Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Active Directory az OT hálózatokban

Facebook Tumblr Tweet Pinterest Tetszik
0
2024. november 02. - icscybersec

Központi címtárakat használni IT rendszerekben jó, ezt kb. már az egyetemkről kikerülő frissdiplomás informatikus hallgatók is meggyőződéssel vallják. Egyszerűbb (és központi) felhasználókezelés, könnyebb megfelelőség a különböző szabványoknak és ma már jogszabályi előírásoknak, ezek csak néhány a központi címtárak által biztosított előnyökből. A legtöbb ilyen címtár ma már a Microsoft Active Directory nevű címtár-megoldása. Ha ehhez hozzávesszük, hogy a legtöbb folyamatirányító rendszer (legalább is az Advanced Process Control-ként hivatkozott, nagy bonyolultságú rendszer, SCADA-k és DCS-ek) jellemzően szintén Microsoft Windows operációs rendszer ilyen-olyan verzióin fut, akkor érthetőnek tűnik, hogy miért is használnak AD-t címtár-szolgáltatásként egyes folyamatirányító-rendszer gyártók a DCS és SCADA rendszereikben.

Ha pedig már arról beszélünk, hogy AD-t használjunk a SCADA/DCS rendszerünk központi címtáraként, adná magát a lehetőség, hogy miért is ne integrálnánk az OT rendszereinket a meglévő IT hálózatban használt AD-vel?

Nos, nálam jóval okosabb OT és OT biztonsági mérnökök szerint ennél rosszabbat nem nagyon tehetnénk és elég azt végiggondolnunk, hogy mi is minden támadó végső célja, amikor bejut egy szervezet hálózatába, ha nem az, hogy kompromittálni tudja az adott hálózat központi címtárát? Szóval sokkal jobb ötletnek tűnik, hogy az OT rendszerek számára (de akár mindegyik SCADA/DCS rendszer számára) egy-egy saját Domain Controllert és AD-t létrehozni. Nemrég viszont szembejött egy, még 2023-ban publikált blog-bejegyzés a Cyolo nevű cég munkatársától, Josh Martin-tól, aki cikkében azt fejtegeti, szerinte miért is rossz (és lehet költséges) ötlet úgy általában AD-t használni OT környezetekben.

Josh 9 témakörben írja le a gondolatait a témával kapcsolatban:

1. Biztonsági kockázatok
2. Komplexitási és kompatibilitási kockázatok
3. Nem engedélyezett hozzáférések
4. Hibajavítások és frissítések problémája
5. Megnövekedett támadási felületet jelent az AD használata
6. Hiányzó IT tudás az OT domain-ben
7. Megfelelőségi kihívások
8. Adatintegritási kockázatok
9. Költségek és erőforrások

Persze a blog-bejegyzés vége (mint oly sokszor) most is arra fut ki, hogy a cégnek milyen, az AD-nál jobb megoldása van az OT rendszerek hozzáférés-vezérlésére és felhasználó-kezelésére, de talán ettől az egy mondattól eltekintve érdekes felvetéseket tartalmaz a cikk, amiket mindenképp érdemes alaposan végiggondolni (és megbeszélni az IT vagy OT domainben dolgozó kollégákkal, attól függően, hogy ki kezdeményezi az OT környezetben telepítendő címtár használatát), mielőtt a tervezés végén elkezdenénk a címtár telepítését és konfigurálását.

Szólj hozzá!
ICS biztonság Active Directory

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9118479741

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása