П’ять найкращих практик промислової кібербезпеки: усунення розриву між ІТ та ОТ

Етай Маор є старшим директором відділу стратегії безпеки Cato Networks, розробника передових хмарних технологій кібербезпеки.

Гетті

Захист оперативних технологічних систем (OT) міг бути простішим у той час, коли традиційні заходи «безпеки через невідомість», такі як повітряні розриви та встановлення промислових демілітаризованих зон (DMZ), ще були актуальними. Але розвиток промислового Інтернету речей (IoT) повністю змінив це. Сьогодні мережі OT стають все більш залежними від підключення до Інтернету та доступу до хмари.

Наприклад, камери Інтернет-протоколу (IP), які контролюють критичні системи OT, повинні синхронізувати дані, які вони збирають, із хмарою. Ізоляція мереж OT сьогодні зробить дані недоступними та затримає оновлення системи та виправлення безпеки. Ще одна проблема з повітряними проміжками полягає в тому, що опинившись усередині, суб’єкти загрози можуть вільно переміщатися мережею, якщо немає інших, більш надійних механізмів безпеки. На сьогоднішній день промислова технологічна еволюція значно випереджає кібербезпеку промислових мереж.

Оскільки ІТ та ОТ стають необоротно взаємопов’язаними завдяки індустріальному Інтернету речей (IIoT), розрив між традиційним підходом до безпеки ОТ та загрозами нових інформаційних технологій (ІТ) робить критично важливі системи вразливими. Минулі події, такі як атака програм-вимагачів Colonial Pipeline і атака на очистку води в Олдсмарі, штат Флорида, призвели до прогнозів аналітиків Gartner, що до 2025 року OT-середовища (та інші кіберфізичні системи) будуть використані для шкоди або навіть убивства людей.

Ось п’ять найкращих практик для подолання розриву ІТ/ОТ, щоб допомогти зміцнити промислові методи кібербезпеки.

1. Встановіть спільну мову між командами IT, SecOps і OT.

Надто часто команди OT та IT-безпеки працюють ізольовано, зосереджуючись на своїх власних ізольованих цілях. OT зосереджується на надійності та доступності для забезпечення безперервності виробництва. Команди з кібербезпеки, з іншого боку, зосереджуються на конфіденційності інформації та цілісності даних. Незважаючи на цей очевидний конфлікт, відокремлені команди все ще можуть знайти спільну мову в прагненні максимізувати час безвідмовної роботи та зменшити ризики, щоб організація зберегла прибутковий результат.

Встановлення спільних цілей є першим кроком до прийняття спільного підходу до кібербезпеки. Наступним кроком є переконання, що кожна команда розуміє операції, обмеження та очікування іншої. Персонал OT повинен розуміти кіберризики та важливість кібергігієни. Таким чином вони можуть уникати звичайних атак, яких можна уникнути, таких як атака Oldsmar на основі протоколу віддаленого робочого столу (RDP), що значно полегшує роботу команд з кібербезпеки.

Наприклад, атаку Oldsmar можна було б запобігти, якби ІТ, усвідомлюючи наслідки потенційного ІТ-диверсії, працювали разом із командою OT, щоб розробити контейнер, який просто не міг би вмістити шкідливу кількість лугу.

2. Створіть міжфункціональну команду.

Навіть маючи краще розуміння перспективи OT, команди з кібербезпеки зазвичай не вміють запроваджувати безпеку за проектом для машин OT і кіберфізичних систем, оскільки їм зазвичай бракує досвіду та розуміння інженерів OT. З цієї причини CISO, які приєднуються до організацій OT, повинні стратегічно думати про те, кого включити до своєї команди безпеки. Лікарня CISO? Краще запросіть лікаря та експерта з медичного обладнання. Їм може знадобитися експерт з техніки, який приєднається до їх групи реагування на інциденти, щоб розробити та запровадити додаткові зупинки, як у гіпотетичному прикладі імпровізованого дозатора лугу, щоб пом’якшити кіберінциденти навколо критичних слабких місць.

3. Об’єднайте кожну команду навколо спільної системи кібербезпеки.

Щоб забезпечити безперебійну співпрацю, встановлення спільної мови є таким же важливим, як пошук спільних мотивацій і цілей. Організації повинні встановити загальноорганізаційні стандарти або прийняти перевірену структуру кібербезпеки, таку як ISO 27001 або NIST Cybersecurity Framework, щоб підтримувати всі команди на одній сторінці щодо ролей і завдань одна одної.

Наприклад, виправлення систем OT набагато складніше, ніж ІТ-систем, через чутливість операцій, складні ланцюжки поставок і потреби в ретельному тестуванні. Структура кібербезпеки допоможе гарантувати, що заходи безпеки ІТ також враховують унікальні та напружені потреби старіючої технології OT.

4. Запровадити політику нульової довіри та детальний контроль доступу.

Системи з повітряним зазором історично надавали відкритий доступ і дозволяли авторизованим користувачам вільно переміщатися вбік. Це одна з головних причин, чому глобальна кіберзброя Stuxnet може непомітно працювати в дуже чутливому середовищі атомної станції. Сучасні OT-середовища більше не є ізольованими й залежать від хмари, а також програм віддаленого адміністрування, таких як обчислення віртуальної мережі (VNC) і RDP, таким чином збільшуючи поверхню атаки.

Промислові організації повинні прийняти архітектуру нульової довіри — ключовий компонент служби безпечного доступу (SASE), щоб обмежити доступ до даних, додатків, мереж і систем на основі суворої необхідності доступу. Технології нульової довіри також використовують інші механізми, такі як найновіша інформація про загрози, аналітика поведінки та евристика, для інтелектуального контролю доступу навіть для автентифікованих і авторизованих користувачів. Правильно реалізована політика нульової довіри може успішно пом’якшити вразливість, спричинену прогалиною в кіберпильності OT.

5. Увімкніть видимість із однієї панелі скла та керування політикою.

Командам безпеки потрібен централізований перегляд і контроль ІТ-мережі організації, а також мережі процесів IoT/OT. Централізована платформа моніторингу та керування може дозволити командам безпеки переглядати весь ланцюжок кіберзнищення та негайно впроваджувати необхідні елементи керування та конфігурації політики на сайтах ІТ та ОТ. Це одна з ключових проблем, з якою SASE прагне боротися, об’єднуючи мережеві служби та служби безпеки в рамках єдиної оркестровальної платформи, яка забезпечує цілісне уявлення про всіх користувачів, IT/IoT-пристрої та межі в централізованих і віддалених місцях.

Під час інтеграції сповіщень OT в інструменти ІТ-безпеки та платформи керування важливо використовувати алгоритми штучного інтелекту та своєчасну ситуаційну обізнаність, щоб запобігти помилковим спрацьовуванням і втомі сповіщень, які можуть мінімізувати продуктивність, призупинити роботу та стримати персонал OT.

Тільки в грудні 2022 року Агентство з кібербезпеки та безпеки інфраструктури США (CISA) опублікувало понад 50 рекомендацій щодо систем промислового контролю (ICS). З такою кількістю проблем безпеки, вразливостей і експлойтів, що оточують ICS, захист OT середовищ без переривання виробництва є викликом. Однак головне — усунути організаційну відокремленість між ІТ і ОТ і забезпечити уніфіковану видимість і єдине керування, щоб усі команди мали цілісне уявлення про мережеве середовище ІТ і ОТ.

Після того, як ІТ та ОТ взаємно зрозуміють перспективи та проблеми один одного, вони зможуть спільно працювати над досягненням спільних цілей — організаційної безпеки та безперервності бізнесу.

Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?