Обнаружение аномального поведения в киберпространстве перед кибератакой

Перспективы передовых производственных технологий, также известных как «умные фабрики» или «Индустрия 4.0», заключаются в том, что, объединив наши машины, компьютеры, датчики и системы в сеть, мы (среди прочего) обеспечим автоматизацию, повысим безопасность и, в конечном итоге, станем более продуктивными и эффективными. И нет никаких сомнений в том, что производство уже выиграло от этой трансформации.

Подключение всех этих датчиков и устройств к нашим промышленным системам управления (ICS), а также рост удаленной работы и мониторинга приводит к тому, что производственные сети становятся более уязвимыми для кибератак. Это становится все более сложной задачей, поскольку производители решают, как принять стандарты коммерческих информационных технологий (ИТ), совместимые со стандартами их операционных технологий (ОТ).

Новые возможности на основе стандартов помогут производителям

Национальный центр передового опыта в области кибербезопасности (NCCoE) NIST недавно выпустил отчет, в котором продемонстрирован набор возможностей обнаружения поведенческих аномалий (BAD) для поддержки кибербезопасности в производственных организациях. Использование этих возможностей позволяет производителям обнаруживать аномальные условия в своих операционных средах для предотвращения атак вредоносных программ и других угроз целостности критически важных рабочих данных.

Другими словами, производители смогут непрерывно контролировать системы в режиме реального времени или почти в реальном времени на предмет обнаружения компрометации. Разработка основанных на стандартах средств кибербезопасности - важный аспект требований производителей к безопасности.

Как BAD-мониторинг преобразуется в раннее обнаружение киберугроз

Обнаружение поведенческих аномалий включает непрерывный мониторинг систем на предмет необычных событий или тенденций. Монитор ищет в реальном времени доказательства компрометации, а не саму кибератаку. Раннее обнаружение потенциальных инцидентов кибербезопасности является ключом к снижению воздействия этих инцидентов на производителей. Кибер-нарушения обычно обнаруживаются после атаки.

Инструменты BAD реализованы в средах ICS и OT и могут контролироваться с помощью интерфейса управления человеком, который многие производители используют для мониторинга своих операций. Оператор сможет видеть сетевой трафик и получать уведомления о добавлении любого авторизованного или неавторизованного устройства или соединения.

Например, система будет знать, какие коммуникации разрешены с помощью программируемого логического контроллера (ПЛК), поэтому любой новый контакт будет генерировать предупреждение. Точно так же будут отмечены любые ненормальные разговоры между подключенными машинами, изменения в логике человеко-машинного интерфейса (HMI) или другие аномалии.

Решение BAD - это относительно недорогой модульный подход и эффективный способ обнаружения аномалий, однако предупреждения BAD являются пассивными по своей природе и не обязательно требуют корректирующих действий, таких как остановка производственного процесса.

Производители остаются мишенью для кибератак

По данным Министерства внутренней безопасности США, производство было наиболее целевой отраслью для атак на инфраструктуру в 2015 году, а малые и средние производители (SMM) по-прежнему остаются главными целями кибер-атак.

Спрос на кибербезопасность возрастает из-за растущей зависимости производителей от технологий и данных как движущих сил производительности и эффективности. SMM традиционно сталкивались с проблемой решения проблем кибербезопасности по ряду причин:

• Набор производственных технологий включает ИТ (сети и программное обеспечение для бизнеса, такое как электронная почта, финансы и ERP) и OT (операционные технологии, такие как машины и системы управления).
• Cyber ​​конкурирует со многими другими областями с точки зрения финансирования, осведомленности и образования.
• Трудно выделить специальные ресурсы для внутреннего персонала.
• Кибербезопасность не была приоритетом при построении OT, а это означает, что, поскольку ИТ и OT связаны, уязвимости устаревших систем становятся потенциальной бременем для всей сети.

Что дальше от NIST Labs и NCCoE для кибербезопасности

При разработке возможности BAD использовалось 16 тестовых примеров или классификаций. Некоторые из них были простыми предупреждениями о событии, например сбоями пароля и аутентификации, а другие включали некоторый уровень аналитики, например уведомление о неавторизованных установках программного обеспечения и предупреждение об отказе в обслуживании.

Следующий совместный проект NCCoE NIST и инженерной лаборатории «Защита информации и целостности системы в средах промышленных систем управления» использует более комплексный подход к защите от взлома целостности данных. Эти возможности включают:

• Мониторинг инцидентов и событий безопасности;
• Список разрешенных приложений;
• Обнаружение и устранение вредоносных программ;
• Управление изменениями;
• Аутентификация и авторизация пользователей;
• Контроль доступа с минимальными привилегиями; и
• Механизмы проверки целостности файлов.

Девять производителей и интеграторов подписали соглашения о совместных исследованиях и разработках (CRADA) с NCCoE, чтобы помочь в развитии возможностей.

Обратитесь в местный центр MEP для получения совета экспертов по кибербезопасности

Эксперты по кибербезопасности, работающие в производственном секторе, считают образование ключом к внедрению SMM. Все больше SMM смотрят на киберконсультации так же, как они могут искать экспертов в области финансов или страхования.

Если вы не уверены, с чего начать кибербезопасность вашей производственной фирмы, ознакомьтесь с этим инструментом оценки и концепцией кибербезопасности NIST. Вы также можете просмотреть коллекцию ресурсов по кибербезопасности NIST MEP для производителей.

В случае особых потребностей наиболее целесообразный способ найти подходящее руководство - это связаться со специалистом по кибербезопасности в вашем местном центре MEP.