Kaj to je in kako jih lahko hitro odkrijemo, je razkril Žiga Špiček v predavanju na konferenci Infosek 2019. Ključne poudarke si lahko preberete v nadaljevanju.

 

Ko govorimo o varnosti, ne moremo več govoriti le o varnosti v IT okoljih (informacijskih tehnologijah), ampak vse bolj upoštevati tudi zagotavljanje varnosti v OT okoljih (operativni tehnologiji oz. nadzorovanju operativnih procesov v industrijskih okoljih, zdravstvu, energetiki, kritični infrastrukturi idr.). Za povečanje učinkovitosti je nujno, da pri zagotavljanju varnosti sprejmemo celosten pogled na svoje okolje – združeno IT in OT okolje.

 

 

Ključna prednost pri tem je popoln pregled nad napadalci, vključno s potekom oz. napredovanjem napada. Kar omogoča hitro in pravilno ukrepanje.

 

In če se o varnosti v IT okoljih veliko govori in lahko rečemo, da precej dobro poznamo mehanizme zaščite, pa za varnost v OT okoljih ni tako. Kar ni nič nenavadnega, saj je potreba po združenem pogledu na varnost nastajala vzporedno z uvajanjem avtomatizacije in digitalizacijo procesov in sodobnim načinom, kako zaposleni delamo (BYOD, dostop do virov od kjerkoli). Vse to je privedlo do povezovanja industrijskih sistemov v poslovna okolja, kar pa istočasno prinaša nova varnostna tveganja. Zaradi številnih prednosti se je drastično povečalo tudi število IT in IoT naprav v OT okoljih. Vse našteto je prispevalo k temu, da je to področje postalo zelo privlačno za hekerje, ker jim omogoča številne nove možnosti za uspešen napad. Takšne hekerske napade smo poimenovali – napadi nove generacije – NGINCIDENT.

 

Zaščita pred tovrstnimi kibernetskimi napadi zato ni mogoča brez popolnega vpogleda v IT in OT okolje in njihove elemente (vozlišča in protokole) v realnem času, brez natančnega pregleda nad varnostnimi grožnjami in tveganji kot tudi sistemskimi anomalijami.

 

Varnost v industrijskih okoljih ni enaka varnosti v IT okoljih

Po naravi sta pa ti dve okolji popolnima različni. Medtem ko IT in IoT okolja temeljijo na IP-omrežjih in so izpostavljena vsem mogočim napadom, so industrijska okolja (OT okolja) visoko specializirana, uporabljajo namenske naprave, protokole in sisteme vodenja.

Če želimo doseči vidljivost in varnost v OT okoljih, tega ne moremo storiti tako, da kopiramo ali uporabimo orodja in pristope, s katerimi skrbimo za varnost v IT okoljih in obratno. To pa zato, ker imajo industrijska okolja svoje edinstvene, specifične zahteve, ki jih moramo seveda upoštevati.

 

  • Varnost in zanesljivost

V industrijskih okoljih mora omrežje delovati 24/7/365, kjer se izvajajo procesi z visokim varnostnim tveganjem. Motnje v omrežju ali odpoved sistema lahko povzročijo škodo ljudem, opremi ali okolju, kar prinaša negativne ekonomske posledice. V IT okolju zahteve niso tako stroge.

 

  • Protokoli v industrijskih sistemih

V industrijskem okolju uporabljamo protokole, ki so IT svetu nepoznani in prinašajo varnostna tveganja. Dejanski nivo ogroženosti lahko ugotovimo s poglobljeno analizo ter z uporabo specializiranih tehnik in pristopov.

 

  • Raznoliki/Raznovrstni in zastareli sistemi

Industrijski sistemi so navadno zelo obsežni, vključujejo različne elemente in so sestavljeni iz več povezanih arhitektur. Sistemi na katere ni mogoče nameščati protivirusne zaščite. Ni posodobitev za operacijske sisteme ali za upravljavsko programsko opremo.  Tudi varnostni popravki v teh okoljih so rizični, saj lahko povzročijo nedelovanje, ponovni zagon ali celo zaustavitev sistema oz. proizvodnje.

 

Strojno učenje in umetna inteligenca za spremljanje in kontrolo elementov v IT in OT omrežju

 

Sedaj imamo idealno priložnost, da v ranljivih IT in OT okoljih v različnih sektorjih, izboljšamo zanesljivost, varnost in operativno učinkovitost. In sicer z uporabo sodobnih rešitev, ki so zasnovane na podlagi podrobnega poznavanja in razumevanja IT in OT omrežij in procesov.

 

So popolnoma varne (ne vplivajo na delovanje samih omrežij in sistemov – pasivno sledenje) in prinašajo popoln pregled nad delovanjem IT in OT okolja in zaznavanje kibernetskih groženj v realnem času.

 

Zakaj investirati v napredno tehnologijo za varnost IT in OT okolij

 

IT rešitve za zagotovitev kibernetske varnosti OT okolja niso ustrezne in seveda velja obratno, saj ne izpolnjujejo specifičnih zahtev, ki se pojavljajo v posameznem omrežju.

 

Vzporedno s tem je zelo pomembno združeno sodelovanje IT in OT ekipe – IT ekipa poseduje znanja s področja varnosti in oblačnih storitev, medtem ko ima OT ekipa več znanja o delovanju procesne infrastrukture in storitev (cyber-physical process). Sodelovanje obeh ekip pa pripore k identificiranju varnostnih slepih peg in zmanjšanju stroškov.

 

Prednosti, ki jih pridobimo z vpeljavo tovrstnih rešitev:

  • Platforma za aktivno spremljanje in varovanje IT in OT sistemov (tako IT kot OT ekipa imata popoln pregled nad OT omrežjem in elementi ter varnostnimi in procesnimi tveganji).
  • Nadzor nad delovanjem omrežja in zaznava groženj v realnem času na način, ki ni škodljiv za izvajanje procesnih sistemov.
  • Takojšnja zaznava obstoječih groženj v IT in OT okoljih ter izboljšanje produktivnosti zaposlenih v IT in OT oddelku.
  • Neopazna integracija z drugo IT infrastrukturo (ticketing, SIEM, orkestracija, stikala, požarne pregrade), ki se uporablja za zbiranje, analizo dnevniških zapisov, prometnih tokov ter odziv nanje…).
  • Enostaven prenos podatkov z obstoječimi aplikacijami.

 

Napredne rešitve z uporabo umetne inteligence in strojnega učenja zagotavljajo popolno vidljivost v IT in OT okoljih. Zgodnje zaznavanje nevarnosti in hitro odzivanje nam omogočata okrepiti varnostno obrambo.

 

Uporaba sodobnih rešitev odpravi slepe točke v IT in OT okoljih, nudi pomoč varnostim analitikom, saj jim avtomatizacija zamudnih varnostnih operativnih nalog sprosti dragoceni čas, da ti lahko opravljajo bolj pomembna dela, kot sta preiskava NGINCIDENTOV in proaktivni lov na napadalce.

 

Če vas skrbi, da so napadalci morebiti že v vašem sistemu, in le čakajo na ugoden trenutek za napad, lahko to preverite skupaj z našo ekipo varnostnih strokovnjakov, ki vam svetuje pri načrtovanju in vpeljavi rešitev za zgodnje odkrivanje napadov nove generacije.