегося количества направлений атак в OT-сетях
До недавнего времени основным методом защиты OT-сетей оставалась их полная изоляция от IT — использовался так называемый принцип физического разделения. Но сегодня почти 3/4 компаний сообщают о наличии как минимум базовых связей между IT- и OT-системами. Это сближение фактически сводит на нет защиту от распространенных интернет угроз при помощи физического разделения.
Работая над защитой OT-сетей от бесконечно увеличивающегося количества направлений атак и растущей волны сложных угроз, аналитики операций сети находятся под огромным давлением из-за необходимости одновременно контролировать защищенность, время безотказной работы и информационную безопасность в этих средах. В результате им приходится менять подход к обеспечению безопасности своих OT-сетей.
*Согласно данным исследования Fortinet
Поиск нового решения для обеспечения безопасности OT
В свете сближения OT- и IT-систем, для создания развитой и эффективной системы безопасности OT необходимо учитывать некоторые особенности. Попытки устранить риски путем обычного развертывания готовых межсетевых экранов, песочниц и систем предотвращения вторжений в OT-средах приводят к недопустимым, разрушительным и неопределенным результатам. Средства безопасности OT должны специально разрабатываться с учетом протоколов, коммуникаций и служб, которые являются нативными для этих критичных сред.
Для того чтобы система безопасности охватывала всю топологию сети, а не просто состояла из отдельных решений для исправления выявленных нарушений безопасности, организациям необходимо проектировать безопасность на самых базовых уровнях OT-сред. Разные компоненты инфраструктуры безопасности организации должны работать вместе как единая и скоординированная система.
Один из таких подходов — это создание комплексной, сегментированной и многоуровневой архитектуры безопасности. Он не ограничивается простой блокировкой подключенной системы отопления, вентиляции и кондиционирования, демонстрирующей признаки компрометации. Комплексная система безопасности может обеспечить прозрачную видимость всех устройств, предоставить аналитику в реальном времени для контекстной осведомленности и средства управления на основе политик, которые гарантируют целостность устройства или системы и в то же время защищают другие критические компоненты OT-среды.
Видимость всех направлений атак
Сегодня для обеспечения надежности OT-операций необходимо непрерывно поддерживать в средах видимость всех устройств (как проводных, так и беспроводных) при их присоединении, отсоединении или перемещении из одного места в другое. В настоящее время в OT-средах обычной практикой является размещение самых разных беспроводных устройств и устройств Интернета вещей (например, интеллектуальных средств управления средой). Однако поскольку эти технологии подключаются к внешней IT-сети для получения дополнительных возможностей, именно через них в уязвимые OT-системы могут проникать угрозы.
Комплексная архитектура безопасности может поддерживать прозрачную централизованную видимость в пределах всей OT-среды. Чтобы обеспечить такую согласованную защиту, архитектура безопасности должна включать в себя встроенные подключения интерфейса прикладного программирования (API) и открытые API REST. Тогда организации смогут подключить существующие решения к экосистеме безопасности. Для настройки видимости может оказаться необходимой поддержка решений управления доступом к сети (NAC) в качестве вспомогательного инструмента для инвентаризации и управления устройствами IoT, а также другими конечными точками (без вмешательства в работу уязвимых OT-систем).
Управление доступом, обновления безопасности и другие рекомендации
Контроль в OT-системах влечет за собой определение базовых характеристик нормального трафика и предварительное определение рекомендованных функций, обеспечивающих распознавание любого поведения, отклоняющегося от нормального, а также реагирование на такое поведение в режиме реального времени. К счастью, поведение устройств в OT-средах, как правило, является статичным и проявляется в пределах предсказуемого диапазона, поэтому незамедлительное выявление и идентификация аномального поведения в них более вероятны, чем в традиционных IT-средах.
Управляющие решения должны включать коммутацию, сегментацию сети (внутренний и внешний трафик) и микросегментацию ресурсов в сети. Еще одна необходимая для OT-сред функция — это возможность принудительно перенаправлять трафик с примитивных устройств через межсетевой экран следующего поколения.
Организации должны иметь возможность применять, в том числе и принудительно, политики доступа в зависимости от того, какие именно пользователи, программы или устройства подключаются к сети. Динамические средства управления на основе ролей создают в сети сегменты, которые группируют приложения, осуществляют привязку данных и разрешают доступ только определенным группам для усиления безопасности OT. Такое детализированное управление доступом иногда называют сегментацией на основе целей — это настройка управления доступом с непрерывной оценкой доверия.
В прошлом элементы управления доступом использовали статические значения доверия для пользователей, устройств и приложений. Но доверие может изменяться из-за обычных трансформаций в бизнес-операциях или в результате возникающих угроз. Сегментация на основе намерений связывает управление доступом с постоянно обновляемыми уровнями доверия на основе информации, полученной как из внутренних, так и из внешних источников.
Сегментация на основе намерений устанавливает условия для управления доступом к ресурсам устройств и пользователей на основе выявленных бизнес-потребностей
Ситуационная осведомленность
Аналитики операций сети могут ежедневно получать тысячи предупреждений о безопасности. После уведомления о подозрительной активности на определенном IP-адресе может потребоваться несколько часов расследования, чтобы вручную определить местонахождение подозрительного устройства, собрать информацию, имеющую отношение к событию, и оценить, действительно ли это атака или просто аномальное поведение. Нехватка кадров только усугубляет эти проблемы.
Чтобы быстро понять, какие именно действия следует предпринять в случае атаки на отдельное устройство в OT-среде, компания Fortinet рекомендует организациям использовать мгновенные оповещения и информацию о контексте угрозы. Решение, которое предоставляет функции управления информацией о безопасности и событиях (SIEM), может обеспечить унифицированную корреляцию событий и управление рисками, что позволит ускорить анализ, автоматизировать ответы и быстрее устранить нарушение.
Если обнаруживается подозрительное устройство, пытающееся получить доступ к сети, интегрированное решение NAC может автоматически в режиме реального времени отправлять аналитику операций сети уведомления об угрозах вместе с соответствующей контекстной информацией о событии для повышения точности оповещения. Это помогает аналитикам операций сети быстро обнаруживать и устранять угрозы, благодаря чему время локализации нарушения сокращается с нескольких дней до нескольких секунд.
Почти 2/3 (64%) лидеров OT отмечают, что для них труднее всего идти в ногу с изменениями, и почти половина (45%) испытывает ограничения из-за нехватки квалифицированной рабочей силы
Прозрачность для промышленных и критически важных инфраструктурных сетей
Серьезной проблемой, по оценкам Fortinet, является защита от увеличивающегося количества атак в уязвимых OT-системах без вмешательства в их работу. Хотя сближение OT и IT дает большие преимущества, оно сопряжено с новыми рисками, о которых могут не знать аналитики сетевых операций и сотрудники отделов безопасности.
Организации должны быть уверены в том, что они владеют информацией обо всех устройствах и людях, подключающихся к их инфраструктуре в любой момент времени. OT теперь требуется полная прозрачность — полная видимость всего, что подключено к OT-сети в любой момент времени. Они нуждаются в централизованном управлении и компенсирующем контроле (например, SIEM, NAC), а также в защите конечных точек и сегментации сети. Кроме того, им необходима комплексная архитектура безопасности, которая свяжет разрозненные решения в единую систему безопасности и поможет защитить OT от всех существующих IT-угроз.
О компании Fortinet
Компания Fortinet (NASDAQ: FTNT) обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. Продукты компании легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Инновационная архитектура экосистемы Fortinet Security Fabric позволяет обеспечить безопасность без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1е место по количеству проданных средств безопасности и обеспечивает защиту более 440 тыс. клиентов по всему миру. Подробнее – на сайте
Автор: С. Егорова