Med det stigende antal brud på cybersikkerheden i OT-systemer, er det kun naturligt at virksomhedsejere og -ansvarlige nu fokuserer mere på at finde løsninger, der forbedrer den industrielle cybersikkerhed og kan give virksomhederne mulighed for at fortsætte med at fungere normalt.
Derfor vil vi i denne artikel se på, hvilke muligheder virksomhederne har for at udnytte deres eksisterende netværksinfrastruktur og -investeringer til at bygge den første forsvarslinje i deres netværk.
Senere i artiklen vil vi diskutere fordelene ved at industrielle systemer beskytter og forebygger fjendtlig indtrængen i OT-systemer.
Forretningsmodeller har i stigende grad fokus på at forbedre effektiviteten i driften. For eksempel indsamler SCADA-netværk, der er installeret langs olierørledninger, nu olie-outputdata, som er afgørende for fakturerings- og prissystemer. Denne stigende dataindsamling giver olievirksomheder mulighed for mere præcist at forudsige både olieproduktionen og de forventede indtægter.
Men disse sammenkoblinger af systemer ikke kun giver fordele. En ulempe er at sandsynligheden for cybersikkerhedstrusler i OT-systemerne stiger markant. Det er derfor avisoverskrifter og artikler ofte beskriver, hvordan kompromittering af it-systemer kan have en enorm negativ indvirkning på OT systemerne. Det, der yderligere forværrer problemet er, at sværhedsgraden i ransomware-angreb er stigende.
Sikkerhedsgrænser
Hvad er sikkerhedsgrænse-konceptet?
Når du vil forbedre cybersikkerheden, er det vigtigt at forstå, hvordan dine industrielle systemer udveksler data med forskellige systemer og hvordan de taler sammen med systemer på IT-niveau.
Når data krydser forskellige systemer, bør der være grænser på plads mellem hvert system, for at sikre at trafikken – udover at være autentificeret og autoriseret – også har en god ”cyberhygiejne”. Og det kan være både dyrt og udfordrende at bygge grænser mellem hvert system, og det kan gå ud over effektiviteten af netværkskommunikation. Derfor anbefales det at opdele OT-systemer i forskellige digitale celler og zoner, og at finde den rette balance mellem omkostninger og acceptable risikoniveauer i opbygning af grænserne.
Diagram: Opbygning af sikkerhedsgrænser for at beskytte produktionslinjer, så de undgår at påvirke hinanden, hvis der opstår cybersikkerhedsbrud.
Den cybersikkerhedstilgang, som anbefales i IEC 62443, er meget udbredt på tværs af brancher og har vist gode resultater som hjælp til at opbygge flere beskyttelseslag, som samtidig kan opfylde driftskravene. På billedet nedenfor betragtes de kritiske aktiver og operationer som de vigtigste. Da de udfører vitale roller i virksomheden, er det klogt at sikre dem yderligere ved at tilføje flere beskyttelseslag. For at lære mere om forskellige lag af cybersikkerhed, kan du downloade infografikken.
Diagram: Cybersikkerhedstilgangen er baseret på flere lag af sikkerhedsmekanismer, der øger sikkerheden i hele systemet.
Sådan bygger du sikkerhedsgrænser
Netværkssegmentering
- Fysisk layer-segmentering
Det kaldes air gapping, når to netværk er fysisk isolerede. Når driften og sikkerheden af et system skal være uafhængige, er en luftspalte (air gap) en potentiel løsning. Men som tidligere nævnt, bliver det stadig sværere at arrangere netværk på denne måde på grund af forretnings- og driftskrav.
- Datalink/netværk (Layer 2/Layer 3) segmentering
Industrielle kontrolsystemer kan være bygget for længe siden. Derfor er en af de centrale udfordringer, og krav til netværksadministratorer, at udnytte den eksisterende infrastruktur og samtidig sikre at de industrielle kontrolsystemer forbliver sikre. En tilgang, der ofte anvendes, er at adskille trafik mellem forskellige netværkssegmenter ved hjælp af et VLAN (Virtual LAN), som er en af funktionerne i administrerede Ethernet-switches. Nogle Ethernet switches har adgangskontrollister (ACL) på portniveau, hvilket kan forbedre VLAN-sikkerheden, når data kommer ind i switchen. Et alternativ er at implementere firewalls til at beskytte industrielle applikationer og data – specielt når du har brug for det til at håndtere trafik på Layer 2 og Layer 3 netværk.
- Layer 4-7 netværkssegmentering
Yderligere segmentering kan anvendes gennem Deep Packet Inspection (DPI). DPI tilbyder granulær godkendelse af netværkstrafikken, og hjælper dig med at filtrere industrielle protokoller baseret på kravene i applikationen. Når du har flere enheder på samme netværk, har de – teoretisk set – alle mulighed for at kommunikere med hinanden. Der er dog visse scenarier, hvor DPI-teknologi kan hjælpe ingeniører med at definere hvilke controllere der skal udføre læse/skrive-kommandoer eller trafikretningen. Fx hvis controller A kun skal kommunikere med robotarm A på et bestemt tidspunkt.
Mikrosegmentering
Når yderligere beskyttelse af kritiske aktiver er nødvendigt, er det en god ide at mikrosegmentere netværket. Mikrosegmentering er særlig nyttig til industrielle netværk, da det kan adskille netværket i mindre subnet. Denne tilgang er fordelagtig, fordi IPS’ens virtuelle patch-funktion kan mindske risikoen for kendte sårbarheder. Fx kører nogle systemer på Windows XP, hvilket Microsoft ikke længere sikkerhedsopdaterer. Se i denne video, hvordan IPS’ens virtuelle patch fungerer.
Sikker fjernadgang
Ifølge cybersikkerhedseksperter bliver fjernadgang indimellem udnyttet til at sprede malware eller udføre uautoriseret aktivitet. I takt med at fjernadgang er blevet mere og mere udbredt pga. krav til øget driftseffektivitet og behovet for at udføre fejlfinding hurtigt, er det naturligt, at der er stigende fokus på at bygge sikkerhedsgrænser mellem lokationer (fields sites). Fremfor at bruge software til at bygge fjernforbindelserne, hvilket nemt kan føre til sårbarheder på længere sigt, anbefales det stærkt at bygge VPN-tunneler og sikre at adgangskontrol-mekanismerne vedligeholdes korrekt.
Typiske scenarier
- Fremstilling
Sammenkoblede fabriksnetværk har brug for korrekt netværkssegmentering for at styrke den industrielle netværkssikkerhed. Desuden er netværksredundans også påkrævet for at sikre tilgængeligheden af det industrielle kontrolsystem.
- Sikker substationsovervågning
Et elnet, der dækker et stort område, har brug for IEC 61850-certificerede VPN-løsninger til at overvåge de intelligente elektroniske enheder (IED’er) på hver fjern-substation.
Da virksomhedsejere ikke længere blot kan nyde fordelene og sikkerheden ved helt trådløse netværk, er det nødvendigt for virksomhedsejere og ingeniører at forbedre sikkerhedsgrænserne via forskellige metoder som; netværkssegmentering, mikrosegmentering og sikker fjernadgang.
Hver af disse metoder opfylder forskellige netværkskrav og hjælper med at forbedre cybersikkerheden, ikke kun ved at danne perimeterbeskyttelse, men også ved at lukke bagdøre for uønskede besøg.
Moxas nye EDR-G9010-serie er en ”alt-i-en” firewall/NAT/VPN/switch/router, der forbedrer cybersikkerheden, og samtidig tillader virksomhedsejere at udvide den eksisterende netværksinfrastruktur med nogle fremtidssikrede investeringer. Du kan læse mere om disse sikre routere på produktsiden.
Fri oversættelse af Moxas artikel til dansk.
