Разработка стратегии кибербезопасности критически важной инфраструктуры

Выводы включают следующее:

• Защита критически важной инфраструктуры - давний приоритет, но многие организации отстают в реагировании на киберугрозы.
• COVID-19 расширил определение критической инфраструктуры, а также напомнил корпоративным компаниям, какие системы необходимы для работы. Эта статья основана на рекомендациях, содержащихся в первой главе этой серии статей «Решение проблем безопасности Интернета вещей - от облака до периферии».
• Организации, управляющие критически важной инфраструктурой, должны выработать проактивную политику кибербезопасности, но сбои, вызванные коронавирусом, усугубляют проблему.

К настоящему времени необходимость во всеобъемлющей кибербезопасности для критически важной инфраструктуры очевидна. Широко распространены публичные аккаунты, касающиеся риска нападений злоумышленников на электросети, плотины, системы голосования и другую критически важную инфраструктуру, назначенную на федеральном уровне. Но большинство организаций, предоставляющих основные услуги, предприняли лишь постепенные шаги по устранению киберрисков. «Многие организации, занимающиеся операционными технологиями, имеют довольно зарождающиеся программы кибербезопасности», - сказал Шон Писли, партнер Deloitte.

Термин «критическая инфраструктура» первоначально относился к общественным работам, таким как транспортная инфраструктура и коммунальные услуги, но с 1990-х годов это определение неуклонно расширялось. Секторы под рубрикой теперь включают, помимо прочего, здравоохранение, энергетику и коммунальные услуги, а также различных производителей. «И практически, в эпоху COVID мы обнаруживаем, что критически важная инфраструктура даже шире, чем мы думали», - сказал Киран Нортон, директор Deloitte. Например, производители средств индивидуальной защиты играют определенную роль в смягчении кризиса. «Мы также узнали, что нарушение цепочки поставок, например, во время пандемии, потенциально может иметь катастрофические последствия», - сказал Нортон. Неудивительно, что логистические фирмы закрепили за собой важную роль. Правительство США заявило, что целлюлозно-бумажная и мясная промышленность также имеют важное значение. Таким образом, дублирование между критически важной инфраструктурой и безопасностью операционных технологий (OT) продолжает стираться. Независимо от названия, немногие отрасли в этой области достигли высокой степени киберэффективности, согласно исследованию промышленной безопасности, проведенному Институтом Ponemon и подписанным TÜV Rheinland.

[IoT World, крупнейшее в Северной Америке мероприятие IoT, станет виртуальным с 11 по 13 августа, и в нем вы получите трехдневный виртуальный опыт, в котором IoT, AI, 5G и преимущества будут использоваться в различных отраслевых вертикалях. Зарегистрируйтесь сегодня]

Традиционные объекты критической инфраструктуры могут иметь многолетний опыт работы с традиционными инициативами в области управления рисками и обеспечения безопасности, но для многих кибербезопасность является относительно новым приоритетом. И вообще, организации, управляющие критически важной инфраструктурой, как правило, медлительны. «По моему общему опыту, безопасность OT отстает от сферы безопасности ИТ примерно на 10–15 лет», - сказал Эндрю Ховард, генеральный директор Kudelski Security.

Между тем картина угроз для организаций критически важной инфраструктуры продолжает становиться все более опасной. Число злоумышленников, нацеленных на такую ​​инфраструктуру, растет, как и количество подключенных устройств во многих критических инфраструктурных средах. Согласно индексу X-Force Threat Intelligence 2020 от IBM, объем атак на промышленные системы управления в 2019 году был выше, чем за предыдущие три года вместе взятые.

В 2020 году о таких атаках заговорили заголовки. Злоумышленники успешно атаковали Honda, тайваньскую энергетическую компанию и объект природного газа в США. Сообщается, что система водоснабжения Израиля подверглась нападению. Внутренняя сеть японской телекоммуникационной компании NTT взломана.

R Постоянная оценка isk

Если вы не можете что-то измерить, вы не можете это улучшить. Но этот совет вдвойне применим к кибербезопасности критически важной инфраструктуры, где снижение рисков и рисков может быть сложно определить количественно. Многим организациям сложно вести точную инвентаризацию активов, учитывая разнообразие и сложность их сред. Между тем специалистов, специализирующихся на кибербезопасности ОТ, не хватает. Этот риск усугубляется сложным характером стороннего управления рисками, включая оценку потенциальных уязвимостей, вызванных приобретенным оборудованием, программным обеспечением или подрядчиками.

Хотя оценка рисков должна быть непрерывным процессом, организации критически важной инфраструктуры должны начинать с периодических углубленных оценок рисков, предназначенных для количественной оценки угроз, уязвимостей и потенциальных последствий кибератак и других причин нарушения работы. К потенциальным уязвимостям относятся общие пароли, незащищенные системы, программное и аппаратное обеспечение неизвестного происхождения и чрезмерно разрешающие межсетевые экраны.

Но такую ​​оценку безопасности может быть сложно выполнить. Существует множество типов устройств, которые нужно отслеживать, от насосов и клапанов до устаревших контроллеров и множества вычислительных устройств. Кроме того, понимание последствий взлома промышленной системы требует глубоких операционных знаний. В среде с множеством различных систем проблема усугубляется.

Традиционные методы сетевого сканирования требуют осторожности. Активные методы сканирования сетей и уязвимостей промышленных систем управления могут привести к сбою систем управления. По словам Дейла Петерсона, консультанта, специализирующегося на безопасности промышленных систем управления, безопасное использование активного сканирования в критически важной инфраструктурной среде обычно может быть безопасным. Но для устранения риска требуется тесное сотрудничество с операциями. Хотя пассивные методы мониторинга сети менее навязчивы, они также менее точны. «В ходе этих дебатов точка зрения на ИТ-безопасность часто расходится с точкой зрения ОТ. Специалист по ИТ-безопасности склонен к активному сканированию, но человек, отвечающий за мониторинг критически важной системы инфраструктуры, часто предпочитает пассивный подход, потому что не хочет подвергать ее риску ».

В частности, при углубленной оценке организации, вероятно, обнаружат длинный список проблем и зададутся вопросом о том, какие меры по их устранению следует расставить по приоритетам. Проблема усугубляется тем, что многие профессионалы в области кибербезопасности, как правило, не имеют прямого опыта работы со всем оборудованием, подлежащим аудиту, и поэтому должны полагаться на интервью с опытными владельцами активов и операторами, чтобы оценить свои киберриски.

Организации должны взвесить как серьезность, так и простоту исправления. «Контроль доступа часто является здесь темой», - сказал Миклович. «Граничные интерфейсы всегда являются самой слабой частью любой проблемы кибербезопасности, будь то граница протокола или физическая граница», - сказал он. «Даже в мире промышленной кибербезопасности одной из самых серьезных уязвимостей по-прежнему являются USB-накопители».

По словам Ховарда, хотя для штатного сотрудника можно быстро и недорого использовать суперклей или припой для подключения неиспользуемых USB-накопителей, некоторые организации уделяют слишком много внимания устранению «простых вещей». «Да, есть пороговые меры, которые нужно немедленно выбить. Но после этого вам следует расставить приоритеты на основе риска ».

По словам Джо Сондерса, генерального директора RunSafe, количественно оценить этот риск можно с помощью матрицы два на два, которая взвешивает вероятность воздействия уязвимости и потенциальную серьезность.

Построение профиля риска для каждой системы редко бывает простым. Собеседования с владельцами активов и операторами являются ключом к пониманию последствий отказа данной системы. «У вас может быть машина, которая кажется уязвимой и высокорисковой», - сказал Миклович. Но если он выйдет из строя, это может вызвать только отдельные проблемы, а не привести к полной остановке.

Еще одним фактором, который может усложнить оценку рисков, является тенденция организаций расставлять приоритеты в кибер-приоритетах исключительно на основе вложенного времени или денег. «То, что организация считает ценным, может сильно отличаться от того, что киберпреступник считает ценным, - сказал Билл Малик, вице-президент Trend Micro по стратегиям инфраструктуры.

Когда дело доходит до устаревшего оборудования, возможности организаций по снижению рисков могут быть ограничены. Устройство, работающее под управлением операционной системы десятилетней давности, скорее всего, не сможет быть обновлено. «Стратегия, которая обычно применяется к этим системам, состоит в том, чтобы изолировать и контролировать», - сказал Ховард. «По моему опыту, изоляция обычно довольно проницаема».

Новые риски в новой норме

Управление рисками в критически важной инфраструктуре становится все более сложной задачей в связи с растущими проблемами кибербезопасности. Необходимость для этих организаций разработать планы реагирования на COVID-19 при одновременном расширении удаленной работы для некоторых сотрудников добавляет дополнительную сложность. «Я думаю, что основным видом изменений, которые мы наблюдаем в критически важных инфраструктурных средах, является сценарий работы из дома», - сказал Джамил Джаффер, старший вице-президент по стратегии, партнерству и корпоративному развитию IronNet Cybersecurity.

По словам Ховарда, парадигма работы на дому усложняет защиту уязвимых систем. «Теперь у вас есть сотрудники, использующие VPN для подключения к производственным системам из дома и внесения изменений», - сказал он. «Вероятно, они бы не сделали этого раньше».

Точно так же у некоторых организаций может возникнуть соблазн предоставить сторонним лицам, например поставщикам и техническим специалистам, удаленный доступ к конфиденциальным системам. «Вероятно, меньше внимания уделяется кибербезопасности, когда многие люди сосредоточены на выполнении своей работы и сохранении своей работы», - сказал Нортон.

Доступность сети - еще один фактор, который следует учитывать организациям, стремящимся расширить возможности удаленной работы в контексте критически важной инфраструктуры. «В прошлом у вас были организации, в которых 10–20% сотрудников использовали традиционную инфраструктуру удаленного доступа», - сказал Нортон. По мере того, как организации увеличивали возможности удаленной работы, «многие сталкивались с проблемами с пропускной способностью, масштабированием и развертыванием ресурсов», - сказал Нортон.

Хотя расширение возможностей подключения промышленных активов может потенциально создать больше уязвимостей, COVID-19 также подчеркнул риск устаревших планов действий в чрезвычайных ситуациях, которые зависят от физического присутствия работников, ручных процессов и бумажной работы.

Несмотря на то, что изменения традиционно происходят медленно, организации, занимающиеся критически важной инфраструктурой, не должны уклоняться от массовых изменений в своей технологической архитектуре, поскольку они переосмысливают основные процессы и рабочие процессы. «Если это новая норма, вам, вероятно, придется перепроектировать вашу инфраструктуру», - сказал Нортон.

На пути к проактивной кибербезопасности

В конечном итоге организации критически важной инфраструктуры стремятся перейти от укоренившихся ручных процессов, которые предлагают постепенное снижение риска, к более проактивной политике кибербезопасности. «Промышленная среда, как правило, сложна и постоянно развивается, - сказала Натали Чува, генеральный директор Sternum. «Средства контроля безопасности необходимы не только для оценки текущего состояния, но и для обеспечения устойчивой защиты и спокойствия на долгие годы».

Традиционно безопасность промышленной и критически важной инфраструктуры означала физическую безопасность, включающую безопасность и контроль доступа в пределах физического периметра. Многие традиционные промышленные протоколы принципиально небезопасны, поскольку их разработчики предполагали, что доступ к ним будет иметь только уполномоченный персонал. Но распространение удаленной работы, облачных вычислений и IIoT подорвало модель безопасности, основанную на замках и рвах. Однако влияние этой унаследованной модели является одной из причин, по которой многие организации критически важной инфраструктуры, а также корпоративные компании используют подход реактивной безопасности.

Основное внимание при такой модернизации должно быть уделено созданию надежных и эффективных рабочих процессов, основанных на универсальных политиках безопасности. «Переместите меры безопасности как можно ближе к активам», - посоветовал Нортон.

Этот процесс включает создание всеобъемлющей и постоянно развивающейся политики безопасности для следующих активов:

• Оборудование и устройства :Такое оборудование может варьироваться от устаревшего промышленного оборудования до устройств Интернета вещей и корпоративных ноутбуков. «Понимание этих устройств в контексте пользователей очень важно», - сказал Нортон. Организации должны защищать промышленные контроллеры, - посоветовал Джо Сондерс, генеральный директор RunSafe Security. Напротив, защита датчиков и шлюзов относительно проста. «Но контроллеры чувствительны к производительности и находятся глубоко в инфраструктуре».
• Сети и пользователи :Что касается пользователей, сотрудники службы безопасности должны ограничивать доступ в максимально возможной степени на основе элементов управления, изложенных в политике безопасности организации. «У вас может быть механизм политики, который взаимодействует с этими элементами управления безопасностью, что позволяет вам динамически применять логику через контекст пользователя и приложения», - сказал Нортон. Организациям также следует инвестировать в возможности обнаружения сетевых нарушений.
• Данные . Классификация и обнаружение данных - ценные инструменты для оценки уровня контроля, необходимого для защиты данного типа данных.
• Рабочий процесс, рабочие нагрузки и процессы. Требуемая степень защиты определяет внутреннюю ценность этих процессов для вашей организации и вероятность того, что злоумышленники будут им мешать. Эта задача также включает укрепление цепочки поставок и обеспечение соблюдения подрядчиками и поставщиками определенного уровня контроля безопасности.
• Процессы разработки программного обеспечения. По словам Сондерса, организации, занимающиеся критически важной инфраструктурой, «должны обеспечить безопасность при разработке программного обеспечения, чтобы развертываемое вами программное обеспечение было устойчивым».

Хотя кибергигиена имеет жизненно важное значение, распространенной ошибкой в ​​области безопасности является недооценка обнаружения угроз, реагирования и восстановления. «Простое практическое правило - тратить 50% усилий на предотвращение и обнаружение, а 50% усилий - на восстановление реагирования», - сказал Мэтт Селхаймер, исполнительный директор PAS Global. «Традиционно подход многих организаций заключается в том, чтобы в первую очередь установить превентивный контроль», - сказал Нортон. Но, учитывая сложность изучения рисков в критически важных инфраструктурных средах, реагирование и восстановление иногда отходит на второй план. «Если что-то пойдет не так, вы должны иметь возможность быстро определить это и выключить», - сказал Нортон. «Это так же важно, как предотвращение чего-либо, потому что вы знаете, что что-то в конечном итоге пойдет не так».

Организации, стремящиеся перейти к проактивной позиции кибербезопасности, могут черпать вдохновение из различных структур, начиная от всеобъемлющего ISO 27002 и стандартов, специфичных для промышленных систем управления, таких как ISA / IEC 62443. Относительным новичком является Сертификация модели зрелости кибербезопасности (CMMC) от Министерство обороны - предназначено для определения уровня безопасности, необходимого организациям для участия в различных государственных программах. Разделенные на пять уровней, первые три определяют базовую, промежуточную и хорошую кибергигиену. Два верхних уровня требуют более сложного управления кибербезопасностью. Четвертый предусматривает, что «вся кибер-деятельность проверяется и измеряется на предмет эффективности», а результаты проверки доводятся до сведения руководства. На верхнем уровне добавляется стандартизированная и исчерпывающая документация, относящаяся ко всем соответствующим модулям.

CMMC, уровень 1	Базовая кибергигиена (выполняется)	При необходимости документируются избранные методы
CMMC, уровень 2	Промежуточная кибергигиена (задокументировано)	Каждая практика задокументирована, и для всех видов деятельности существует политика
CMMC, уровень 3	Хорошая кибергигиена (управляемая)	В дополнение к описанным выше методам существует киберплан, который включает в себя все действия.
CMMC, уровень 4	Упреждающий (рассмотрено)	Вся кибер-деятельность проверяется и оценивается на предмет эффективности. Результаты сообщаются руководству.
CMMC, уровень 5	Расширенный прогрессивный (оптимизация)	В дополнение к описанным выше методам на этом этапе добавляется стандартизованная документация для всей организации.

«Это первая структура, которую мы видели с намеченной моделью зрелости, специально предназначенной для интеграторов и их субподрядчиков, участвующих в торгах по чувствительным государственным программам», - сказал Тони Коул, технический директор Attivo Networks. Эта структура может побудить организации критически важной инфраструктуры разработать более глубокое понимание внутренних киберрисков, а также проявить должную осмотрительность, требуемую от третьих сторон. По словам Коул, в структуре есть определенный уровень объективности, который может быть полезен. «Согласно модели, сторонний аудитор должен прийти и подтвердить уровень кибербезопасности подрядчика. Никаких опросов по собственной инициативе », - сказал он. «Кто-то должен это проверить».

Автоматизация также является элементом, который следует учитывать при разработке проактивной стратегии безопасности. Такие методы, как машинное обучение, могут помочь организациям автоматизировать рутинные задачи мониторинга безопасности, такие как обнаружение нарушений в сети, и реализовать средства контроля, чтобы остановить распространение атак.

Встроенные средства защиты, которые становятся все более доступными на разнообразных устройствах с ограниченными ресурсами, обеспечивают внутреннюю защиту от угроз. Защита на устройстве также должна «включать всесторонние возможности управления активами», - сказал Тшува. Такие элементы управления поддерживают видимость сети и могут автоматически предупреждать об атаках.

Селхаймер предупредил, что организации, которые спешат найти способы автоматизировать мониторинг безопасности без надежной и контекстной политики безопасности, часто сталкиваются с огромным количеством ложных тревог. Но, в конце концов, все организации должны планировать время, потраченное на настройку мер безопасности. «В ОТ нет никаких различий, чем в ИТ. Сотрудники [центра управления безопасностью] тратят много времени на настройку правил брандмауэра и информации о безопасности, правил корреляции управления событиями, чтобы уменьшить шум », - сказал Селхаймер.

Еще больше усложняет ситуацию уникальный и разнообразный ландшафт критически важной инфраструктуры, который может усложнить развертывание готовых средств автоматизации безопасности и инструментов искусственного интеллекта. «Конечно, есть некоторые ограничения. Но есть и способы решить эту проблему », - сказал Нортон. Организации могут, например, изолировать уязвимые операционные системы и использовать инструменты автоматизации и оркестровки для защиты образовавшегося анклава. «За счет автоматизации и оркестровки автоматизируйте как можно больше, а затем организуйте то, что вы не можете автоматизировать, чтобы убедиться, что у вас есть эффективные возможности, и вы реагируете на угрозы и приспосабливаетесь к ним», - сказал Нортон.

В конце концов, угрозы безопасности критически важной инфраструктуры, скорее всего, быстро исчезнут. «Проактивность означает, что вы постоянно корректируете свою киберпозицию, чтобы реагировать на происходящее как с точки зрения прямого воздействия на организацию, так и с точки зрения отрасли», - сказал Нортон.