A kritikus és ipari infrastruktúrákban létfontosságú szerepet betöltő vezérlőrendszereknél az üzembiztonság és a rendelkezésre állás folyamatos biztosítása mindennél fontosabb szempont. E rendszereket már a kezdetektől fogva úgy tervezték, hogy kellő redundanciával és megbízható – akár valós idejű működésre képes – szoftverek segítségével garantálni lehessen a zavartalan működést.

Miközben a hagyományos IT-rendszerek esetében mindennapossá váltak a kiberbiztonsági problémák, aközben az ipari rendszerek és a SCADA (Supervisory Control and Data Acquisition) üzemeltetői egészen 2010-ig nem igazán foglalkoztak hathatósan e veszélyekkel. Akkor aztán a hírhedt Stuxnet kártevő bebizonyította, hogy kritikus rendszereket is térdre lehet kényszeríteni. Ez sok helyen meglepetésként érte az üzemeltetőket, pedig a kockázatok már korábban begyűrűztek: a vezérlőrendszerek egyre több általános célú hardvert és szoftvert foglaltak magukban, miközben elkezdett meggyengülni a korábban nagyon szigorú hálózati szegmentáció. Az izolált rendszerek egyszer csak a vállalati hálózatokhoz kapcsolódtak, sőt nem egy esetben internet elérést is kaptak, például távfelügyeleti célokra. Mivel a vezérlőrendszereket elsődlegesen nem a hackerek által jelentett kockázatok kezelésére készítették fel, és a SCADA világban működő szoftvereket is emberek írták, így a biztonsági rések e környezetekben is aggodalomra kezdtek okot adni. Megállapíthatjuk, hogy kinyíltak az ajtók a kiberbűnözők előtt, akik mindezt nem restek kihasználni.

Hagyományos fenyegetettségek, nem mindennapi védelem

Az ipari rendszerek mind nyitottabbá válása, az általános célú hardverek és szoftverek alkalmazása mind ahhoz vezetett, hogy a magas kockázati besorolású infrastruktúrák hagyományos fenyegetettségekkel találták szemben magukat. Ezért azt is gondolhatnánk, hogy hagyományos védelmi technológiákkal is könnyedén kezelhetők a kockázatok. Csakhogy mindez koránt sincs így.

A SCADA és az ipari rendszereknek egyrészt van egy sor specialitás tulajdonsága, másrészt a a legfontosabb szempontjuk az üzembiztonság garantálása. Tehát ezeknél a hagyományos biztonsági megoldások nem alkalmazhatók, hiszen egy téves riasztás, illetve beavatkozás roppant komoly károkat okozna, ha amiatt leállna a termelés vagy szünetelne a szolgáltatás

Éppen ezért a SCADA-hoz kidolgozott biztonsági ajánlások, valamint a konkrét védelmi intézkedések inkább a monitorozásra helyezik a hangsúlyt. Tehát  szigorúan kell monitorozni  a rendszert és felhasználói tevékenységeket, eseményeket, de az aktív beavatkozásokkal csínján kell bánni.

A szervezetek ennek szellemében kitartóan végzik a naplózást, roppant komoly méretű adatbázisokat hoznak létre. Ezzel azonban még nem oldottak meg két kulcsfontosságú feladatot: a fenyegetettségek detektálását, valamint az incidensekre történő gyors reagálást.

Monitorozott ipari rendszerek

A Balasys az ipari vezérlőrendszerek és a SCADA kapcsán felmerülő biztonsági kihívásokra egy olyan megoldáscsomaggal reagál, amelynek alapját jelentő technológiák már világszerte bizonyítottak, és képesek a fent megfogalmazott elvárásoknak megfelelni.

Ebben a SCADA rendszerek naplóadatainak gyűjtésére és tárolására a syslog-ng Store Box szolgál, amely a naplóüzenetek teljes életciklusának kezelését lefedi. A logokat számos rendszerből képes begyűjteni, azokat gyorsan kereshetővé teszi, és nem utolsósorban szigorú hozzáférés-szabályozást biztosít.

Balasys-védelem SCADA rendszerekhez
(Kattintson a képre, és nézze meg nagyobb méretben)

A második pillért a Shell Control Box adja, amely egy tevékenység-felügyeleti berendezés. A célja, hogy a felhasználói tevékenységeket, munkafolyamatokat ellenőrizhetővé, nyomon követhetővé tegye. Az ipari rendszerek esetében erre leginkább a HMI (Human Machine Interface) feladatokat támogató számítógépek esetében van szükség, hiszen a kritikus felhasználói tevékenységek elsősorban ezeken a vezérlésre, felügyeletre és beavatkozásra hivatott felületeken érhetők tetten. Az eszköz nem csak videofilmszerűen visszajátszható formában rögzíti a felhasználói aktivitásokat az egyszerű és gyors kiértékelés érdekében, hanem képes meghatározott parancsokat kiadni, és a véletlen vagy szándékolt károkozást megakadályozni.

A harmadik pillér a Zorp nevű határvédelmi technológia, amely a SCADA protokollok teljes körű értelmezésére és mély elemzésére alkalmas. A hálózati kapcsolatok proxy-szintű elemzése és a protokollok eredeti szabályainak ismerete alapján azonosítja a szabványokat, és kiszűri a sértő kapcsolatokat.

A három megoldás által gyűjtött felhasználói és hálózati információk feldolgozását és elemzését a Blindspotter nevű elemző eszköz végzi, amely képes a kockázatos tevékenységeket és viselkedésmintákat azonosítani, ezek súlyától függően priorizálni és egy jól áttekinthető műszerfalon megjeleníteni, indokolt esetben azonnali beavatkozást lehetővé tevő riasztásokat küldeni.

A Balasys által ajánlott eszközök a SCADA rendszerek teljes monitorozását lefedik, és egyedülálló megoldáscsomagot nyújt az ipari létesítmények és gyártó szervezetek számára, oly módon, hogy közben az üzembiztonságot és a létfontosságú infrastruktúrák zavartalan működését nem veszélyezteti.