Az ICS kiberbiztonság egyik sarokkövét jelentik a különböző gyártók passzív (vagyis az OT hálózati forgalom SPAN porton vagy hálózati TAP-en keresztül történő kicsatolt másolatán végzett) hálózati monitoring megoldásai. Az egyes gyártók rendszerei alapvetően ugyanazon az elven működnek (az ICS rendszerek működésében kritikus hálózati forgalom megzavarása nélkül teszik lehetővé a támadók tevékenységét jelző nyomok, anomáliák keresését), különbség inkább abban van, hogy milyen ipari protkollokat ismernek és tudnak feldolgozni, értelmezni. Sok éven át ez nem jelentett nehézséget, hiszen az ipari környezetekben általában, de a speciális ipari protkollok esetében végképp nem álltak/állnak rendelkezésre titkosított protokollok, ha pedig lenne is lehetőség használni őket (pl. SSH-t Telnet vagy SNMPv3-at az SNMP korábbi verziói helyett), jellemzően nem használják őket. Ez annál inkább igaz, minél alacsonyabb rétegekben működő rendszereket vizsgálunk a Purdue-modell szerint besorolást alapul véve.

Azonban a közelmúltban ez is elkezdett megváltozni, ipari rendszerekben és hálózatokban is elkezdtek megjelenni a titkosított protokollok - ráadásul nem is mindig a gyártók/integrátorok/üzemeltetők használják őket, hanem bizony időnként a támadók is...

A kérdés, hogy a titkosított ipari protokollok használata milyen hatással lesz passzív hálózati monitoring megoldások használatára és még érdekesebb kérdés lesz az OT rendszer és hálózatüzemeltetők számára, hogy milyen kockázatelemzést érdemes végezniük akkor, ha az ICS rendszerek hálózati forgalmának védelme bizalmassági és sértetlenségi szempontból indokolja a titkosított ipari protkollok használatát, de ez azzal jár, hogy közben elveszítik az egyik kulcsfontosságú ICS kiberbiztonsági eszközüket?

A témáról Joe Slowik tartott egy rövid (alig 30 perces), ám annál érdekesebb előadást a tavalyi S4X konferencián, amit itt lehet megnézni: https://www.youtube.com/watch?v=3zqPY8ftrq8