Print

Posuzování Kybernetického zabezpečení

-- 17.04.12

Prvním krokem při vytváření účinné obrany je zjistit, kde se nacházejí zranitelná místa. Je to obtížný, ale nezbytný proces, který nikdy nekončí.

Firmy, které se rozhodnou realizovat program kybernetického zabezpečení, často zakolísají hned zpočátku, protože nezačnou řešením některých nejzákladnějších koncepcí zabezpečení. Bez této znalosti je nemožné plánovat a bez plánu budou výsledky přinejmenším hazardem a pravděpodobně situaci ještě zhorší. Rozumný přístup vyžaduje začít základním pochopením zranitelných míst, která mohou ve vašich systémech existovat. Tato analýza je koncepčně přímočará, ale v praxi se může zkomplikovat, pokud se neprovádí správně. Ve většině situací je to bolestivé, protože firmy často zjišťují, že situace je horší, než si myslely. Jedním z prvních kroků je určit, podle které bezpečnostní normy (norem) se bude nutné řídit.

Existuje několik možností, přičemž historicky se musel řešit soulad komponent řídicího systému s normami, jako jsou NERC CIP-005, CIP-007, INGAA, CPNI a DHS CFATS. Toto rozhodnutí se bude odvíjet podle vašeho odvětví a charakteru vašich procesů. Můžete si říkat, že zvolením směrodatné normy „míříte příliš vysoko“, když vše, co chcete udělat, je jít a zakoupit firewally, ale zvažte následující analogii. Řekněme, že chcete postavit závod na zpracování potravin, takže budete používat sanitární postupy. Pokud nevíte, jak skupiny, jakými jsou 3-A a FDA, ustanovily sanitární postupy, je jen malá šance, že váš závod nakonec projde inspekcí.

Totéž platí pro bezpečnostní systémy závodu. Můžete napravit některá zjevná rizika, alenakonec budete potřebovat řízení, které vám norma poskytuje. Dále budete muset sami sebe přesvědčit, že posouzení zranitelnosti není jednorázovou událostí. Je to proces, který probíhá neustále. Musíte na to myslet každý den, protože vaše systémy ani hrozby nejsou statické. Napojte se na přísun informací od skupin kybernetického zabezpečení, počínaje skupinou DHS ICS-CERT. Díky tomu budete mít přehled o aktuální situaci a získáte doporučení pro vaši vlastní analýzu.

Bolestivý proces

Fází tohoto procesu, kterou firmy považují asi za nejbolestivější, a to fyzicky i psychicky, je provedení inventury všech vašich kybernetických prostředků, způsobů, jak jsou propojeny a naprogramovány. To může být obrovským úkolem, pokud nemáte příliš dobrou dokumentaci nebo je-li zastaralá. Ale zahrnuje vše:

  •  servery,
  •  síťové prvky,
  •  uživatelské terminály,
  •  osobní a přenosné počítače,
  •  PLC a řídicí prvky,
  •  rozváděče,
  •  bezdrátové vysílače a přijímače,
  •  všechno ostatní.


Jakmile identifikujete všechna tato zařízení, potom zdokumentujte, jaké programové vybavení je na každém z nich nainstalováno a jak jsou propojena. Ano, může to být gigantický úkol, ale je naprosto nezbytný. To zahrnuje nejen servery, jako jsou souborové, databázové, tiskové a webové servery, ale také aplikace, jako je Microsoft Word, ba dokonce i systémový firmware. Dokumentaci je pak po vytvoření nutno aktualizovat vždy, když cokoli změníte, včetně nainstalovaných záplat a aktualizací. Jinak neexistuje způsob, jakým byste dokázali blokovat všechna místa, která by případný hacker mohl najít. V dokonalém světě by to nebylo nic těžkého, protože to vše by již existovalo a bylo aktuální. Nicméně ještě jsem to nikdy neviděl. Žádná firma nemá vše kompletní a aktuální, takže si nemyslete, že byste mohli být jediní. Provedení tohoto procesu je snadnější, když máte plán:

Hovořte se svými pracovníky – Lidé, kteří pracují s vašimi sítěmi, mohou velmi dobře znát určité části vašeho systému a mohou mít určité podněty, kde by mohla existovat zranitelná místa. Zajistěte, aby se vaše diskuse nezměnila ve výslech, chcete-li opravdovou spolupráci. Zajistěte také zavedení procesu pro udržování veškeré této dokumentace pod ochranou. Tím posledním, co byste mohli potřebovat, je provést analýzu zranitelnosti, která by se pak dostala do nesprávných rukou.

Zkontrolujte svou dokumentaci – Cokoli je lepší než nic. Dokonce i zastaralá a neúplná schémata mohou  sloužit jako výchozí bod a mohou být revidována.

Zkontrolujte konfigurace zařízení – To může být velmi namáhavý proces, ale musíte znát veškeré programové vybavení, které běží ve vašem závodě, a to až na úroveň verzí. Najít odpověď může být obtížné v situacích, kdy programový kód v určitém úseku nebo stroji pochází od výrobce OEM nebo systémového integrátora. Tento externí dodavatel nemusí být ochoten tuto informaci poskytnout, ačkoli stále více dodavatelů začíná chápat jejich potřebu v tomto kontextu. Toto cvičení může být dobrou příležitostí zbavit se nepatřičných věcí, jako je přehrávač MP3 nainstalovaný na terminálu dispečinku.

Sledujte kabeláž – Nakupte si chrániče kolen, ponořte se pod stoly a podívejte se za rozváděče. Musíte vidět, kde jsou přípojná místa a která připojení mohou existovat, o nichž nevíte. Existuje spousta důvodů, proč se někdo domníval, že svázat různá zařízení dohromady byl dobrý nápad a vy je musíte odhalit.

Analyzujte síťový provoz – Když uvidíte, jak spolu ve vašich sítích prvky skutečně komunikují, může vás to upozornit na nejrůznější věci. Musíte vědět, co s čím hovoří, protože tyto komunikační kanály musí být kontrolovány a řízeny. Kam tato VPN vede? Které nové kanály je nutno vytvořit, když změníme vlastnictví?

Analyzujte bezdrátový provoz – Zatímco kabely můžete sledovat, bezdrátové připojení může jít kamkoli. Začněte určením, kolik a které frekvence využíváte. Například Bluetooth, 802.11, Zigbee, 900 MHz a další. To je zvláště důležité, protože k prolomení do vaší sítě může stačit pouhé zakoupení stejného bezdrátového repeateru, jaký někdo nainstaloval pro nahrazení poškozené kabeláže. Jakmile se vaše dokumentace dostane do lepšího stavu, otestujte se. Vyjděte do závodu a proveďte audity, zda schéma odpovídá realitě. Pokud schéma říká, že by z tohoto přepínače mělo vycházet pět připojení, proč je jich šest? Vyberte nějaký kabel a ujistěte se, že jej dokážete v plánu najít. Má tento firewall nainstalována správná pravidla? Pokud propadnete u kteréhokoli z těchto testů, musíte provést důkladnou kontrolu dosud provedené práce.

Vyšší úroveň

Sofistikovanější analýzu můžete zahájit, jakmile bude vaše dokumentace v pořádku. Podívejte se na své systémy a položte si několik otázek: Které procesy a nástroje lze obsluhovat manuálně? Co se stane, když budete předmětem útoku nebo jiného selhání systému? Máte možnost cokoli provozovat v manuálním režimu? Pokud se ocitnete ve ztížené situaci, tato schopnost může znamenat rozdíl mezi pokračováním výroby a úplným odstavením. Kolik z vašich systémů sdílí infrastrukturu? Jste v síti propojeni mnohem těsněji, než byste měli? Udržování určité oddělenosti mezi částmi závodu nebo výrobními jednotkami může pomoci izolovat problémy a minimalizovat dopady průniku. Jak „vyrovnané“ je vaše zabezpečení? Máte-li vzdálený terminál v lokalitě, která je obvykle bez obsluhy, pak úroveň fyzického a kyberprostorového zabezpečení v této lokalitě by měla být asi vyšší než v dispečinku vašeho závodu. Úroveň zabezpečení by měla odrážet potenciální nebezpečí průniku.

Jaké bezpečnostní slabiny jsou obsaženy v různých zařízeních vašeho závodu? Ve vašich sítích pravděpodobně bude mnoho zařízení, která mají jen malou ochranu sama o sobě. PLC mají výchozí hesla, a dokonce i hardwarově zakódovaná hesla, všechna zařízení implementovaná dodavatelem mohou využívat stejnou architekturu pro každého klienta (dokonce až na úroveň adresy MAC) nebo mohou využívat datovou výměnu prostým textem. Pokud se tyto vlastnosti nedají změnit, tato zařízení budou vyžadovat zvýšenou síťovou ochranu.

Podívejte se na své systémy s myšlenkou pokusit se o záměrné narušení funkce nebo způsobení selhání. Můžete přimět ventil k otevření nebo uzavření? Dokážete spustit čerpadlo v době, kdy běžet nemá? Pokud se hacker bude pokoušet o průnik do vašeho závodu, mohlo by docházet k podobným věcem. Může méně kriticky významný (a méně chráněný) systém sloužit jako brána k něčemu významnému? Podívejte se, jak jsou různé systémy vzájemně propojeny. Systém na nízké úrovni může mít nízkou úroveň ochrany, protože pravděpodobnost způsobení katastrofy je malá. Ačkoli je tato úvaha správná, musíte se ujistit, že systém na nízké úrovni nemůže poskytnout prostředky k proniknutí k něčemu významnějšímu.

Praxe v průmyslu

Technici, kteří pracují v prostředí IT, se podívají na průmyslové sítě a obvykle se zeptají, proč nepoužíváme některé základní zabezpečovací metody obvyklé v kancelářských a komerčních systémech. Skutečností je, že mnoho průmyslového vybavení lze pokládat za poměrně slabé. Pokud se hacker může dostat k PLC, je to asi snadný cíl. To znamená, že naše sítě musejí být vyztuženy na více úrovních, jinak by narušitel proniknuvší skrz obvod neměl velký problém pohybovat se uvnitř a způsobovat problémy a možná i ohrozit životy. To je jedním z důvodů, proč je tak důležité znát své sítě skrz naskrz. Musíte být schopni mít nad hackerem myšlenkovou převahu, nacházet případné slabiny a napravovat je dříve, než někdo zvenčí tuto trhlinu využije. Nikdy nebudete zcela zabezpečení, ale při určitém koordinovaném úsilí můžete zůstávat o krok napřed.

ce

Matt Luallen je zakladatel společnosti Cybati, organizace provádějící školení a poradenství v oblasti kyberprostorového zabezpečení. Je častý přispěvatel nakladatelství CFE Media.

Autor: Matt Luallen, Cybati


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Snídaně s Matrikonem
2017-09-13 - 2017-09-13
Místo: Tančící kuchyně, Praha
WEBINÁŘ: Trendy v IIoT V
2017-09-13 - 2017-09-13
Místo: webinář
3. ročník konference SMART HOME
2017-09-19 - 2017-09-19
Místo: Grandior Hotel Prague, Na Poříčí 42, Praha, konferenční sál C + D
Moderní metody rozpoznávání a zpracování obrazových informací 2017
2017-09-19 - 2017-09-19
Místo: Technická univerzita v Liberci Budova G, Univerzitní náměstí 1410/1, Liberec (posluchárna G312)
Moderní technologie pro potravinářský průmysl IV
2017-09-20 - 2017-09-20
Místo: Kongresové centrum Praha

Katalog

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 737 489 292

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

Mitsubishi Electric Europe B.V.
Mitsubishi Electric Europe B.V.
Pekařská 621/7
155 00 Praha 5
tel. +420 251 551 470

všechny firmy
Reklama


Tematické newslettery




Anketa


Ano, proto se je snažíme minimalizovat
Ne, jsou na odpovídající úrovni
Nejsou vysoké, ale rychle rostou

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2017 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI