Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Proaktív OT incidenskezelés

Facebook Tumblr Tweet Pinterest Tetszik
0
2024. május 25. - icscybersec

Nemrég találkoztam Chris Sistrunk egy 2023-as előadásával, ami a proaktív OT incidenskezelés megközelítését mutatta be a tavalyi Houston Security Conference-en (HOUSSECCON).

Az előadásban Chris érinti az IT és OT környezetekben végzett incidenskezelés hasonlóságait és különbségeit, az OT környezeteknél szükséges egyedi megközelítéseket és azokat a proaktív lépéseket, amik segítenek hatékonyabbá tenni az incidensek elhárítását.

Ami igazán érdekes volt ebben az előadásban, az a 99(%)-os elmélet, ami arról szól, hogy:

- Az OT környezetekben kompromittált rendszerek 99 %-a tulajdonképpen IT rendszer;
- Az OT környezetekben talált malware-ek 99 %-a IT malware ("hagyományos" ransomware vagy más, IT rendszerekre tervezett és írt malware);
- Az OT környezetekben végzett forensics vizsgálatok 99 %-a IT rendszereken végzett tevékenység lesz;
- Az incidens észlelésének lehetősége 99 %-ban az IT komponenseken fog rendelkezésre állni;
- A kompromittálástól az észlelési eltelt idő 99 %-át a támadók az OT környezetben üzemelő IT komponenseken fogják tölteni;

Chris Sistrunk szerint ebből következik, hogy a valóban ICS rendszerek elleni támadások (vagyis azok, ahol PLC-ket, RTU-kat, más, Purdue-modell szerint L1 és L0 eszközöket célzó támadások) csak az incidensek 1 %-át teszik ki.

Mit jelent ez azok számára, akiknek ICS/OT incidenskezelési tervet kell készíteniük?

Elsőként én azt javaslom, hogy tanulmányozzák Chris előadásának diáit, amik a SlideShare-en érhetőek el.

Az pedig már az én véleményem, hogy tessék szépen egy vegyes, OT és IT vagy kiberbiztonsági mérnökökből álló csapatot létrehozni, mert az már ennyiből is látszik, hogy egyedül egyik szakterület sem lesz képes egy minőségi és egy OT kiberbiztonsági incidens kitörésekor jelentkező, stresszel telített órákban, napokban terv alapján cselekedni. Ennek elsődleges oka, hogy az IT/kiberbiztonsági szakemberek érthetően nem illetve nem teljeskörűen ismerik az OT és különösen az ICS rendszerek sajátosságait, a működésük IT rendszerekétől eltérő specialitásait illetve az incidenskezelés közben elvégezhető és el nem végezhető műveleteket. Ugyanígy pedig az OT mérnökök, akik naprakészek azoknak a folyamatoknak a fizikájából/kémiájából, amiket a folyamatirányító rendszerek vezényelnek, általában nem ismerik az elérhető és hatékony forensics eszközöket és eljárásokat. Nincs más megoldás, együttműködésre lesz szükség, még akkor is, ha ez az első pillanatokban vélhetően senkinek nem fog tetszeni az érintett csapatokból.

Szólj hozzá!
incidenskezelés ICS biztonság Chris Sistrunk

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6218323415

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása