Még nyáron írtam meg ennek a sorozatnak az előző (első) posztját, amiben a SANS Institute által addig publikált két, kezdőknek szánt ICS biztonsági posztjáról írtam. Október elején megjelent a SANS sorozatának harmadik része, ami (a COViD-19 járvány következtében mindenhol, így a különböző ipari szektorokban ICS rendszereket használó szervezeteknél is elszaporodott távoli munkavégzés miatt ma talán kiemelten fontos) távoli hozzáférések kérdésével foglalkozik.
A poszt elején az ICS rendszerekhez történő távoli hozzáférések fontosságáról van egy nem is rövid fejezet, itt röviden ismét átveszik az ICS rendszerek múltját (amikor még minden jobb volt, csak azok fértek hozzá az ICS rendszerekhez, akiknek ez volt a feladatuk és még értettek is hozzájuk) és a távoli hozzáférések jelentette előnyöket, de az elmúlt évtized nagy port kavart ICS biztonsági incidenseit példaként felhozva a kockázatok is szóba kerülnek.
A poszt leghosszabb része a távoli hozzáférések és a Purdue referencia architektúra modell kapcsolatát mutatja be, majd az ezután következő fejezet azt is bemutatja, hogy milyen jó gyakorlatok mentén érdemes több DMZ-n keresztül biztosítani a távoli hozzáféréseket az ICS rendszerek hálózataihoz.
Külön fejezet foglalkozik a távoli hozzáférések authentikációs kérdéseivel és itt is megjelenik az a (mára már gyakorlatilag ICS hálózatbiztonsági alapvetésnek számító) ökölszabály, hogy az ICS hálózatokban használt Microsoft AD címtár semmilyen körülmények között ne legyen összekapcsolva a vállalati - enterprise - hálózat AD-jával!
Egy másik fontos biztonsági kontroll pont lehet az ICS rendszerekhez történő távoli hozzáférések esetén az ugró szerverek (vagy jump hostok) használata, amit szintén egész alaposan körüljár a posztban a SANS szerzője, Stephen Mathezer.
A fájlok ICS rendszerek hálózataiba történő bejuttatása és onnan történő kijuttatása is egyre gyakoribb igény, de ennek is megvan a biztonságosnak tekintett módja, amiről szintén egy teljes fejezet szól a fent hivatkozott posztban.
Bár a közvetlen, DMZ-ket és ugrószervereket megkerülő kapcsolatot (különösen az Internet irányából) már több, mint egy évtizede nem ajánlják az ICS biztonsági szakemberek, időnként bizony nincs mód ezek helyett egy biztonságosabb megoldást kialakítani. Stephen Mathezer az ilyen esetekre vonatkozóan is ad tanácsokat, hogy milyen kompenzáló kontrollokkal lehet csökkenteni a közvetlen kapcsolat jelentette kockázatokat.
Az utolsó fontos pontja a témáról írt publikációnak, hogy hogyan lehet megelőzni az engedély nélküli távoli hozzáférések kiépítését az ICS rendszereinkhez.
Egyelőre nem látom, hogy lesz-e folytatása ennek a SANS-os sorozatnak, én viszont találtam egy rakat forrásanyagot, amiket a saját sorozatom további részeiben meg fogok osztani - szóval várhatóak még "ICS biztonság kezdőknek" posztok a jövőben.
