Сегодня почти никакая дискуссия по какой-либо теме долго не продолжается без того, чтобы каким-либо образом не поднять тему пандемии. Эта повестка сегодня во многих отношениях доминирует во всей нашей жизни. Конечно, жизнь продолжится, но несколько иначе. Компаниям пришлось пересмотреть свои бизнес-модели и адаптироваться к тому факту, что в ближайшем будущем в офисе будет работать меньше людей, многие продолжат свою деятельность удаленно. Эта ситуация оказала давление на ИТ-отделы, в том числе вызвала новые проблемы в безопасности. Влияние на обеспечение безопасности операционных технологий (OT) также было огромным.

Например, из-за локдауна, многие производственные линии были вынуждены замедлиться или полностью остановиться, поскольку сотрудники не могут прийти на завод. Но в отличие от ИТ-среды, где изменение программного процесса или выключение устройства относительно просто и может быть выполнено удаленно, реальность OT означает, что не так просто остановить химический процесс или сборочную линию. Некоторые системы, такие как доменная печь или массивный отопительный котел, предназначены для непрерывной работы, поэтому их полное отключение практически невозможно. Во многих случаях основная команда операторов должна быть на месте, чтобы управлять заводом или технологическим процессом, просто чтобы уберечь оборудование от поломки. Во многих других случаях операторы пытаются управлять вещами удаленно, даже если системы для этого не предназначены.

Один из самых важных уроков, которые нам преподал COVID-19, заключается в том, что радикальные изменения могут произойти в любой момент. Даже если мы не можем предвидеть, какие радикальные изменения могут поразить нас, мы должны понимать, что они вероятны, или, как отмечают некоторые CISO, действовать так, как если бы вас уже взломали. Это означает, что нам нужно лучше предвидеть изменения и быть к ним готовыми, и для этого нужно ничего не принимать как должное.

ОТ — это цель для атаки. В самом деле.

Исторически, процессы OT выполнялись по немаршрутизируемым протоколам. Это делало безопасность более или менее простым вопросом физической защиты. Отделение сети OT от всей остальной системы — так называемый воздушный зазор — позволяло операционным группам игнорировать основные проблемы кибербезопасности, с которыми сталкиваются центры обработки данных и бизнес-сети. В результате для многих организаций кибербезопасность производственной среды была второстепенной задачей или даже игнорировалась.

Один менеджер по эксплуатации недавно спросил меня: «Мы каждый день делаем резервные копии всех наших производственных данных и конфигураций; зачем инвестировать в кибербезопасность? Если на нас нападут, мы можем снова начать со вчерашними данными». Мне потребовалось всего несколько минут, чтобы изменить его мнение, когда я упомянул новую разновидность программ-вымогателей. Я спросил: «Известно ли вам о вредоносных программах для OT, таких как EKANS? Или об эксплойтах, которые подделывают консоль HMI, заставляя оператора думать, что все в порядке, хотя на самом деле машины выходят из-под контроля?» Он был удивлен осознанием того, что кибератаки могут привести не только к производственным проблемам, но и к потенциальному повреждению оборудования, угрозе безопасности персонала и даже к угрозе окружающей среде.

Прощай, «воздушный зазор». С тобой было приятно иметь дело

За последнее десятилетие или около того все больше и больше систем ОТ переходят на стандартный Ethernet с использованием IP-протоколов. Но меняются не только протоколы. Воздушный зазор исчез, поскольку промышленные сети сходятся с ИТ-сетью. На протяжении почти трех десятилетий одной из основных архитектур для производства и автоматизации производства была модель Purdue, которая делит функциональные аспекты процесса на зоны. Зона управления процессом определяется датчиками, исполнительными механизмами и соответствующими приборами, реализующими процесс. Зона операций и контроля описывает управление этим процессом и несколькими процессами на сайте. Модель Purdue очень иерархична, поэтому каждая зона управления процессами имеет только одну точку связи с контролирующей зоной операций и управления. В свою очередь, зона «Операции и контроль» имеет единую точку подключения к корпоративной ИТ-среде, называемую зоной предприятия. Это соединение обычно представляет собой «демилитаризованную зону» с межсетевым экраном для разделения. Долгое время такого уровня безопасности казалось достаточно.

Тем не менее, сети ИТ и ОТ в настоящее время неизбежно сближаются, поскольку между ними проходит все больший объем информации. Датчики и программируемые логические контроллеры (ПЛК) быстро распространяются в производственной среде, и многие из них имеют возможность беспроводного подключения. Беспроводные и проводные локальные сети используются офисными работниками и производственным оборудованием. Сети OT и IT все еще могут быть разделены логически, но физически они больше не разделены. Кроме того, множество датчиков OT генерируют поток данных, который должны анализировать приложения в зоне Enterprise. Информация и инструкции текут и в другом направлении. И где потоки данных, также могут быть угрозы.

Это не означает, что модель Purdue больше не актуальна. Однако это означает, что мы должны переосмыслить меры защиты, которые мы устанавливаем внутри и между зонами ОТ. Например, хотя брандмауэр сегментации для каждой зоны управления процессами похож на запертую входную дверь в доме, он не блокирует решительного вора, особенно если окна и задняя дверь остаются открытыми.

Новые инструменты

Многие из необходимых инструментов для защиты нашей OT-среды уже доступны. Fortinet разработала широкий спектр решений для кибербезопасности, которые идеально подходят для сред операционных технологий. И все они интегрированы в Fortinet Security Fabric, обеспечивая широкую видимость и контроль для защиты ИТ-сетей и сетей OT.

И последнее, что касается кибербезопасности для сетей OT: не существует единого решения, чтобы избавиться от всех угроз. Защита вашей среды, скорее всего, будет связана с участием нескольких поставщиков, предоставляющих различные типы оборудования: саму систему ICS, инструменты для наблюдения за узкоспециализированными устройствами OT и ПЛК, зондами и анализаторами. И ни один поставщик не может сделать все; поэтому убедитесь, что выбранные вами поставщики умеют хорошо взаимодействовать друг с другом.

Решения Fortinet включают в себя большое количество открытых API-интерфейсов и коннекторов, которые позволяют им взаимодействовать с решениями многих других поставщиков. Сюда входят производители альянса технологий ОТ, поставщики систем управления и интеграторы систем ОТ. Полный список смотрите в Fortinet Ecosystem Directory.

Ковид предупреждает: мы все должны начать представлять себе невообразимое. Когда дело доходит до защиты нашей производственной среды, настало время усилить кибербезопасность операционных технологий.