Проектирани да защитават критична промишлена инфраструктура
По материали на HMS Networks
1. Предизвикателства пред сигурността на индустриалните мрежи
OT (Operational technology) не е просто друга версия на IT.
Терминът Operational technology (OT) обхваща хардуера и софтуера, с помощта на които се контролират (наблюдават и управляват) промишлени съоръжения, процеси и операции. Терминът спомага за диференцирането във функционално и технологично отношение на индустриалните системи за управление от традиционните системи за информационни технологии (ИТ).
Според Световния икономически форум (WEF) производственият сектор се превръща в основна цел за кибератаки, причиняващи значителни престои и технологични нарушения. Това налага да се разработят по-ефективни решения за защита срещу киберзаплахи и минимизиране на въздействието им върху технологичните съоръжения и критични инфраструктури. С появата на нови регулации като NIS2 и стандарти като ISA/IEC 62443 се увеличават изискванията към промишлените предприятия за подобряване на мерките за мрежова сигурност и защита на критичните устройства.
Качеството на ОТ мрежите, които за разлика от IT традиционно са проектирани да бъдат много по-отворени, е по-критично. Машините могат да бъдат атакувани от всички страни - заплахи могат да проникнат чрез IT през системите за контрол и наблюдение; посредством отдалечен достъп до цеха или при посещение на външно лице, свързващо се към мрежата. При несегментирани мрежи заплахата може да се разпространи бързо, заразявайки цялото предприятие и причинявайки като резултат значителни престои.
Обикновено като препоръчителна архитектура за стратегия за защита в дълбочина се посочва моделът Purdue – за да се държат ИТ системите далеч от OT. Но той често е не само лошо приложен, а и води до отворени нива, уязвимост и възможност заразените машини бързо да разпространяват заплахите към други машини и системи в завода. Вместо да бъде ограничен, проблемът става по-голям, а възстановяването – по-дълго и по-скъпо.
2. Управление на зоните на мрежова уязвимост
В индустриалните мрежи уязвимостите са при всяка връзка. Тези т.нар. критични зони трябва да са защитени срещу кибератаки. Киберпрестъпниците сондират защитните стени и използват незащитените услуги. Демилитаризирана зона (DMZ) действа като буфер между външните и вътрешните мрежи, хоствайки публично достъпни услуги, но също така създавайки рискове. В рамките на вътрешната мрежа служителите и посетителите влияят на сигурността.
3. Често срещана архитектура - Модел Purdue
4. Решения за сигурност на индустриални мрежи
Продуктите на Anybus са най-широко използваните в света за индустриална мрежова свързаност. Устройствата на Anybus осъществяват комуникация между машини и сегментни мрежи, дават подобрен контрол и гарантират, че индустриалните мрежи са защитени и оптимизирани за непрекъсната работа.
| Прилагане на мрежова сигурност | Основи на решението | |
|
1. Разделяне на OT/IT: Налагане на строги политики за разделяне на оперативната област от IT областта, със стратегия за защита в дълбочина и свързаност с до 10 Gigabit Ethernet. 2. Избягване на конфликти с адреси: Ефективно управление на IP адреси чрез прилагане на Network Address Translation (NAT) и сценарии за маршрутизация. Добавяне на филтри за контрол на трафика, който може да премине. 3. Дълбока инспекция на пакети (DPI): Осигуряване на сигурност на индустриалните протоколи посредством дълбока инспекция и контрол на достъпа, с възможност за позволяване на определени транзакции и спиране на други. Например, позволява се препрограмиране на PLC само между 06:00 и 08:00, но не и по време на работа. 4. Съответствие с IEC 62443: Установяване на зони за сигурност и изолиращи „тръби“ според индустриалните стандарти за прецизна изолация на машини и намаляване на въздействието при пробив чрез спиране на двупосочното движение. 5. Сигурна OT връзка между заводи: Установяване на криптирани връзки между съоръженията с използване на WireGuard®, OpenSSL и IPsec Virtual Private Network (VPN) протоколи. Използване на редундантен WAN и подобрени функции за маршрутизация. Централно контролиране чрез конзола за киберсигурност. |
1. Централно управление: Мрежовото решение за сигурност на Anybus идва с конзола за централизирано управление, осигуряваща достъп за управление на състоянието на сигурността и централизиран преглед на информацията. 2. Наблюдение на мрежата и активите: В Defender устройствата на Anybus са вградени функции за откриване и инвентаризация на активи, позволяващи детайлна видимост на това, какво е свързано към дадената мрежа и съставянето на съответни политики за сигурност. 3. Диагностика и откриване на заплахи: Откриване на всички аномалии, причиняващи престои, проблеми със сигурността и неизправности. Възможност за проактивно сканиране на конфигурациите за сигурност на активите. |
|
Продуктите на Anybus за индустриална мрежова свързаността са най-широко използваните такива в света.
Устройствата Anybus позволяват комуникация между машини и сегментирани мрежи, като по този начин
осигуряват подобрен контрол и гаранция, че индустриалните мрежи остават защитени и оптимизирани за непрекъсната работа.
Казус 1: Обикновен NAT и защита
| PLC устройства с еднакъв IP адрес не могат да бъдат в една и съща мрежа. Anybus Defender Compactизвършва Network Address Translation, за да представи виртуално всяко PLC в обща мрежа, така че да е достъпно от други системи като SCADA или HMI. |  |
Казус 2: Обикновен NAT и защита
На голям завод с развита система за индустриална автоматизация е препоръчано да раздели своите машини и линии в отделни зони, посредством защитни стени и гейтуеи между тях като изолиращи "тръби", съгласно модела ISA 62443 за намаляване степента на заплаха, съответно риска и въздействието от такава. Посоката Север/Юг се контролира от индустриални защитни стени, които инспектират и контролират целия трафик. В посока Изток/Запад посредством гейтуеи се позволява пренос само на информация по индустриални протоколи, блокирайки всяка друга IP комуникация между зоните.
Означения:
1. Корпоративна интернет защитна стена.
2. OT/IT разделителна защитна стена с високоскоростни интерфейси до 10 Gbit/s. Различна марка от корпоративната защитна стена като най-добра практика според стратегията Defense in Depth.
3. Защитна стена на демилитаризираната зона, защитаваща зоната за OT контрол на супервайзерско ниво, като същевременно гарантира възможности за трансфер на данни към IT.
4. Централна конзола за киберсигурност, позволяваща централизиран надзор на всички Defender устройства, групово управление на архиви и политики за контрол.
5. Защита на уязвими системи посредством стратегия за виртуално пачване/ коригиране и DPI.
6. Индустриална защитна стена като изолираща "тръба", разделяща активите в зони според модела за най-добри практики в ISA/IEC 62443.
7. Диагностика и наблюдение на сигурността, позволяващи проактивни действия срещу заплахи и неизправности.
8. Индустриална защитна стена - DPI гейтуей, позволяващ скрининг навътре в транзакциите по индустриални протоколи.
9. Гейтуей като куплунг, свързващ зоните сигурно и без риск от пренос на друг трафик.
Казус 3: Пречистване на води
В разпределени системи, каквито са съоръженията за пречистване на води, отделните обекти трябва да са защитени срещу външни нарушители. Освен това трябва да има сигурна свързаност с централния контролен център. В Anybus Defender е интегрирана функционалност OT-SDWAN (софтуерно дефинирана WAN) за по-лесно изпълнение на тези изисквания, с помощта на модерни VPN технологии като WireGuard© и централно управление от Anybus Cybersecurity Console.
Казус 4: Малко/Средно производство
Малка фабрика, използваща Software Defined Networking технология за изолиране на всеки актив индивидуално на ниво 2-ри слой (OSI). Централизираният OT мрежови контролер управлява списъците за достъп за всеки порт на OpenFlow съвместими суичове и получава непрекъснато информация за потоците, присъстващи в мрежата.
Гама продукти за мрежова сигурност на Anybus Defender
Anybus Defender са гама от устройства за индустриална мрежова сигурност, позволяващи:
• Оптимизирана сегментация съгласно насоките на NIS2 за стабилна мрежова сегментация.
• Съответствие с IEC 62443: установяване на зони и изолационни "тръби" за прецизна изолация на машините.
• Контрол на достъпа: използване на дълбока инспекция на пакети (DPI) за детайлен контрол на индустриалните протоколи.
• Сигурна свързаност между заводи: осигуряване на сигурни OT връзки с опростена VPN технология.
• Гама от модели с DIN шина и възможност за монтаж в 19" табло, свързаност до 10 Gig Ethernet.
Anybus Cybersecurity конзола
• Приложение за централизирано управление за Anybus Defender.
• Лесен за използване модерен потребителски уеб интерфейс.
• Наблюдение на оперативните и защитни статуси на мрежата.
• Приемственост за съществуващи конфигурации и централизирано управление на архивиране.
• Съхранява фърмуер и разширителни пакети, и централизирана лицензна информация.
 |
 |
|
|
Anybus Defender Compact |
Микро-сегментация за подобряване на сигурността | |
| Компактна индустриална защитна стена за защита срещу атаки чрез сегментиране на производствената мрежа на управляеми и логически разделени секции. Поддържани режими на работа: Bridge, Network Address Translation (NAT). PLC-подобен конфигурационен графичен потребителски интерфейс, удобен за производители на машини. | Anybus OT Network Controller революционизира управлението на Zero-Trust мрежите със своята специално разработена Software Defined Networking технология (SDN), създадена за оперативни и критични среди. Безпроблемно интегриране с всеки OpenFlow суич на 2-ри слой. Централизирано управление и несравнима видимост и контрол над мрежовия трафик, стриктно регулиране на разрешените устройства и трафик, укрепване на мрежата срещу потенциални заплахи. | |
 |
 |
|
| Anybus комуникатори за сигурна изолация | Диагностика за наблюдение на сигурността и проактивна информираност | |
| Комуникаторите на Anybus осигуряват връзки с висока сигурност между машините, посредством рационализирани изолиращи „тръби“. Предават данни изключително от индустриални протоколи, без да позволяват преминаване на IP пакети. Функционалност за ограничаване на достъпа физически, с цел спокойствие и непрекъснатост на комуникацията в посока изток-запад през зоните за сигурност. | Anybus Diagnostics предлага цялостна видимост на индустриалните устройства, тяхното поведение и качество на мрежата. Проверява статуса на сигурността и устройствата да нямат ненужно отворени портове и точки за достъп. Моментално известяване при промени в устройствата или необичайни модели на трафик. Прогнозен анализ за предвиждане на потенциални влошавания на качеството, предотвратяване на скъпи непланирани престои. |
Още за гамата Anybus Defender на HMS Network