Ami működik, azt ne akarjuk megjavítani – ez a szemlélet mélyen áthatja a gyártóipart, szemben a folyamatosan újító IT-val. A Trend Micro egy 2019-ben publikált tanulmánya szerint például még mindig számottevő mennyiségben található ipari környezetekben Windows XP, amire már kiterjesztett támogatást sem lehet vásárolni a Microsofttól. Ez azonban nem a felhasználó hibája. Adódik a ipari hardverek és a szoftverek eltérő életciklusából: emiatt előfordul, hogy a gyártóberendezés szoftvere már az operációs rendszere legrégebbi, de még támogatott verziójával sem kompatibilis.

De van más különbség is az IT és az OT (Operation Technology, azaz a hálózatba kapcsolt gyártórendszerek összessége) között. Bár rendre kibuknak brutális incidensek, az IT-biztonság alapvetően egy jól működő terület: a technológia kellően fejlett, a módszertan megalapozott ahhoz, hogy egy felkészült csapat elboldoguljon a támadásokkal, sőt proaktívan lehet készülni akár a legextrémebb jövőbeni kockázatokra is.

Ezzel szemben az OT, amely alatt nemcsak a szorosan vett gyártóipart (például egy cipőgyárat), hanem a kritikus infrastruktúra egyes elemeit (például egy atomerőmű) is értjük, a digitalizálás és az IT-biztonság némileg elszakadt egymástól, ami mára égető problémává vált (az okok a fentieken túl részben az OT történeti fejlődésében, részben az IT és az OT eltérő természetében keresendők). Szintén a Trend Micro kutatási eredménye, hogy az IIoT (Industrial Internet of Things) eszközök és szoftverek terjedése nyomán gyorsan szaporodnak az ipari rendszerek sebezhetőségei. Az ICS-ekben (Industrial Control Systems) felfedezett sérülékenységek száma például tavaly első félévben meredeken emelkedett (lásd lentebb a grafikont).

Régi gyártósor korszerű körítéssel

Az IT és az OT konvergenciája lényegében az a folyamat, amely során az OT rendszereinek hatékonyságát próbálják javítani azáltal, hogy azokat összekapcsolják különböző korszerű IT-megoldásokkal. Csakhogy a két terület eltérő termékéletciklussal dolgozik, az IT-megoldások "szavatossága" jóval hamarabb lejár, mint az ugyanakkor piacra dobott gyártóeszközöké. Így minél átfogóbb a konvergencia, annál inkább kitetté válik az OT a fejlett kiberfenyegetéseknek. Az OT-rendszereket jellemzően kellően robusztusra tervezik, hogy képesek legyenek hosszú ideig folyamatosan működni. Ritkán is kapnak frissítést, mert annak telepítése kisebb-nagyobb leállást okozna a termelésben. Így viszont sokáig nyitva maradnak a biztonsági rések. És minél régebbi egy rendszer, annál több kockázatot jelent. (Utóbbi probléma egyébként az IT-ben sem ismeretlen.)

Ezzel hosszú évekig-évtizedekig együtt lehetett élni (az ICS-ek a 60-as évek elején terjedtek el), mert az OT zárt rendszerként vagy zárt hálózatként (ún. légréses rendszerek) működött, így illetéktelenek nem férhettek hozzá. Emiatt fölösleges is volt felkészíteni olyan támadások kivédésére, melyek ma már mindennaposak a kibertérben. A 2010-es hírhedt Stuxnet-támadás azonban gyorsan meg mutatta, hogy ez a biztonságérzet ingatag alapokon nyugszik.

Az "okosgyár" iránti igény arra készteti a gyártóvállalatokat, hogy egyre nagyobb mértékben támaszkodjanak az IT-ra. A globális gyártási és szállításilánc-rendszerek következtében pedig már az is egyre kevésbé tartható, hogy a gyártórendszereket légmentesen elszigetelik a külvilágtól. A modern kommunikációs technológiák, a terjedő campushálózatok, az IIoT stb. mind a hálózatosítás irányba tolják a gyártást új optimalizálási lehetőségeket mutatva a vállalatoknak. Ez azonban egyben azt is jelenti, hogy a kockázatok is globálisan jelentkeznek, mint azt a Norsk Hydro elleni 2019-es ransomware-támadás megmutatta.

Egyszerre több kockázati tényezővel is számolni kell. A gyártóeszközökre jellemzően csak a gyártási szünetekben lehet javításokat telepíteni, tehát egy nulladik napi sérülékenység is hosszabb ideig nyitva maradhat. Az OT-oldalon általában gyenge a hitelesítés: az eszközökhöz lényegében bárki hozzáfér a nem védett ipari protokollok miatt. Sem az eszközök, sem az azokat összekapcsoló hálózatok nem láthatók eléggé. És a legnagyobb kihívás, amire a bevezetőben is utaltunk, hogy a gyárakban az első számú prioritás: a termelésnek mennie kell.

Kell egy jó terv...

Ennyi kihívásnak meglehetősen nehéz megfelelni. Szakértők szerint a védelem felépítésénél az első számú feladat átláthatóság biztosítása, azaz hogy a védelmi rendszer képes legyen látni a teljes architektúrát és az eszközöket/szolgáltatásokat. Ez biztosítja ugyanis a támadási kísérletek észlelhetőségét.

Alapvetően a koncepciót a megelőzés – detektálás – a védelem fenntartása hármasra érdemes építeni. A megelőzés egy hatékony határvédelemmel kezdődik, ami mögött külön védelem biztosítja a szerverek, az IoT gateway-ek, USB-tárolók, harmadik féltől származó laptopok és a gépek védelemét.

A következő lépés a hatékony detektálás: minimalizálni kell a támadás felismeréséhez szükséges időt. Ebben elsősorban a hálózatmonitorozás segít. Már a passzív monitorozással is elegendő adat gyűjthető például olyan profilok építéshez, amelyekkel egy anomáliadetektáló ki tudja szűrni a rendellenes, külső vagy belső támadásra utaló viselkedéseket. Így időben be lehet avatkozni anélkül, hogy maguk az ipari folyamatok leállnának. De lehet alkalmazni erőforrás-igényesebb aktív monitorozási technikákat is.

Van lehetőség titkosított kommunikációra – egyre több OT-berendezésgyártó épít be TLS-titkosítást a termékeibe. Ezzel általában az a probléma, hogy az erős titkosítás meglehetősen sok erőforrást lefoglal az OT-berendezések jellemzően kis számítási kapacitásából.

A biztonság szintjének fenntartása talán a legösszetettebb feladat, hiszen mind a megelőzés, mind a detektálás eszközeinek folyamatos felülvizsgálatát igényli. Segíthetnek azonban olyan technikák, mint a hálózat szegmentálása, amely megakadályozza az esetleges fertőzés terjedését, vagy a termelő berendezések és a velük kapcsolatos biztonsági események vizualizálása. A kritikus berendezéseket hálózati szinten is érdemes védeni. Külön figyelmet kell szentelni azokra a berendezésekre, melyekre nem telepíthető biztonsági szoftver.

Ez a cikk független szerkesztőségi tartalom, mely a Trend Micro támogatásával készült. Részletek »