hirdetés
hirdetés

Ipari kibervédelem

Incidensmenedzsment másként

Az alábbiakban összefoglaljuk, hogy az IT-fókuszú kibervédelmi képességeket milyen megközelítéssel lehet úgy átalakítani, hogy hatékony ipari kibervédelmi keretrendszer jöjjön létre.

hirdetés

Első lépésként érdemes tisztáznunk, vajon miért van szükség ipari kibervédelemre (OT, Operational Technology). A válasz igen egyszerű: a kiberbiztonság manapság fontosabb, mint valaha! A kibertámadások száma folyamatosan nő, ráadásul kifinomultságuk fejlődő trendet mutat, és ezekből következően a jelentőségük, káros hatásuk is egyre nagyobb. Az ügyfeleinknél elhárított támadásokból és az egyre több incidensből is látszik, hogy a célpontokat már nemcsak az IT-rendszerek jelentik, hanem az SCADA/ICS, IoT-, IIoT-környezetek is, amelyek ráadásul egyre több ponton kapcsolódnak az „irodai” IT-hálózattal. Ezért ezeken a területeken is égető szükség van megfelelő incidenskezelési gyakorlatra, különös tekintettel a detektálási és válaszadási képességekre. Ugyanakkor több kérdés is felmerül. Szükséges, illetve célszerű-e más megközelítésből néznünk az IT- és OT-incidenskezelést? Vannak-e kapaszkodók, amikhez nyúlhatunk?

A keretrendszerek használata

A fenti kérdések megválaszolása érdekében azt kell átgondolnunk, hogy vajon miért érdemes használni a keretrendszereket. Szerencsére nemcsak ipari folyamatokra, de ipari információbiztonságra is vannak jól kidolgozott, gyakorlatban régóta tesztelt frameworkök. Ezen keretrendszerek felhasználásával rengeteg energiát, felesleges munkát tudunk megspórolni, úgy is mondhatnánk, hogy nem kell újra feltalálni a kereket.

A keretrendszerek struktúrát biztosítanak, olyan referenciapontokat, amelyeket fel tudunk használni egy fejlesztési roadmap vagy elérni kívánt működési modell kialakítása során
A keretrendszerek struktúrát biztosítanak, olyan referenciapontokat, amelyeket fel tudunk használni egy fejlesztési roadmap vagy elérni kívánt működési modell kialakítása során

Miért használhatók jól az IT-keretrendszerek ipari környezetben is, miért feleltethetők meg egymásnak viszonylag könnyen? Ennek az az oka, hogy a keretrendszerek és az ipari környezetek incidenskezelés szempontjából többféle hasonlóságot mutatnak. Mindenekelőtt a fenyegetések nagyon hasonlóak. Adott egy támadó fél rosszindulatú szándékkal, megfelelő képességek birtokában és egy lehetőség, amely veszélyt jelent az IT-, illetve OT-környezetre. A támadó képes a szervezet rendszereit kompromittálni az emberek, a folyamatok vagy a technológia meglévő gyengeségeit vagy sérülékenységeit kihasználva. Vagyis védelmi intézkedéseket (kontrollok) szükséges alkalmazni az emberek, folyamatok és technológia szintjén. Hasonló többszintű mélységi védelmet (Defense-in-Depth) kell kialakítani a keretrendszerek és az ipari kibervédelmi rendszerek esetében.

Kibervédelmi incidensmenedzsment

Egy szervezet hagyományos IT-környezetében a kibervédelmi incidenskezelés a korai észlelés és gyors válaszadási képességek kialakítását, fenntartását és fejlesztését foglalja magában. Ha egyaránt a People, Processes, Technology rétegre koncentrálunk, minimálisra csökkenthetjük az üzletmenetre gyakorolt káros hatásokat (2. ábra).
Az ipari hálózatokhoz illeszkedő korszerű technológát szükséges integrálni a kibervédelmi architektúrába, ezáltal biztosítva az észlelési és reagálási képességeket (Detection & Response). A fő incidenskezelési folyamatokat definiálni szükséges, és az IT -és nem IT-folyamatokkal párhuzamba kell hozni. A kibervédelmi incidenskezelő csapat tagjainak megfelelő képességekkel, tudással és jogokkal kell rendelkezniük.

Az incidenskezelés főbb folyamatai

Mint említettük, az IT- és OT-incidenskezelés között számos hasonlóság van. A fő céljuk természetesen ugyanaz: az incidensek mihamarabbi észlelése és kezelése. 

Ezen túl a támadások folyamata is nagyon hasonló, és az incidenskezelés folyamatának fő lépései szintén megegyeznek
Ezen túl a támadások folyamata is nagyon hasonló, és az incidenskezelés folyamatának fő lépései szintén megegyeznek

  1. Gondoskodni kell róla, hogy a monitoringrendszer folyamatos üzemben legyen (Continuous monitoring).
  2. Olyan szabályrendszert kell alkalmazni, hogy észleljük a támadásokat (Detection).
  3. El kell tudni dönteni egy fenyegetésről, hogy milyen típusú és kritikusságú, s ennek megfelelő reakciót kell végrehajtani (Triage).
  4. El kell különíteni a gyanús eszközöket, erőforrásokat, amíg a vizsgálat le nem folyik (Containment).
  5. Elemezni kell a kihatást, kiterjedtséget és a támadás módját (Analysis).
  6. El kell távolítani a káros kódokat, majd helyre kell állítani az érintett rendszereket (Eradication & Remediation).
  7. Értékelni kell a tanultakat, és vissza kell építeni a működésbe (Reporting & Enhancement).

A folyamat egyes lépéseit sok esetben nem végezheti a kiberbiztonsági csapat, de koordinációt kell biztosítania, és felel a belső kommunikációért.

Fontos, hogy ipari területen gyakran eltérő technológiákat és különböző megközelítést kell használni. Noha a folyamatban és bevonandó területekben is lehetnek eltérések, az alapvető lépések megegyeznek. Ráadásul ez a hasonlóság a digitalizációval együtt egyre nagyobb.

Felmerülhet, hogy ha ilyen jelentős a hasonlóság, akkor egyszerűen lemásolhatjuk-e az IT-nél bevált incidenskezelési folyamatokat és technológiát az OT-környezetre? Sajnos ennyire nem egyszerű a helyzet, mivel a fókusz és a követelmények eltérőek.

Habár egy ideális világban a bizalmasság, sértetlenség és rendelkezésre állás (Confidentiality, Integrity, Availability) egyenlő figyelmet kap, a valóságban az IT-környezetekben a leghangsúlyosabb az adatok bizalmassága, hogy illetéktelenek ne férhessenek hozzá, ugyanakkor a legkevésbé fontosnak tekintett a rendelkezésre állásuk.

Ezzel szemben az OT-környezetben éppen fordítva; elsődleges a rendelkezésre állás, és a sorban csak harmadik szempont a bizalmasság
Ezzel szemben az OT-környezetben éppen fordítva; elsődleges a rendelkezésre állás, és a sorban csak harmadik szempont a bizalmasság

A sztenderdeket bemutató ábrán is jelölt NIST SP 800-82 ajánlásokat tesz az ipari kontrollrendszerek (Industrial Control Systems/ICS) biztonságosabbá tételére, felvázolva a követelmények közt fennálló különbségeket is. Példának okáért az incidenskezelési folyamat (Incident Response Chain) „Containment” lépésekor az érintett rendszerelemek izolálása a rendelkezésreállási követelmények miatt komoly kihívást jelent. Ugyanígy a rendszerben történő változtatások (frissítések) szervezése, végrehajtása sem egyszerű feladat az ipari rendszerek feszített működési rendje mellett.


Összefoglalva: mindenképpen érdemes a rendelkezésre álló keretrendszerekre építeni, ezzel párhuzamosan ugyanakkor szem előtt kell tartani a prioritásokban meglévő különbségeket. A feladat az, hogy a számunkra megfelelő keretrendszert válasszuk, majd külön-külön vizsgáljuk felül a hagyományos kiberbiztonsági incidenskezelési folyamatokat és a technológiai elemeket, és ezeket illesszük az OT-rendszerek speciális követelményeihez.

Cikkünk eredetileg a GyártásTrend áprilisi lapszámában jelent meg.

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés