Współczesna infrastruktura przemysłowa jest coraz bardziej skomplikowana i narażona na cyberataki. Systemy monitorujące, sterujące i kontrolujące procesy produkcyjne (OT) oraz przemysłowe systemy sterowania (ICS) są często podłączone do sieci informatycznej. Zarządzający zakładami produkcyjnymi muszą uświadomić sobie, że granica pomiędzy strefą bezpieczną, a niebezpieczną nie przebiega na fizycznym ogrodzeniu oddzielającym zakład od świata zewnętrznego. Tę granicę musimy sami zdefiniować (poprzez odpowiednią widoczność urządzeń, połączeń pomiędzy nimi, a także monitorowanie przesyłanych danych) oraz odpowiednio zabezpieczyć.

Podstawowym dylematem w tym przypadku jest zachowanie równowagi pomiędzy ciągłością działania procesów produkcyjnych, a wykrywaniem i blokowaniem cyberataków. Dlatego budowanie bezpieczeństwa sieci przemysłowej musi być dobrze przemyślanym procesem, opartym na stopniowym wprowadzaniu kolejnych poziomów bezpieczeństwa.

Dobrą praktyką w tym kontekście jest rozpoczęcie od wdrożenia nieinwazyjnych rozwiązań, pasywnie skanujących i monitorujących sieć przemysłową, a zakończenie na implementacji rozwiązań  zarządzających komunikacją oraz dostępem i aktywnie blokujących ataki.

  1. Wiedza
  • Pasywne wykrywanie urządzeń bazujące na monitorowaniu komunikacji pomiędzy systemami sterowania a urządzeniami OT/IoT.
  • Budowanie i wizualizacja sieci połączeń, określenie punktów styku pomiędzy siecią przemysłową i sieciami IT. Identyfikacja systemów bezpośrednio połączonych do Internetu.
  • Wykrywanie urządzeń i sterowników narażonych na znane zagrożenia i wymagających aktualizacji.
  • Ciągłe monitorowanie komunikacji, procesów oraz zmian konfiguracji. Wykorzystanie analizy behawioralnej i uczenia maszynowego w celu wykrycia anomalii i potencjalnych problemów.
  1. Wykrywanie zagrożeń
  • Szczegółowa analiza danych przesyłanych w sieciach przemysłowych i protokołach ICS przez system klasy Network Detection and Response (NDR).
  • Zarządzanie zagrożeniami i ryzykiem dzięki korelacji wielu technik wykrywania ataków: sygnatury, wskaźniki naruszeń bezpieczeństwa (IoC), uczenie maszynowe.
  • Wykrywanie prób naruszeń zabezpieczeń oraz anomalii operacyjnych, dostarczające informacji pozwalających na „utwardzanie” systemów i budowanie reguł bezpieczeństwa.
  • Wykrywanie nieautoryzowanych poleceń sterujących SCADA.
  • Identyfikacja oznak złośliwego i nieautoryzowanego zachowania oraz ataków ukierunkowanych.
  • Wykrywanie niestandardowych prób komunikacji oraz zaniku komunikacji poprzednio aktywnych urządzeń.
  1. Monitorowanie i kontrola dostępu
  • Zarządzanie użytkownikami, hasłami i dostępem do sieci przemysłowych w rozwiązaniach typu Privileged Access Management (PAM)
  • Dokładne rejestrowanie aktywności (zmiany konfiguracyjne, aktualizacje, itp.) podczas zarządzania systemami kontrolującymi procesy produkcyjne i sterownikami urządzeń.
  • Granularna kontrola uprawnień na poziomie dostępu do określonych, systemów, urządzeń i aplikacji.
  • Kontrola i rozliczanie działań firm serwisujących i zewnętrznych użytkowników mających dostęp do sieci produkcyjnej.
  • Blokowanie nieautoryzowanych prób dostępu.
  • Wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników mających dostęp do sieci produkcyjnych.
  1. Blokowanie zagrożeń i zarządzanie dostępem
  • Zastosowanie rozwiązań klasy Next Generation Firewall (NGFW) do blokowania złośliwego oprogramowania i nieautoryzowanej komunikacji w obrębie sieci przemysłowych.
  • Segmentacja – minimalizowanie powierzchni ataku. Oddzielenie od siebie krytycznych zasobów oraz zdefiniowanie reguł dostępu pomiędzy nimi.
  • Blokowanie zagrożeń dzięki wykorzystaniu sztucznej inteligencji oraz sygnatur ataków dedykowanych dla systemów przemysłowych.
  • Automatyczne profilowanie urządzeń przyłączanych do sieci i przydzielanie dostępu do sieci.
  • Stosowanie urządzeń zapewniających odpowiednio bezpieczny dostęp bezprzewodowy.
  • Zastosowanie mechanizmów wirtualnego patch-owania urządzeń OT poprzez wykorzystanie modułów Next Generation Firewall.
  1. Pełna widoczność
  • Pełny wgląd we wszystkie zdarzenia i alerty, pochodzące z sieci produkcyjnych, w centrum zarządzania bezpieczeństwem, Security Operation Center (SOC).
  • Śledzenie i raportowanie incydentów bezpieczeństwa.
  • Możliwość śledzenia całego procesu komunikacji na bazie zgromadzonych danych historycznych (śledzenie ścieżki ataku).
  • Wykorzystanie informacji z systemów Threat Intelligence do wykrywania pierwszych oznak skanowania i prób ataków na sieć produkcyjną.

W portfolio Softinet znajdziesz rozwiązania: Delinea, Fortinet, Greycortex, Nozomi Networks.

Zastanawiasz się nad wdrożeniem w organizacji nieinwazyjnych rozwiązań pasywnie skanujących i monitorujących sieć przemysłową, a zakończyć na implementacji rozwiązań  zarządzających komunikacją oraz dostępem i aktywnie blokujących ataki?

Wypełnij formularz, a nasz zespół specjalistów odpowie na wszystkie Twoje pytania.