Ameaças
O termo ACS surgiu assim que a tecnologia de computador foi introduzida nos sistemas de controle. O primeiro ACS mais simples consistia em apenas dois níveis: coleta de informações e tomada de decisão. As informações vinham do objeto de controle para o operador, que trocava dados com o computador e controlava o objeto. Aqui, o poder da computação atuou como um auxílio ao gerenciamento humano e à tomada de decisões.
Desde os dias dos primeiros computadores, os sistemas automatizados de controle de processos deram um salto gigantesco. Mas seu recurso ainda é um processo de máquina automatizado seguido por uma pessoa.
Esses sistemas devem ser usados exclusivamente em processos industriais. Estando envolvidos em infraestruturas críticas, os sistemas de controle de processos são construídos com base em tecnologia de computação tolerante a falhas e altamente confiável. Esta é uma técnica de nível industrial projetada especificamente para operações de longo prazo e 24 horas por dia em instalações industriais. As consequências de uma falha ou falha de operação dos sistemas representam uma séria ameaça ao equipamento, à vida humana e à saúde.
Apesar de tal responsabilidade pela continuidade do processo, a necessidade de aumentar o nível de segurança do sistema de controle de processo tem sido discutida apenas recentemente. Ataques de vírus, que se tornaram regulares em meados da década de 2010, atraíram grande interesse no tópico. Por exemplo, alguns dos ataques que ocorreram na última década:
- 2012 Flame, , . . .
- 2014 , , .
- 2017 , , Triton, Trisis/HatMan.
Triton . , , . - 2018 . . Windows XP. HMI SCADA-, .
- 2018 . , . , .
- 2018 , «» , . , , .
, 13- , , «» - , , , ( ).
“ , , — SCADA-, — , . , . — , - , , , . « » – , . . , , . , , .”
- Alexey Kosikhin, chefe do departamento de trabalho com o complexo de combustível e energia do Centro de Segurança da Informação da Jet Infosystems
Entre as ameaças cibernéticas inerentes ao ICS, três classes podem ser distinguidas:
- ameaças feitas pelo homem;
- ameaças antropogênicas;
- ameaças de acesso não autorizado.
Ameaças tecnogênicas incluem o impacto físico nos componentes do APCS. Por antropogênica - ações intencionais e não intencionais de pessoas engajadas no atendimento de sistemas de automação, erros humanos, erros na organização do trabalho com os componentes do ACS. Ameaças de acesso não autorizado para APCS são consideradas na presença de interação de seus componentes com a rede de computadores local da empresa. Essa conexão existe para transferir informações sobre o estado do ambiente tecnológico e controlar o impacto sobre os objetos tecnológicos.
O entrelaçamento desses fatores afeta a segurança geral dos sistemas. Isso inclui a falha até mesmo de medidas mínimas de segurança e o uso do Windows como o principal sistema operacional para estações de trabalho e servidores, além da pouca disciplina dos funcionários.
Proteção
A implementação do sistema de segurança da informação do APCS é uma tarefa complexa. Sua solução depende da implementação das regras em todos os níveis:
- administrativo: formação pela direção de um programa de trabalho em segurança da informação;
- procedimental: definir regras e regulamentos para o pessoal que atende a rede;
- software e hardware: controle de acesso;
- garantindo integridade;
- garantindo uma interconexão segura;
- proteção antivírus;
- análise de segurança;
- detecção de intruso;
- monitoramento contínuo do estado, detecção de incidentes, resposta.
Os sistemas de controle de vulnerabilidade são um dos métodos mais eficazes para combater as ameaças cibernéticas industriais. São programas altamente especializados desenvolvidos especificamente para sistemas de automação industrial. Eles permitem determinar a integridade do ambiente interno do dispositivo, registrar todas as tentativas de alteração do programa de aplicação do controlador, alterações na configuração de proteção de rede e dispositivos de controle em redes de energia.
Muitos desenvolvedores de produtos de cibersegurança apontam para a necessidade de maior visibilidade dentro da rede em primeiro lugar... A experiência mostra que isso é muito importante. Um comprometimento da rede despercebido a tempo pode funcionar por meses com exploits não ativados. Ferramentas de detecção e prevenção de ameaças cibernéticas dedicadas não apenas detectam vulnerabilidades, mas também identificam ameaças de dia zero.
Muitos riscos de segurança da informação estão associados a hardware e software desatualizados - por exemplo, existem sistemas SCADA que só podem funcionar com Windows NT ou Windows 98. Alguns desses riscos podem ser mitigados com tecnologias de virtualização modernas , mas isso nem sempre é possível. Associado a isso está outro tipo de proteção - isolamento... Servidores SCADA e OPC (OLE for Process Control), PLCs e outros componentes de sistemas de controle automatizados devem ser isolados da Internet.
Separadamente, vale destacar as plataformas para a criação de uma infraestrutura distribuída de falsos alvos , DDP (Distributed Deception Platform). Eles permitem que você implante uma rede de dispositivos falsos chamariz que são quase indistinguíveis dos reais, o que atrai atacantes.
Agora que temos uma ideia geral de como a segurança cibernética ICS deve funcionar, passamos para a segunda parte deste artigo. Ele fornecerá uma visão geral das soluções práticas de segurança apresentadas na tabela de comparação .
Para este artigo, selecionamos apenas alguns pontos-chave da tabela, como detecção de ameaças de dia zero, integrações, detecção de anomalias e análise de tráfego, inventário de dispositivos, recursos de produtos.
Soluções
Plataforma de segurança cibernética industrial Dragos
Dragos é uma empresa americana fundada em 2016. Apesar de sua “jovem” idade, ela já recebeu vários prêmios mundiais no campo da defesa cibernética de sistemas industriais.
Eles são uma equipe de especialistas especializados em soluções de segurança industrial e na Internet das Coisas. Seu principal produto é exatamente a plataforma, mas a Dragos também fornece serviços de resposta a incidentes, análise de ameaças de sua rede e treinamento de segurança cibernética.
Dragos Industrial Cybersecurity Platform é uma solução de segurança de rede industrial que automaticamente encontra e identifica ativos de rede. O programa verifica ativos, encontrando configurações incorretas, oportunidades de melhoria de configuração.
Caso seja detectada atividade suspeita, a plataforma fornece orientação passo a passo para investigar e responder ao incidente e às ferramentas de solução de problemas.
Recursos:
Inventário de dispositivos : sim
Detecção de ameaças de dia zero : não
Detecção de anomalias : sim
Análise de tráfego : sim
Integrações : SIEM
Sistemas com suporte : DCS, PLC
Recurso : guia de gerenciamento de segurança passo a passo de especialistas da equipe, publicado em um manual.
CyberX OT
Antes de criar a CyberX , sua equipe havia trabalhado na área de proteção de infraestruturas críticas dos EUA. Seu orgulho, além da proteção no nível do Pentágono e da cooperação com os líderes do mercado mundial, é um método patenteado de aprendizado de máquina. É graças a ele que seus produtos revelam instantaneamente quaisquer anomalias nas redes industriais.
A plataforma Work CyberX OT é baseada em cinco elementos principais: uma análise comportamental dos ativos para identificar quaisquer ações incomuns; monitoramento de violações de protocolo; detecção de agentes maliciosos (incluindo ameaças avançadas); encontrar problemas operacionais; identificar conexões entre máquinas que não devem "se comunicar".
A solução é capaz de se integrar totalmente à sua pilha de segurança graças à sua API aberta. Essa integração resolverá o problema de segurança em ambientes de TI e industriais.
Recursos:
Inventário de dispositivos : Sim
Detecção de ameaça de dia zero : Sim
Detecção de anomalias : Sim
Análise de tráfego : Sim
Integrações : Firewall, CMDB, IDS / IPS, SIEM, SOC
Sistemas com suporte : DCS, PLC, RTU
Recurso : Análise de máquina de autoaprendizagem que rejeita falso disparando para zero.
Cyberbit SCADASchield
Desde 2015, a Cyberbit oferece soluções de cibersegurança ao mercado. A empresa é especializada em emulação de ataque e treinamento para equipes de segurança da informação, proteção de endpoint, proteção de rede industrial, orquestração e automação de sistemas de segurança.
SCADAShield fornece visibilidade de rede sem precedentes, detecção de anomalias conhecidas e desconhecidas e erros na tecnologia operacional. E com 7 camadas de inspeção profunda de pacotes (DPI), a solução ultrapassa os limites operacionais.
A visualização de toda a sua rede é em tempo real e inclui dispositivos IP e não IP.
Recursos:
Inventário de dispositivos: Não
Detecção de ameaça de dia zero: Sim
Detecção de anomalias: sim
Análise de tráfego: não
Integrações: Cyberbit EDR, SIEM
Sistemas suportados: N / A
Característica: formação de um mapa de fluxos de informação entre ativos de rede, geração automática de regras
Plataforma Claroty
A missão da Claroty é proteger redes industriais. Trata-se de uma equipe formada por profissionais de diversas áreas de atuação: há um ex-almirante de segurança cibernética do Exército dos Estados Unidos, um engenheiro espacial e um especialista em seguros.
A plataforma Claroty fornece às equipes de segurança visibilidade excepcional em redes de controle industrial e monitoramento em tempo real. O monitoramento é capaz de reconhecer ameaças avançadas e identificar vulnerabilidades de rede a tempo.
A plataforma permite a segmentação de rede, controle e fornecimento de acesso remoto seguro, políticas de acesso granular e gravação de sessão.
Recursos:
Inventário de dispositivos: Sim
Detecção de ameaças de dia zero:sim
Detecção de anomalias: sim
Análise de tráfego: não
Integrações: SIEM, SOC
Sistemas com suporte: HMI, PLC
Recurso: controle de acesso remoto, resposta rápida e precisa a incidentes de segurança
Veracity Cerebellum
O objetivo da Veracity é tornar sua rede industrial resiliente e segura. A empresa fornece uma solução local centralizada para configuração, gerenciamento e monitoramento de rede ideal.
O principal produto, Veracity Cerebellum , foi projetado para ser semelhante ao cerebelo humano. A função do cerebelo é receber sinais da medula espinhal, cérebro, sistemas sensoriais e, com base nos dados, regular os movimentos do corpo.
A plataforma Veracity Cerebellum desempenha funções semelhantes em redes industriais. Ele reage à entrada sensorial e gerencia a resposta pré-projetada do processo de fabricação.
Recursos:
Inventário de dispositivos: Sim
Detecção de ameaças de dia zero:não
Detecção de anomalias: sim
Análise de tráfego: sim
Integrações: OT
Sistemas com suporte: N / A
Recurso: criação de modelos de segurança a partir de modelos ou do zero, gerenciamento avançado de dispositivos de rede (incluindo quarentena), segmentação de rede e alocação de zonas seguras
Gateways de segurança unidirecionais em cascata
Waterfall Security Solutions tem protegido redes industriais críticas desde 2007. O Unidirectional Security Gateway é a solução proprietária para integração e comunicação seguras entre redes de TI e OT. Esta solução permite monitoramento e diagnóstico remoto baseado em nuvem, protege contra acesso não autorizado. Ao mesmo tempo, é desprovido de vulnerabilidades que existem durante a conexão por meio de um firewall.
Gateways de segurança unidirecionais fornecem proteção de perímetro de rede baseada em hardware. A solução consiste em um componente de hardware ( módulo TX - transmissor de fibra ótica, módulo RX - receptor ótico) e componente de software (conectores de software de aplicação industrial).
Essa configuração permite a transmissão e replicação unilateral das informações do servidor da rede OT para a rede externa, enquanto evita a propagação de qualquer vírus, ataque DOS, erro humano ou qualquer ataque cibernético.
Recursos:
Inventário de dispositivos: Não
Detecção de ameaças de dia zero: Não
Detecção de anomalias: Sim
Análise de tráfego: Sim
Integrações:
Sistemas com suporte de TI / OT : N / A
Recurso: Replicação de servidor, Emulação de dispositivo industrial, Conversão de nuvem de dados industriais
Guardião da Nozomi Networks
A Nozomi Networks oferece uma solução completa para gerenciamento de risco cibernético em tempo real. Alta precisão e falsos positivos mínimos são obtidos por meio do uso inovador de inteligência artificial e aprendizado de máquina. As
tecnologias do Nozomi Networks Guardian permitem mapear e visualizar automaticamente toda a sua rede industrial, incluindo ativos, conexões e protocolos. A solução monitora as comunicações e o comportamento da rede em busca de riscos e fornece as informações necessárias para responder rapidamente.
A infraestrutura de segurança integrada inclui integrações embutidas para sistemas de gerenciamento de ativos, sistemas de gerenciamento de tickets e identidade, SIEM.
Recursos:
Inventário de dispositivos: Sim
Detecção de ameaças de dia zero: sim
Detecção de anomalias: sim
Análise de tráfego: sim
Integrações: IT / OT, SOC
Sistemas com suporte: N / A
Recurso: escalabilidade, visualização de rede, anomalia avançada e reconhecimento de ameaças, autoaprendizagem
Suíte Indegy Industrial Cybersecurity
Fundada com o objetivo de proteger redes industriais, a equipe Indegy possui uma combinação única de experiência em segurança cibernética e conhecimento prático de controle industrial.
A liderança da empresa e as equipes de pesquisa incluem especialistas em segurança, operações industriais e defesa, incluindo vários graduados das unidades de segurança cibernética de elite de Israel.
Implementado como uma rede ou dispositivo virtual, o Indegy Industrial Cybersecurity Suit fornece ferramentas de segurança abrangentes para pessoal de segurança da informação e engenheiros de OT.
A plataforma oferece rastreamento de ativos, detecção e mitigação de ameaças, gerenciamento de vulnerabilidades e integridade de dispositivos. É capaz de proteger a rede não só de interferências maliciosas, mas também de erros humanos não intencionais.
Recursos:
Inventário de dispositivos: Sim
Detecção de ameaça de dia zero: Não
Detecção de anomalias: Sim
Análise de tráfego:
Integrações: CMDB, SIEM
Sistemas com suporte: DCS, PAC, PLC, RTU
Recurso: Conexão de rede sem agente, alertas de política personalizados e correio, tecnologia de detecção ativa para garantir a integridade do dispositivo
ICS CyberVision
A Sentryo foi fundada por dois empresários e veteranos da indústria de segurança da informação. Eles agora aplicam seus anos de experiência no ambiente de software, hacking e cibersegurança ao mundo da cibersegurança industrial.
A empresa desenvolveu algoritmos de IA exclusivos para fornecer informações completas sobre ativos industriais. Sua inteligência artificial é capaz de detectar vulnerabilidades, detectar anomalias em tempo real e trabalhar com a equipe de TI para evitar um ataque cibernético.
ICS CyberVision usa uma linguagem OT exclusiva para rotular automaticamente cada ativo e atividade de rede. Isso permite que você veja imediatamente as funções do dispositivo, marcas do sistema, protocolos usados, comportamento de OT ou TI e informações de rede.
A solução permite agrupar ativos e definir seu "impacto na indústria" para que você possa priorizar ações em relação às metas de segurança.
Recursos:
Inventário de dispositivos: sim
Detecção de ameaças de dia zero: não
Detecção de anomalias: sim
Análise de tráfego: não
Integrações: firewall, CMDB, SIEM, SOC
Sistemas com suporte: N / A
Característica: monitoramento passivo sem afetar o sistema, eventos contextualizados, agrupamento e priorização ativos na rede por seu impacto na segurança
Plataforma Forescout
A Forescout , fundada em 2000, desenvolve em seu próprio laboratório soluções para visibilidade de dispositivos, controle de comportamento e cibersegurança para qualquer tipo de dispositivo de rede. Sua equipe está empenhada em melhorar a capacidade das organizações de identificar, compreender e gerenciar ameaças de um ecossistema de dispositivos em constante expansão.
A Plataforma Forescout é uma plataforma de segurança unificada que fornece consciência situacional total do ambiente corporativo e organiza ações para mitigar quaisquer riscos.
O produto permite que você aplique políticas adaptáveis e granulares e
visualize rapidamente os resultados usando sua infraestrutura de rede física e virtual existente.
A plataforma pode ser dimensionada para 2 milhões de dispositivos por implantação em infraestrutura corporativa, data center, nuvem e redes OT.
Recursos:
Inventário de dispositivos: sim
Detecção de ameaças de dia zero: não
Detecção de anomalias: sim
Análise de tráfego: não
Integração: CMDB
Sistemas com suporte: N / A
Recurso: escalabilidade, segmentação dinâmica de dispositivos, consertar dispositivos incompatíveis durante a conexão
Após revisar todos os produtos, você pode condicionalmente grupo como este:
- , — CyberX OT, Indegy Industrial Cybersecurity Suite, ICS CyberVision, Cyberbit SCADASchield;
- , — Forescout Platform;
- , Nozomi Networks Guardian Veracity Cerebellum;
- , — Dragos Industrial Cybersecurity Platform, Claroty Platform;
- proteção de perímetro de hardware - Gateways de segurança unidirecionais em cascata .
Você pode ver uma lista mais detalhada das funções de cada uma das soluções na tabela de comparação e fazer sua própria tabela de comparação com as soluções de seu interesse aqui .
Autor: Natalka Chekh, para ROI4CIO