Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Változtattak-e a viselkedésünkön az elmúlt évek ICS biztonsági incidensei

Facebook Tumblr Tweet Pinterest Tetszik
0
2019. április 20. - icscybersec

Nemrég egy igen érdekes blog poszt jelent meg a Tripwire oldalán, amiben a szerző az elmúlt közel 9 év ICS biztonsági incidensei alapján próbálja meg bemutatni azokat a támadási vektorokat, amik alapján jellemzően az ipari létesítményeket támadják és próbál néhány általános biztonsági intézkedést felsorolni, amivel javítani lehet a támadások megelőzésének vagy észlelésének esélyeit.

A posztban két hasznos tanács is található. Az egyik, hogy mire kell az ICS üzemeltetőknek és ICS biztonsági szakembereknek figyelni, ha minél előbb észlelni akarnak egy támadási kísérletet:

- Abnormális hálózati események (pl. a szokásosnál több VPN-kapcsolat kezdeményezése nem megszokott földrajzi helyekről, nem a megszokott napszakokban)
- Fenyegetések (Command&Control szerverek felé tartó hálózati forgalom, malware-fertőzött mérnöki munkaállomások, stb.)

A blog poszt felsorolja a 2015-ös ukrán incidens után született Energy ISAC elemzést (Defense Use Case 5) ajánlásait:

1. Hálózat szegmentálás az ipari és vállalati hálózatok, a vezérlőközponti és alállomási hálózatok illetve az alállomáson belül és az alállomások között
2. Naplózás megvalósítása nem csak az IT komponenseken, hanem lehetőség szerint a különböző alállomási automatizálási berendezésekben is (ezek többsége ma már valamilyen beágyazott Linux vagy Windows rendszer, amik gyakran képesek legalább alapszintű syslog/Event log használatra)
3. A menedzselhető switch-ek port-tükrözésének és naplózási képességeinek a védelmi intézkedések szolgálatába állítása
4. A sérülékenységek priorizálása és patch-elése (illetve ha a belső kockázatelemzés szerint a rendelkezésre álló patch valamilyen ok miatt nem telepíthető, akkor egyéb kockázatcsökkentő intézkedések alkalmazása)
5. A folyamatvezérlés szempontjából értékes rendszerek és rendszerelemek (pl. SCADA szerverek, mérnöki munkállomások, HMI-ok, stb.) mélyebb monitoringja (pl. rendszeres fájl-integritás ellenőrzések futtatása és a változások vizsgálata)

Ezek az ajánlások, bár nem fogják a támadások 100%-át megakadályozni és időnként biztos, hogy kényelmetlenebbé és lassabbá tehetik a védendő rendszerek üzemeltetését, abban jelentős segítséget nyújthatnak, hogy a jövőbeni támadásokat minél előbb észre lehessen venni és ezek egy részét talán még az előtt meg lehet akadályozni, hogy olyan üzemzavarokat okoznának, mint a WannaCry vagy a NotPetya tették (úgy, hogy azokat a malware-eket nem is célzottan ipari létesítmények elleni támadásokhoz hozták létre).

Szólj hozzá!
ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6114747225

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása