Az ukrán áramszolgáltatók elleni kibertámadás óta még hangsúlyosabb lett az ipari rendszerek és különösen a kritikus infrastruktúrák biztonságosabbá tételének kérdése.

A legújabb felmérések szerint az ipari vezérlőrendszerek felhasználói és üzemeltetői egyrészt a külvilágból érkező, jellemzően hackerekkel, hacktivistákkal és nemzetállami támogatással rendelkező csoportokkal azonosítótt kibertámadásoktól féltik a rendszereiket, másrészt a szervezeten belülről induló, nem szándékos kiberbiztonsági incidensek okoznak aggodalmat. Bármelyik is következzen be, szinten 100%-ban megjelenik a hálózati kommunikáció, mint az incidensek egyik eleme.

Ez az oka annak, hogy az első számú ajánlása minden, ICS biztonsággal foglalkozó szervezetnek (pl. ICS-CERT), hogy az ipari rendszereket üzemeltető szervezetek fordítsanak kiemelt figyelmet a hálózat tervezésére és megfelelő szegmentálására, valamint a hatékony határvédelem kialakítására. Az ICS-CERT 2015-ös ICS értékelési jelentése a legsúlyosabb sérülékenységként azonosítja a vállalati és ipari hálózatok közötti elégtelen határvédelmet.

Az ICS hálózatok szegmentálása során a legfontosabb eszköz az ISA/IEC 62443-as szabvány 3-2-es fejezetében leírt kommunikációs csatornák által megvalósított biztonsági zónák alkalmazása. A biztonsági zóna olyan eszközök csoportja, amelyek azonos szintű biztonsági osztályba tartoznak (pl. felügyeleti zóna, vezérlő zóna, stb.). Erről korábban itt már írtam. Az egyes biztonsági zónák közötti kommunikáció csak a meghatározott kommunikációs csatornán keresztül engedélyezett. Ezek a csatornák azok a pontok a hálózatban, ahol célszerű a biztonsági eszközöket (pl. ipari protokollokat ismerő tűzfalak és/vagy IDS/IPS-ek), amelyekkel biztosítani lehet, hogy csak a feltétlenül szükséges hálózati forgalom jusson át a biztonsági zónák között.

A kommunikációs csatornák alkalmazásával költséghatékony módon lehet ellensúlyozni a tényt, hogy az ipari eszközök biztonsági szintje mind a mai napig sokkal rosszabb, mint az elvárt lenne. Ez a megközelítés lehetővé teszi azt is, hogy sokkal könnyebben és olcsóbban frissíthető eszközökre koncentrálja a szervezet az erőforrásait és nem kockáztatja a kritikus technológiai folyamatok rendelkezésre állást sem az ipari eszközök mind gyakrabban szükségessé váló frissítésével.

Külön kell tárgyalni az ipari vezeték nélküli hálózatok és alkalmazások kérdését. Én személy szerint nem vagyok híve a vezeték nélküli hálózatoknak és ahol lehet, kerülöm is a használatukat, de az ipari környezetek esetében nem kizárólag a kényelem indokolja a használatukat, így mindenképpen foglalkozni kell a biztonságosabbá tételük lehetőségeivel.

Vezeték nélküli hálózatok szegmentálása

A vezeték nélküli hálózatokat legalább VLAN-okkal el kell szeparálni az egyéb hálózatoktól. A legfontosabb ipari berendezéseket tartalmazó hálózatokat le kell választani a vezeték nélküli hálózatoktól, a kommunikációs csatornákat ipari csomagszűrő tűzfalakkal célszerű kialakítani. A vezeték nélküli hálózaton történő kommunikációt a legszükségesebb végpontokra illetve protokollokra szűkítve kell engedélyezni, ehhez a leginkább megfelelő eszközök a Layer-2 tűzfalak.

Vezeték nélküli megoldások beépített biztonsági funkciói

Meg kell győződni róla, hogy az ipari rendszereknél használt vezeték nélküli megoldások képesek a 802.11i szabvány szerinti működésre és a WPA-enterprise biztonsági funkció alkalmazására.

Monitoring

Annak érdekében, hogy a lehető legkorábban fel lehessen fedezni egy, a vezeték nélküli hálózat ellen indított támadást, olyan Access Point-okat kell használni, amelyek beépített vezeték nélküli IDS funkciót is tartalmaznak.

ICS hálózatok monitorozása

A hálózatbiztonsági monitoring egy régóta bevett megoldás a vállalati hálózatok esetében, de korántsem magától értetődő az ipari hálózatoknál.

A legfontosabb, hogy hatékony hálózati pontokon (pl. a vállalati és ipari hálózat között elhelyezkedő DMZ hálózati eszközeinél) történjen a monitoring, illetve a különböző, ipari hálózatokban elhelyezett aktív eszközök (switch-ek, router-ek, gateway-ek) ellenőrzése is jó döntés lehet.

Biztonságos távoli elérés megvalósítása az ICS rendszerekhez

A költségek csökkentése egy olyan erős érv, amivel nem sokan tudnak szembeszállni, még akkor sem, ha ehhez az ICS üzemeltetők egyik legrégebbi érvelését kell kidobni az ablakon. Hosszú évtizedeken keresztül az "itt nem kell aggódni, mert ezt a hálózatot nem lehet távolról elérni"-érv Jolly Joker volt az ICS üzemeltetők kezében, bármilyen IT biztonsági észrevétel esetében. Ez viszont azt igényelte, hogy 7/24-ben legyen a helyszínen olyan, hozzáértő üzemeltető, aki képes a felmerült hibák elhárítására. Ez a folyamatos, helyszíni készenlét jelentős költségekkel járt, így amikor felmerült, hogy ezt távolról is el lehet végezni, a mindenhol csak lefaragható költségeket látó pénzügyi menedzsement kapva-kapott a lehetőségen.

A másik ok az Internet-of-Things (IoT) ipari területre történő betörése, ma már egyre többen vannak, akik az Industrial IoT-t a jövő fejlődésének zálogaként kezelik és egyre gyakrabban hallunk a negyedik ipari forradalomról (Industry 4.0), ahol az egymással kommunikáló ipari berendezések hozzák el az új ipari reneszánszt.

Ezek a változások komoly kihívást jelentenek, mert a távoli hozzáférést olyan módon kell biztosítani az ipari rendszerekhez, hogy a legfontosabb biztonsági szempontok se sérüljenek. A tradícionális VPN megoldások mellett ma már ipari területre szánt VPN-megoldások is elérhetőek.

A jól tervezett, szegmentált és védett hálózat azonban a mai fenyegetésekkel szemben egyedül már korántsem elégségesek, a napjainkban elvárt szintű biztonság eléréséhez további intézkedésekre is szükség van, erről fog szólni ennek a sorozatnak a következő része.