Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Frissítési stratégia ipari rendszerekben használt antivírus megoldásokhoz

2018. május 26. - icscybersec

A különböző víruskereső és vírusírtó szoftverek legalább két évtizede részét képezik az IT-val foglalkozók napi rutinjának. Ezerszer elmondott alapigazság az IT biztonság területén, hogy egy AV megoldás használata elengedhetetlen, de nem elégséges a különböző informatikai eszközök és rendszerek elvárt szintű biztonságának megteremtéséhez és fenntartásához.

Az ICS rendszerek esetén ez az alapvetés nagyon sokáig nem érvényesült, a korábban itt a blogon is többször tárgyalt, teljes körű fizikai elkülönítésre alapozott biztonságra történő hivatkozással. Ahogy szinte minden, ez is részben a Stuxnet nyilvánosságra kerülésével változott meg, az az incidens mutatta meg, hogy a teljes hálózati elkülönítés esetén is viszonylag könnyű kártékony kódokat bejuttatni az ICS rendszerek hálózataiba. Ezzel párhuzamosan pedig a legtöbb ICS eszközöket üzemeltető szervezet előbb lassan, majd egyre gyorsabban kezdte összekapcsolni az ipari rendszerek hálózatait a vállalati IT hálózatokkal - erről is volt már szó néhányszor.

A fenti változások miatt egyre több szervezet kezdett antivírus termékeket telepíteni az ipari rendszereiket kiszolgáló eszközökre. A Windows-alapú rendszereknél ez még nem is olyan nagyon meglepő lépés, azonban vannak, akik ennél messzebbre mennek és Linux-, de akár Unix-alapú rendszerekre is telepítenek AV-megoldásokat. A mai blogposztnak nem célja az ilyen döntések megalapozottságának vizsgálata, inkább a telepített AV-megoldások mintafrissítésének legjobb gyakorlatát fogom bemutatni.

Ahogy korábban, a Purdue-alapú biztonságos ICS architektúra modell bemutatásáról szóló blogposztban írtam, az ICS rendszereknél használt AV- és patch-menedzsment szervereket hagyományosan az ICS DMZ hálózatba célszerű telepíteni, így a legtöbb olyan eszköz, amikre érdemes lehet és viszonylag könnyedén lehetséges AV-megoldást telepíteni, a Purdue-modell alapszabályát (minden eszköz csak a saját szintjével közvetlenül szomszédos szinteken elhelyezett eszközökkel kommunikálhat, ha ez szükséges) betartva tudnak vírusadatbázis frissítéseket letölteni.

Az AV-szoftverek frissítése során az alábbi lépéseket ajánlott minden körülmények között betartani:

- Minden alkalommal ellenőrizni kell a vírusadatbázis letöltésének forrását;
- A letöltött vírusadatbázis frissítés fájlján végezzünk vírusellenőrzést;
- Ellenőrizzük a letöltött fájl hash-ét;
- Telepítsük az új vírusadatbázist nem kritikus komponensekre (praktikusan fejlesztői és/vagy teszt rendszerekre);
- A nem kritikus (teszt/fejlesztői) eszközökön a szervezetnél meghatározott ideig történő használat után telepítsük az új vírusadatbázist az éles rendszerre. Amennyiben vannak duplikált elemek a rendszerben (pl. szerver clusterek), ne frissítsük egy időben az összes cluster-tag vírusadatbázisát;
- A éles rendszer eszközein a szervezetnél meghatározott ideig történő használat után telepítsük az új vírusadatbázist a többi, még nem frissített rendszerre;
- Folyamatosan ellenőrizzük a rendszereket szokatlan eseményeket keresve és a normális ICS folyamatokat figyelve.

Ahogy a fent leírt lépésekből is látszik, a tesztelés és a vírusadatbázis terítésének kontrollálása az egyik legfontosabb feladat az ICS rendszerek AV-megoldásainak frissítése során. Ennek oka, hogy az AV-megoldások használatának oka ICS környezetekben a folyamatvezérlési funkciók zavartalan működésének biztosítása, azonban az elmúlt több, mint egy évtizedben számos esetben (nagyjából minden nagy AV-megoldást gyártó cég termékénel legalább egyszer) láttunk már olyan példát, amik a nem megfelelő minőségbiztosításból és fejlesztési hibából bekövetkező incidensek során nagy számú rendszert tettek használhatatlanná. Nyilván ez minden érintett szervezet számára nagyon kellemetlen volt, de pl. egy erőmű vagy egy gyártósor-vezérlő rendszer esetében sokkal súlyosabb következményei is lehetnek, mint pl. egy pénzügyi vagy tanácsadó cég esetében.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6513543645

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása