Безопасность сети начинается с видимости

Исследование компании Fortinet: «Повышенная прозрачность для промышленных и критически важных инфраструктурных сетей»

Системы эксплуатационных технологий (OT) управляют промышленными и критически важными инфраструктурными сетями в таких секторах, как энергетика, коммунальное хозяйство, производство, связь, транспорт и оборона. Поскольку во всех отраслях все чаще внедряют широкий спектр новых цифровых технологий, OT-сети имеют все больше пересечений с подключенными к Интернету информационными (IT) сетями. Такое совмещение означает, что изолированные в недалеком прошлом OT-системы теперь подвергаются широкому спектру атак через IT-сети. Поскольку традиционные стратегии безопасности разрабатывались без учета особых требований к OT-системам, аналитики операций сети должны найти методы защиты, которые обеспечат видимость, контроль и ситуационную осведомленность в этих средах

Защита от увеличивающегося количества направлений атак в OT-сетях

До недавнего времени основным методом защиты OT-сетей оставалась их полная изоляция от IT — использовался так называемый принцип физического разделения. Но сегодня почти 3/4 компаний сообщают о наличии как минимум базовых связей между IT- и OT-системами. Это сближение фактически сводит на нет защиту от распространенных интернет угроз при помощи физического разделения.

Работая над защитой OT-сетей от бесконечно увеличивающегося количества направлений атак и растущей волны сложных угроз, аналитики операций сети находятся под огромным давлением из-за необходимости одновременно контролировать защищенность, время безотказной работы и информационную безопасность в этих средах. В результате им приходится менять подход к обеспечению безопасности своих OT-сетей.

Согласно данным исследования Fortinet, 97% организаций подтверждают наличие проблем с безопасностью из-за сближения традиционных IT и OT-систем

*Согласно данным исследования Fortinet

Поиск нового решения для обеспечения безопасности OT

В свете сближения OT- и IT-систем, для создания развитой и эффективной системы безопасности OT необходимо учитывать некоторые особенности. Попытки устранить риски путем обычного развертывания готовых межсетевых экранов, песочниц и систем предотвращения вторжений в OT-средах приводят к недопустимым, разрушительным и неопределенным результатам. Средства безопасности OT должны специально разрабатываться с учетом протоколов, коммуникаций и служб, которые являются нативными для этих критичных сред.

Для того чтобы система безопасности охватывала всю топологию сети, а не просто состояла из отдельных решений для исправления выявленных нарушений безопасности, организациям необходимо проектировать безопасность на самых базовых уровнях OT-сред. Разные компоненты инфраструктуры безопасности организации должны работать вместе как единая и скоординированная система.

Один из таких подходов — это создание комплексной, сегментированной и многоуровневой архитектуры безопасности. Он не ограничивается простой блокировкой подключенной системы отопления, вентиляции и кондиционирования, демонстрирующей признаки компрометации. Комплексная система безопасности может обеспечить прозрачную видимость всех устройств, предоставить аналитику в реальном времени для контекстной осведомленности и средства управления на основе политик, которые гарантируют целостность устройства или системы и в то же время защищают другие критические компоненты OT-среды.

Около 2/3 (65%) OT-компаний не используют управление доступом на основе ролей

Видимость всех направлений атак

Сегодня для обеспечения надежности OT-операций необходимо непрерывно поддерживать в средах видимость всех устройств (как проводных, так и беспроводных) при их присоединении, отсоединении или перемещении из одного места в другое. В настоящее время в OT-средах обычной практикой является размещение самых разных беспроводных устройств и устройств Интернета вещей (например, интеллектуальных средств управления средой). Однако поскольку эти технологии подключаются к внешней IT-сети для получения дополнительных возможностей, именно через них в уязвимые OT-системы могут проникать угрозы.

Комплексная архитектура безопасности может поддерживать прозрачную централизованную видимость в пределах всей OT-среды. Чтобы обеспечить такую согласованную защиту, архитектура безопасности должна включать в себя встроенные подключения интерфейса прикладного программирования (API) и открытые API REST. Тогда организации смогут подключить существующие решения к экосистеме безопасности. Для настройки видимости может оказаться необходимой поддержка решений управления доступом к сети (NAC) в качестве вспомогательного инструмента для инвентаризации и управления устройствами IoT, а также другими конечными точками (без вмешательства в работу уязвимых OT-систем).

Нельзя защитить то, что невозможно увидеть

Управление доступом, обновления безопасности и другие рекомендации

Контроль в OT-системах влечет за собой определение базовых характеристик нормального трафика и предварительное определение рекомендованных функций, обеспечивающих распознавание любого поведения, отклоняющегося от нормального, а также реагирование на такое поведение в режиме реального времени. К счастью, поведение устройств в OT-средах, как правило, является статичным и проявляется в пределах предсказуемого диапазона, поэтому незамедлительное выявление и идентификация аномального поведения в них более вероятны, чем в традиционных IT-средах.

Управляющие решения должны включать коммутацию, сегментацию сети (внутренний и внешний трафик) и микросегментацию ресурсов в сети. Еще одна необходимая для OT-сред функция — это возможность принудительно перенаправлять трафик с примитивных устройств через межсетевой экран следующего поколения.

Организации должны иметь возможность применять, в том числе и принудительно, политики доступа в зависимости от того, какие именно пользователи, программы или устройства подключаются к сети. Динамические средства управления на основе ролей создают в сети сегменты, которые группируют приложения, осуществляют привязку данных и разрешают доступ только определенным группам для усиления безопасности OT. Такое детализированное управление доступом иногда называют сегментацией на основе целей — это настройка управления доступом с непрерывной оценкой доверия.

В прошлом элементы управления доступом использовали статические значения доверия для пользователей, устройств и приложений. Но доверие может изменяться из-за обычных трансформаций в бизнес-операциях или в результате возникающих угроз. Сегментация на основе намерений связывает управление доступом с постоянно обновляемыми уровнями доверия на основе информации, полученной как из внутренних, так и из внешних источников.

Сегментация на основе намерений устанавливает условия для управления доступом к ресурсам устройств и пользователей на основе выявленных бизнес-потребностей.

Ситуационная осведомленность

Аналитики операций сети могут ежедневно получать тысячи предупреждений о безопасности. После уведомления о подозрительной активности на определенном IP-адресе может потребоваться несколько часов расследования, чтобы вручную определить местонахождение подозрительного устройства, собрать информацию, имеющую отношение к событию, и оценить, действительно ли это атака или просто аномальное поведение. Нехватка кадров только усугубляет эти проблемы.

Чтобы быстро понять, какие именно действия следует предпринять в случае атаки на отдельное устройство в OT-среде, компания Fortinet рекомендует организациям использовать мгновенные оповещения и информацию о контексте угрозы. Решение, которое предоставляет функции управления информацией о безопасности и событиях (SIEM), может обеспечить унифицированную корреляцию событий и управление рисками, что позволит ускорить анализ, автоматизировать ответы и быстрее устранить нарушение.

Если обнаруживается подозрительное устройство, пытающееся получить доступ к сети, интегрированное решение NAC может автоматически в режиме реального времени отправлять аналитику операций сети уведомления об угрозах вместе с соответствующей контекстной информацией о событии для повышения точности оповещения. Это помогает аналитикам операций сети быстро обнаруживать и устранять угрозы, благодаря чему время локализации нарушения сокращается с нескольких дней до нескольких секунд.

Почти 2/3 (64%) лидеров OT отмечают, что для них труднее всего идти в ногу с изменениями, и почти половина (45%) испытывает ограничения из-за нехватки квалифицированной рабочей силы.

Прозрачность для промышленных и критически важных инфраструктурных сетей

Серьезной проблемой, по оценкам Fortinet, является защита от увеличивающегося количества атак в уязвимых OT-системах без вмешательства в их работу. Хотя сближение OT и IT дает большие преимущества, оно сопряжено с новыми рисками, о которых могут не знать аналитики сетевых операций и сотрудники отделов безопасности.

Организации должны быть уверены в том, что они владеют информацией обо всех устройствах и людях, подключающихся к их инфраструктуре в любой момент времени. OT теперь требуется полная прозрачность — полная видимость всего, что подключено к OT-сети в любой момент времени. Они нуждаются в централизованном управлении и компенсирующем контроле (например, SIEM, NAC), а также в защите конечных точек и сегментации сети. Кроме того, им необходима комплексная архитектура безопасности, которая свяжет разрозненные решения в единую систему безопасности и поможет защитить OT от всех существующих IT-угроз.

О компании Fortinet

Компания Fortinet (NASDAQ: FTNT) обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. Продукты компании легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Инновационная архитектура экосистемы Fortinet Security Fabric позволяет обеспечить безопасность без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1е место по количеству проданных средств безопасности и обеспечивает защиту более 440 тыс. клиентов по всему миру.

Автор:С. Егорова

https://neftegaz.ru/science/Oborudovanie-uslugi-materialy/548433-bezopasnost-seti-nachinaetsya-s-vidimosti/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *