Bezpieczeństwo infrastruktury OT
Produkty
Bezpieczeństwo IT 
Infrastruktura IT i OT 
Usługi IT 
Bezpieczeństwo infrastruktury OT
Ochrona przed zaawansowanymi zagrożeniami wymaga automatyzacji i integracji wszystkich rozwiązań zabezpieczających, ponieważ konsekwencje udanego włamania do infrastruktury krytycznej są poważne. Należy je ograniczyć do minimum zapewniając organizacji odpowiedną architekturę i rozwiązania.
Ataki
Fabryki, elektrownie i inne elementy infrastruktury krytycznej są coraz częściej atakowane przez hakerów. Warto wymienić te najbardziej znane, przeprowadzone w ostatnich latach:
- Stuxnet – atak na irański program nuklearny
- Włamanie do zapory wodnej w Nowym Yorku
- Atak na hutę w Niemczech
- Awaria sieci energetycznej w Ukrainie
- Zablokowanie produkcji w Merck przez ransomware
- Atak i wyłączenie amerykańskiego systemu rurociągów naftowych Colonial Pipeline
Regulacje prawne
- ustawa o krajowym systemie cyberbezpieczeństwa (KSC) – ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności : niezakłóconego świadczenia usług kluczowych i usług cyfrowych. osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
- NIS2 – podmioty kluczowe i ważne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem bezpieczeństwa sieci i systemów informatycznych.
Integracja bezpieczeństwa OT i IT
Zabezpieczenie sieci IT i OT przed zaawansowanymi zagrożeniami wymaga złożonego podejścia. Wszystkie narzędzia chroniące sieci OT i IT powinny być ściśle zintegrowane i móc dzielić się informacjami w czasie rzeczywistym. W przypadku wykrycia zagrożenia umożliwia to automatyczną reakcję wielu rozwiązań bezpieczeństwa w infrastrukturze organizacji.
W kontekście bezpieczeństwa infrastruktury OT, warto skupić się na kilku najważniejszych aspektach:
- Wiedza i widoczność – pasywne wykrywanie urządzeń bazujące na monitorowaniu komunikacji pomiędzy systemami sterowania a urządzeniami OT/IoT. Pełny wgląd we wszystkie zdarzenia i alerty, pochodzące z sieci produkcyjnych, w centrum zarządzania bezpieczeństwem, Security Operation Center (SOC)
- Wykrywanie zagrożeń – szczegółowa analiza danych przesyłanych w sieciach przemysłowych i protokołach ICS. Zarządzanie zagrożeniami i ryzykiem dzięki korelacji wielu technik wykrywania ataków: sygnatury, wskaźniki naruszeń bezpieczeństwa (IoC), uczenie maszynowe
- Monitorowanie i kontrola dostępu – zarządzanie użytkownikami, hasłami i dostępem do sieci przemysłowych, rejestrowanie aktywności (zmiany konfiguracyjne, aktualizacje, itp.) podczas zarządzania systemami kontrolującymi procesy produkcyjne i sterownikami urządzeń, kontrola i rozliczanie działań firm serwisujących i zewnętrznych użytkowników mających dostęp do sieci produkcyjnej
- Śledzenie i raportowanie incydentów bezpieczeństwa – możliwość śledzenia całego procesu komunikacji na bazie zgromadzonych danych historycznych (śledzenie ścieżki ataku)
Odpowiedź na wyzwanie
Ochrona infrastruktury przemysłowej przed cyberatakami. Zachowanie ciągłości działania procesów produkcyjnych.
Pięć kroków do bezpiecznej sieci przemysłowej
Dobrą praktyką w tym kontekście jest rozpoczęcie od wdrożenia nieinwazyjnych rozwiązań, pasywnie skanujących i monitorujących sieć przemysłową, a zakończenie na implementacji rozwiązań zarządzających komunikacją oraz dostępem i aktywnie blokujących ataki.
Wiedza
Pasywne wykrywanie urządzeń bazujące na monitorowaniu komunikacji pomiędzy systemami sterowania a urządzeniami OT/IoT. Budowanie i wizualizacja sieci połączeń, określenie punktów styku pomiędzy siecią przemysłową i sieciami IT.
Wykrywanie zagrożeń
Szczegółowa analiza danych przesyłanych w sieciach przemysłowych i protokołach ICS przez system klasy Network Detection and Response (NDR). Zarządzanie zagrożeniami i ryzykiem dzięki korelacji wielu technik wykrywania ataków: sygnatury, wskaźniki naruszeń bezpieczeństwa (IoC), uczenie maszynowe.
Monitorowanie i kontrola dostępu
Zarządzanie użytkownikami, hasłami i dostępem do sieci przemysłowych w rozwiązaniach typu Privileged Access Management (PAM). Dokładne rejestrowanie aktywności (zmiany konfiguracyjne, aktualizacje, itp.) podczas zarządzania systemami kontrolującymi procesy produkcyjne i sterownikami urządzeń.
Blokowanie zagrożeń i zarządzanie dostępem
Zastosowanie rozwiązań klasy Next Generation Firewall (NGFW) do blokowania złośliwego oprogramowania i nieautoryzowanej komunikacji w obrębie sieci przemysłowych. Segmentacja – minimalizowanie powierzchni ataku. Oddzielenie od siebie krytycznych zasobów oraz zdefiniowanie reguł dostępu pomiędzy nimi.
Pełna widoczność
Pełny wgląd we wszystkie zdarzenia i alerty, pochodzące z sieci produkcyjnych, w centrum zarządzania bezpieczeństwem, Security Operation Center (SOC). Śledzenie i raportowanie incydentów bezpieczeństwa.
