Безопасность операционных технологий: повышайте ее или страдайте от последствий

Операционная технология (OT) использует аппаратное и программное обеспечение для мониторинга и управления физическими процессами, устройствами и инфраструктурой. Хотя безопасность информационных технологий и операционных технологий различается по многим параметрам, безопасность ИТ и операционных технологий пересекается и сближается, поскольку все больше цифровых инноваций требуют взаимодействия систем OT с бизнес-системами ИТ.

Это означает, что системы OT, которые традиционно не были бы подключены и оставались бы в автономном режиме, подвергаются другим воздействиям, поскольку теперь OT объединяется с ИТ-сетями. Стратегия многоуровневой защиты может защитить как ИТ-среду, так и среду OT, чтобы сдерживать киберугрозы на раннем этапе.

Атаки на OT разнообразны, и организации борются с атаками, начиная от любителей, преследующих вызов, и заканчивая спонсируемыми хорошо финансируемыми, организованными атаками на государства, а также инсайдерскими атаками, как злонамеренными, так и случайными — со стороны небрежных или недовольных сотрудников.

Защита операционной технологической среды

Видимое различие между безопасностью ИТ и операционной технологии заключается в том, что атака на ИТ, скорее всего, приведет к потере данных. Напротив, в случае OT результат атаки может повлиять на физическую среду, активы и людей. Важно отметить, что в то время как ОТ контролирует оборудование, ИТ контролирует данные. На защиту среды OT нужно смотреть иначе, чем на защиту ИТ-среды, в том числе на то, что необходимо защитить и как это сделать. Безопасность OT сосредоточит меры защиты на физической среде.

Как и в большинстве проектов по обеспечению безопасности, первым шагом является определение исходной позиции для анализа текущего состояния безопасности, рассмотрения пробелов и достижения желаемых результатов путем внедрения соответствующих мер с помощью стратегии. Как правило, первоначальная оценка может включать следующее:

• Сбор информации и процесс исследования для документирования физической среды (людей, архитектуры и технологий).
• Оценка документации, касающейся сетевых конфигураций, топологии и политик организации.
• Интервью с сотрудниками, чтобы выявить упущенные детали, возможно, отсутствующие в документации, чтобы создать более полную картину среды и ее работы.
• Техническая оценка текущего состояния кибербезопасности путем оценки существующих мер безопасности для выявления пробелов в безопасности и других уязвимостей.
• Анализ передовой методологии для оценки потенциальных рисков.
• Оценка риска для оценки уровня риска, связанного с каждой уязвимостью, и установления аппетита к риску путем рассмотрения вероятности атаки, возможного размера ущерба и требуемого восстановления.
• Создание реалистичной дорожной карты для реализации контрмер для устранения угроз и снижения рисков, тем самым улучшая состояние безопасности.

Стратегии безопасности OT для снижения рисков

1. Обучение и повышение осведомленности

Осведомленность о безопасности и образование всегда являются ключевыми областями, и то же самое касается безопасности OT. Общее обучение по вопросам безопасности жизненно важно для информирования пользователей. Что касается обучения по повышению осведомленности об OT, в рамках обучения следует учитывать риск, связанный с операционным аспектом бизнеса. Таким образом, при рассмотрении кибератак и таких аспектов, как фишинг, защита учетных данных и безопасность физических устройств, это следует делать в контексте операций и их потенциального влияния на операции и способность продолжать операции в случае возникновения угрозы..

2. Видимость и обнаружение активов

В условиях совпадения и конвергенции ИТ и ОТ крайне важно обеспечить прозрачность систем и сетей для выявления любого потенциального риска. Очень важно определить активы для определения областей и уровней риска. Инвентаризация активов OT полезна для этого. В средах OT обычно отсутствует видимость; поэтому могут помочь и технологии автоматического обнаружения активов. Подробное документирование операционных систем, встроенного ПО, программного обеспечения, библиотек и взаимодействия активов может помочь лучше понять среду OT. Обнаружив любое устройство в сети (IT/OT), можно установить степень доверия для каждого устройства. Поведение можно отслеживать, чтобы постоянно управлять и контролировать этот уровень доверия и действовать соответствующим образом для защиты среды.

3. Контроль доступа

Что касается OT, подключение имеет важное значение; однако жизненно важно правильно настроить контроль доступа. Крайне важно установить режим контроля доступа для OT, так как в отличие от ИТ-сред, в OT-средах часто отсутствуют протоколы управления идентификацией и доступом того же уровня. Что касается контроля доступа, то те же ограничения безопасности, что и для ИТ, должны быть приняты для ОТ, чтобы уменьшить поверхность атаки и обеспечить столь необходимую доступность. Следует уделить внимание управлению идентификацией и учетными данными, управлению паролями и безопасности, многофакторной аутентификации, тому, как используется и управляется удаленный доступ, тем самым гарантируя, что нужные люди имеют соответствующий назначенный доступ.

4. Сегментация сетей

Сегментация сетей обеспечивает средства для разделения и контроля. Делая это осторожно, угрозы могут быть легко обнаружены, а уровень разделения может повысить степень защиты за счет предотвращения распространения. Чтобы добиться этого эффективно, важно понимать, как все системы соединяются и взаимодействуют. Ключевым моментом является контроль над управлением этими взаимодействиями, поэтому в сети можно установить элементы управления для надлежащей защиты каждой зоны, если что-то изменится.

5. Непрерывный мониторинг и управление инцидентами

Опять же, видимость является фундаментальной частью своевременного и эффективного выявления угроз и управления инцидентами. Важно понимать, на что вы смотрите (активы в среде), где они находятся в области действия сети, как они взаимодействуют с другими активами и риск уязвимостей. Анализ поведения в сетях OT, особенно когда он непрерывный, может помочь получить информацию об этих аспектах и выявить потенциальные угрозы. Как только это будет замечено, определение ролей и обязанностей в отношении того, кто будет осуществлять мониторинг, для чего и как будет сообщаться об инциденте и реагировать на него в случае обнаружения, является ключевым. Все сводится к эффективной координации и быстрым действиям. Таким образом, знать и придерживаться плана очень важно. Важно отметить, что мониторинг и поиск угроз наиболее эффективны, если они осуществляются в режиме реального времени. Если все сделано правильно, информация о безопасности OT может быть получена посредством анализа использования и поведения устройства, а оценка угроз может обеспечить непрерывную защиту.

6. Управление исправлениями

Исправление программного обеспечения OT может быть более сложным, чем для программного обеспечения ИТ; однако поддержание программного обеспечения в среде OT с исправлениями и в актуальном состоянии не менее важно. Инвентаризация активов для среды OT пригодится и немного облегчит процесс. Устаревшие системы также могут обеспечить дополнительный уровень сложности. Кроме того, ограниченное время, когда может произойти установка исправлений, поскольку важно подключение и доступность систем. Если для уязвимости не существует исправления, может потребоваться использование других уровней защиты, описанных в пунктах выше, для ограничения риска.

Политики безопасности должны охватывать безопасность операционных технологий.

Крайне важно расширить политики безопасности, чтобы охватить OT и рассмотреть, где OT и ИТ перехватывают, чтобы закрыть все потенциальные пробелы в безопасности, особенно по мере сближения OT и ИТ. OT в случае взлома может повлиять на физическую среду, что, в зависимости от вовлеченных систем, может привести к компрометации критически важных служб с ужасными последствиями.

Точно так же по мере того, как ИТ-системы становятся более связанными, а риск воздействия и уязвимостей увеличивается, с увеличением возможностей подключения OT-систем уровни подверженности кибератакам также увеличиваются. Достижение надлежащей видимости и контроля над этими физическими системами, а также установление соответствующих политик безопасности имеют важное значение. Следовательно, включение стратегии безопасности OT для защиты среды OT должно быть жизненно важным для любой стратегии безопасности.