Nad NGINCEDENTI z naslednjo generacijo rešitev za kibernetsko varnost

Žiga Špiček, strokovnjak za varnost IT in OT sistemov, Smart Com d. o. o.

Ko govorimo o varnosti, ne moremo več govoriti le o varnosti v IT okoljih (informacijskih tehnologijah), ampak vse bolj upoštevati tudi zagotavljanje varnosti v OT okoljih (operativni tehnologiji oz. nadzorovanju operativnih procesov v industrijskih okoljih, zdravstvu, energetiki, kritični infrastrukturi idr.). Za povečanje učinkovitosti je nujno, da pri zagotavljanju varnosti sprejmemo celosten pogled na svoje okolje – združeno IT in OT okolje.

Ključna prednost pri tem je popoln pregled nad napadalci, vključno s potekom oz. napredovanjem napada. Kar omogoča hitro in pravilno ukrepanje.

In če se o varnosti v IT okoljih veliko govori in lahko rečemo, da precej dobro poznamo mehanizme zaščite, pa za varnost v OT okoljih ni tako. Kar ni nič nenavadnega, saj je potreba po združenem pogledu na varnost nastajala vzporedno z uvajanjem avtomatizacije in digitalizacijo procesov in sodobnim načinom, kako zaposleni delamo (BYOD, dostop do virov od kjerkoli). Vse to je privedlo do povezovanja industrijskih sistemov v poslovna okolja, kar pa istočasno prinaša nova varnostna tveganja. Zaradi številnih prednosti se je drastično povečalo tudi število IT in IoT naprav v OT okoljih. Vse našteto je prispevalo k temu, da je to področje postalo zelo privlačno za hekerje, ker jim omogoča številne nove možnosti za uspešen napad. Takšne hekerske napade smo poimenovali -napadi nove generacije – NGINCIDENT.

Zaščita pred tovrstnimi kibernetskimi napadi zato ni mogoča brez popolnega vpogleda v IT in OT okolje in njihove elemente (vozlišča in protokole) v realnem času, brez natančnega pregleda nad varnostnimi grožnjami in tveganji kot tudi sistemskimi anomalijami.

Varnost v industrijskih okoljih ni enaka varnosti v IT okoljih

Po naravi sta pa ti dve okolji popolnima različni. Medtem ko IT in IoT okolja temeljijo na IP-omrežjih in so izpostavljena vsem mogočim napadom, so industrijska okolja (OT okolja) visoko specializirana, uporabljajo namenske naprave, protokole in sisteme vodenja.

Če želimo doseči vidljivost in varnost v OT okoljih, tega ne moremo storiti tako, da kopiramo ali uporabimo orodja in pristope, s katerimi skrbimo za varnost v IT okoljih in obratno. To pa zato, ker imajo industrijska okolja svoje edinstvene, specifične zahteve, ki jih moramo seveda upoštevati.

• Varnost in zanesljivost

V industrijskih okoljih mora omrežje delovati 24/7/365, kjer se izvajajo procesi z visokim varnostnim tveganjem. Motnje v omrežju ali odpoved sistema lahko povzročijo škodo ljudem, opremi ali okolju, kar prinaša negativne ekonomske posledice. V IT okolju zahteve niso tako stroge.

• Protokoli v industrijskih sistemih

V industrijskem okolju uporabljamo protokole, ki so IT svetu nepoznani in prinašajo varnostna tveganja. Dejanski nivo ogroženosti lahko ugotovimo s poglobljeno analizo ter z uporabo specializiranih tehnik in pristopov.

• Raznoliki/Raznovrstni in zastareli sistemi

Industrijski sistemi so navadno zelo obsežni, vključujejo različne elemente in so sestavljeni iz več povezanih arhitektur. Sistemi na katere ni mogoče nameščati protivirusne zaščite. Ni posodobitev za operacijske sisteme ali za upravljavsko programsko opremo. Tudi varnostni popravki v teh okoljih so rizični, saj lahko povzročijo nedelovanje, ponovni zagon ali celo zaustavitev sistema oz. proizvodnje.

Strojno učenje in umetna inteligenca za spremljanje in kontrolo elementov v IT in OT omrežju

Sedaj imamo idealno priložnost, da v ranljivih IT in OT okoljih v različnih sektorjih, izboljšamo zanesljivost, varnost in operativno učinkovitost. In sicer z uporabo sodobnih rešitev, ki so zasnovane na podlagi podrobnega poznavanja in razumevanja IT in OT omrežij in procesov.

»Vse, kar morate vedeti o varnostnih rešitvah, ki delujejo po principu umetne inteligence, si preberite v beli knjigi – http://bit.ly/32FR2fI«

So popolnoma varne (ne vplivajo na delovanje samih omrežij in sistemov – pasivno sledenje) in prinašajo popoln pregled nad delovanjem IT in OT okolja in zaznavanje kibernetskih groženj v realnem času.

Zakaj investirati v napredno tehnologijo za varnost IT in OT okolij?

IT rešitve za zagotovitev kibernetske varnosti OT okolja niso ustrezne in seveda velja obratno, saj ne izpolnjujejo specifičnih zahtev, ki se pojavljajo v posameznem omrežju.

Vzporedno s tem je zelo pomembno združeno sodelovanje IT in OT ekipe – IT ekipa poseduje znanja s področja varnosti in oblačnih storitev, medtem ko ima OT ekipa več znanja o delovanju procesne infrastrukture in storitev (cyber-physical process). Sodelovanje obeh ekip pa pripore k identificiranju varnostnih slepih peg in zmanjšanju stroškov.

Prednosti, ki jih pridobimo z vpeljavo tovrstnih rešitev:

• Platforma za aktivno spremljanje in varovanje IT in OT sistemov (tako IT kot OT ekipa imata popoln pregled nad OT omrežjem in elementi ter varnostnimi in procesnimi tveganji).
• Nadzor nad delovanjem omrežja in zaznava groženj v realnem času na način, ki ni škodljiv za izvajanje procesnih sistemov.
• Takojšnja zaznava obstoječih groženj v IT in OT okoljih ter izboljšanje produktivnosti zaposlenih v IT in OT oddelku.
• Neopazna integracija z drugo IT infrastrukturo (ticketing, SIEM, orkestracija, stikala, požarne pregrade), ki se uporablja za zbiranje, analizo dnevniških zapisov, prometnih tokov ter odziv nanje…).
• Enostaven prenos podatkov z obstoječimi aplikacijami.

Nozomi Networks vodilni na področju kibernetske varnosti v OT omrežjih in Cognito platforma proizvajalca Vectra, vodilna na področju IT kibernetske varnosti, skupaj zagotavljata popolno vidljivost v IT in OT okoljih. Z uporabo umetne inteligence napredni rešitvi za zaznavanje nevarnosti in odzivanje nam omogočata okrepiti varnostno obrambo.

Skupaj odpravljata slepe točke v IT in OT okoljih, nudita pomoč varnostim analitikom, saj jim avtomatizacija zamudnih varnostnih operativnih nalog sprosti dragoceni čas, da ti lahko opravljajo bolj pomembna dela, kot sta preiskava NGINCIDENTOV in proaktivni lov na napadalce.

Želite izvedeti več?

Žiga Špiček, strokovnjak za varnost IT in OT sistemov, Smart Com bo 28. novembra 2019 na konferenci INFOSEK v Novi Gorici, v predavanju z naslovom NGINCIDENT – Kako hitreje zaznati in obravnavati incidente v IT in OT okolju spregovoril o naprednih sistemi za zaznavanje (odkrivanje) groženj in anomalij tako v IT kot OT (procesnih) okoljih. Lepo vabljeni v njegovo družbo.