Защита промышленного Интернета вещей:принятие подхода следующего поколения - Часть 2

Тревор Доуни, вице-президент по маркетингу продуктов Exabeam

Оцифровка промышленных активов способствует растущему осознанию важности защиты подключенных OT-сред от кибератак, наносящих ущерб производству, предприятиям и активам и раскрывающих конфиденциальные данные, - говорит Тревор Доуни, вице-президент по маркетингу продуктов в Exabeam

Как мы обнаружили в предыдущей статье, киберугрозы все чаще направляются на промышленные системы управления (АСУ ТП) с целью остановки производственных линий или нанесения огромного физического ущерба оборудованию.

В связи с ростом угроз для промышленных сетей сотрудникам, ответственным за управление и безопасность ИТ и OT, необходимо будет тесно сотрудничать, чтобы выявить потенциальные уязвимости и определить приоритеты, в которых необходимо устранить пробелы в безопасности. Поступая таким образом, ИТ- и ОТ-команды получают необходимое им глубокое понимание взаимосвязей между ОТ-средами, бизнес-сетями и самой широкой промышленной экосистемой, которая также может включать поставщиков, продавцов и партнеров.

Это непростая задача, если учесть, как до сих пор вопросы безопасности ИТ и ОТ в значительной степени решались в их соответствующих разрозненных хранилищах. Более того, решить проблему безопасности OTsolutions непросто.

Системы с воздушными зазорами не являются жизнеспособным решением

Когда дело доходит до защиты промышленных систем управления, многие организации по-прежнему используют подход, известный как воздушные зазоры, или безопасность за счет изоляции, в попытке повысить безопасность устаревших систем ОТ от кибератак. Однако, хотя воздушные зазоры и эффективны в качестве временной меры безопасности, они не являются идеальным решением в долгосрочной перспективе. И уж точно не следует использовать его изолированно. Возьмем, к примеру, атаку червя Stuxnet, которая была разработана для проникновения в целевую среду через зараженный USB-накопитель - через любой воздушный зазор. С существующими вредоносными компьютерными червями, подобными этому, воздушные зазоры сами по себе недостаточны для обеспечения безопасности.

Помимо того факта, что системы воздушного зазора значительно ограничивают возможности организаций по использованию данных в реальном времени, которые эти системы генерируют, для сокращения затрат, сокращения времени простоя и повышения эффективности, многие современные современные архитектуры теперь позволяют подключать устаревшие OT к Интернету для целей современное оперативное командование и управление. Действительно, 40% промышленных сайтов имеют по крайней мере одно прямое подключение к общедоступному Интернету, что ставит эти ОТ-сети прямо на линию огня, когда речь идет о потенциальном воздействии злоумышленников и вредоносного ПО.

Как справиться со сложностями

К сожалению, многие решения безопасности, разработанные для мира ИТ, не были специально созданы для решения сложных задач сегодняшних подключенных сред ОТ. Это связано с тем, что устройства IIoT, используемые в системах OT, не были предназначены для интеграции с инструментами мониторинга и управления безопасностью, разработанными для корпоративных ИТ-сетей.

Это имеет серьезные последствия для организаций:они не видят сетевых событий или активов ОТ. А без всеобъемлющего обзора всех потенциальных рисков, уязвимостей и потенциальных точек проникновения возможности быстрого обнаружения угроз и реагирования этих компаний серьезно подорваны.

Это плохая новость для группы безопасности, которой поручено защитить среды IIoT от растущего числа злоумышленников, нацеленных на системы управления в различных отраслях.

Устранение рисков, связанных с устройством, с помощью UEBA

Хорошая новость заключается в том, что эффективный и действенный мониторинг устройств OT не является невыполнимой задачей. Эти устройства, обычно разработанные для работы без участия человека, «ведут себя» определенным образом. Например, они обмениваются данными, используя определенные порты, с определенными IP-адресами и устройствами в ожидаемое время. Эти действия можно переосмыслить как «поведение» и аналитику поведения сущностей пользователя (UEBA), развернутую для увеличения возможностей мониторинга безопасности, которые можно интегрировать с информацией безопасности и управлением событиями (SIEM) для выполнения комплексного мониторинга инфраструктуры по-настоящему унифицированным образом.

Вместо того, чтобы тратить дни или недели на использование устаревшей системы SIEM для ручного запроса и поворота каждой из сотен или тысяч журналов в секунду, генерируемых одной контрольной точкой OT, UEBA позволяет быстрее и проще выявлять признаки компрометации.

Используя аналитику для моделирования всеобъемлющего нормального профиля поведения всех пользователей и объектов во всей среде, решения UEBA выявляют любые действия, которые не соответствуют этим стандартным базовым показателям. Затем к этим аномалиям можно применить пакетную аналитику для обнаружения угроз и потенциальных инцидентов.

Таким образом, становится возможным систематически отслеживать объемные выходные данные от устройств IIoT, наряду с ИТ-устройствами, для обнаружения потенциальных угроз безопасности. Также можно отслеживать другие действия, такие как вход в систему.

Комплексный подход к безопасности

Как мы видели, ограничения как традиционных, так и современных решений IIoT, OT и IoT сохраняются, но есть шаги, которые компании могут предпринять, чтобы обеспечить целостность своих бизнес-операций.

Ключевым моментом здесь является отказ от подхода `` точечного решения '' и выбор вместо этого интегрированного решения, сочетающего UEBA с современной платформой SIEM, чтобы обеспечить общекорпоративный обзор безопасности ИТ и OT. которые позволяют более эффективно обнаруживать угрозы, в том числе такие сложные для обнаружения методы, как боковое движение.

Благодаря этому одна команда SOC может использовать SIEM для приема и анализа данных из всех источников организации и получения в реальном времени представления обо всех аспектах безопасности, включая полную видимость всех устройств в их OT-средах.

Автор - Тревор Доуни, вице-президент по маркетингу продуктов Exabeam