Пять лучших практик промышленной кибербезопасности: ликвидация разрыва между ИТ и ОТ
Этай Маор — старший директор по стратегии безопасности компании Cato Networks, разработчика передовых облачных технологий кибербезопасности.
гетти
Защита систем операционных технологий (OT), возможно, была проще, когда традиционные меры «безопасности за счет неясности», такие как создание воздушных промежутков и создание промышленных демилитаризованных зон (DMZ), все еще были актуальны. Но появление промышленного Интернета вещей (IoT) полностью изменило это положение. Сегодня сети OT все больше зависят от подключения к Интернету и доступа к облаку.
Например, камеры с интернет-протоколом (IP), которые контролируют важные системы OT, должны синхронизировать собираемые ими данные с облаком. Изоляция сетей OT сегодня сделала бы данные недоступными и задержала бы обновления системы и исправления безопасности. Еще одна проблема с воздушным разрывом заключается в том, что, оказавшись внутри, злоумышленники могут свободно перемещаться по сети, если не используются другие, более надежные механизмы безопасности. В нынешнем виде промышленная технологическая эволюция намного опережает кибербезопасность промышленных сетей.
Поскольку ИТ и ОТ необратимо переплетаются благодаря промышленному Интернету вещей (IIoT), разрыв между традиционным подходом к безопасности ОТ и новыми угрозами информационных технологий (ИТ) делает критические системы уязвимыми. Прошлые события, такие как атака программы-вымогателя Colonial Pipeline и атака на очистку воды в Олдсмаре, штат Флорида, заставили аналитиков Gartner предсказать, что к 2025 году среды OT (и другие киберфизические системы) будут вооружены, чтобы причинять вред или даже убивать людей.
Вот пять передовых методов преодоления разрыва между ИТ и ОТ, которые помогут усилить методы промышленной кибербезопасности.
1. Установите точки соприкосновения между ИТ-подразделениями, подразделениями безопасности и ОТ.
Слишком часто группы безопасности ОТ и ИТ работают изолированно, сосредотачиваясь на своих изолированных целях. OT фокусируется на надежности и доступности для обеспечения непрерывности производства. Группы кибербезопасности, с другой стороны, сосредоточены на конфиденциальности информации и целостности данных. Несмотря на этот очевидный конфликт, разрозненные команды все еще могут находить точки соприкосновения в стремлении максимально увеличить время безотказной работы и снизить риски, чтобы организация сохранила свою прибыль.
Постановка общих целей — это первый шаг к принятию совместного подхода к кибербезопасности. Следующий шаг — убедиться, что каждая команда понимает операции, ограничения и ожидания другой команды. Персонал OT должен осознавать киберриски и важность кибергигиены. Таким образом, они могут уклоняться от распространенных атак, которых можно избежать, таких как атака Oldsmar на основе протокола удаленного рабочего стола (RDP), что значительно упрощает работу групп кибербезопасности.
Например, атаку на Oldsmar можно было бы предотвратить, если бы ИТ-специалисты, понимая последствия потенциального саботажа, совместно с командой OT разработали контейнер, который просто не мог бы содержать опасные количества щелочи.
2. Создайте кросс-функциональную команду.
Даже имея лучшее представление о перспективах OT, группы кибербезопасности обычно не умеют внедрять безопасность путем проектирования машин OT и киберфизических систем, поскольку им обычно не хватает опыта и знаний инженеров OT. По этой причине директора по информационной безопасности, присоединяющиеся к организациям OT, должны стратегически подумать о том, кого включить в свою группу безопасности. Больница ЦИСО? Лучше наймите врача и специалиста по медицинскому оборудованию. Им могут понадобиться специалисты по машинному оборудованию, которые присоединятся к ним в составе их группы реагирования на инциденты, чтобы разработать и внедрить дополнительные средства защиты, как в гипотетическом примере импровизированного дозатора щелочи, чтобы смягчить киберинциденты вокруг критических слабых мест.
3. Согласуйте каждую команду с общей структурой кибербезопасности.
Чтобы обеспечить беспрепятственное сотрудничество, установление общего языка так же важно, как и поиск общих мотивов и целей. Организации должны установить общеорганизационные стандарты или внедрить проверенную структуру кибербезопасности, такую как ISO 27001 или NIST Cybersecurity Framework, чтобы все команды были в курсе ролей и задач друг друга.
Например, исправление систем OT гораздо сложнее, чем ИТ-систем, из-за чувствительности операций, сложных цепочек поставок и необходимости тщательного тестирования. Структура кибербезопасности поможет обеспечить, чтобы меры безопасности ИТ также учитывали уникальные и трудные потребности устаревающей технологии OT.
4. Внедрите политику нулевого доверия и детальный контроль доступа.
Системы с воздушным зазором исторически предоставляли открытый доступ и позволяли свободное боковое перемещение авторизованным пользователям. Это одна из основных причин, по которой глобальное кибероружие Stuxnet может действовать скрытно в очень чувствительной среде атомной электростанции. Современные среды OT больше не изолированы и зависят от облака, а также от приложений удаленного администрирования, таких как виртуальные сетевые вычисления (VNC) и RDP, что увеличивает поверхность атаки.
Промышленные организации должны внедрить архитектуру с нулевым доверием — ключевой компонент безопасного доступа (SASE) — для ограничения доступа к данным, приложениям, сетям и системам на основе строгой необходимости доступа. Технологии с нулевым доверием также используют другие механизмы, такие как новейшая аналитика угроз, поведенческая аналитика и эвристика, для интеллектуального контроля доступа даже для аутентифицированных и авторизованных пользователей. При правильной реализации политика нулевого доверия может успешно смягчить уязвимости, возникающие из-за пробелов в кибер-бдительности OT.
5. Обеспечьте единую видимость и управление политиками.
Команды безопасности нуждаются в централизованном просмотре и управлении ИТ-сетью организации, а также сетью процессов IoT/OT. Платформа централизованного мониторинга и управления может позволить специалистам по безопасности отслеживать всю цепочку киберугроз и сразу же внедрять необходимые элементы управления и настройки политик на ИТ- и OT-сайтах. Это одна из ключевых проблем, с которой SASE стремится бороться, объединяя сетевые сервисы и службы безопасности в рамках единой платформы оркестрации, которая обеспечивает целостное представление обо всех пользователях, устройствах ИТ/IoT и периферийных устройствах в централизованных и удаленных местах.
При интеграции оповещений OT в инструменты ИТ-безопасности и платформы управления важно использовать алгоритмы искусственного интеллекта и своевременную осведомленность о ситуации, чтобы предотвратить ложные срабатывания и усталость оповещений, которые могут снизить производительность, остановить операции и отпугнуть персонал OT.
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустило более 50 рекомендаций по промышленным системам управления (ICS) только в декабре 2022 года. С таким количеством проблем с безопасностью, уязвимостями и эксплойтами, связанными с АСУ ТП, защита сред ОТ без прерывания производства является сложной задачей. Ключевым моментом, однако, является разрушение организационной разрозненности между ИТ и ОТ и обеспечение унифицированной видимости и централизованного управления, чтобы все команды получали целостное представление о сетевых средах ИТ и ОТ.
Как только ИТ и ОТ поймут точки зрения и проблемы друг друга, они смогут начать совместную работу над достижением пересекающихся целей — организационной безопасности и непрерывности бизнеса.
Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и руководителей технологических компаний мирового класса. Имею ли я право?
