Bezpieczeństwo w sieci przemysłowej – architektury oparte na wykrywaniu zagrożeń

Tomasz 27 lipca 2022

Tomasz Stępiński-Ustasiak
Ekspert współpracujący z FPPP

Celem artykułu jest przedstawienie różnic pomiędzy podejściem do bezpieczeństwa sieci IT (Information Technology) i sieci przemysłowych OT (Operational Technology). Podczas pisania sekcji dotyczącej wykrywania zagrożeń korzystano z rekomendacji National Institute of Standards and Technology, a w szczególności opracowania pt. „Guide to Industrial Control Systems (ICS) Security”[1] .

Obecnie przedsiębiorstwa zajmujące się infrastrukturą przemysłową i krytyczną stają w obliczu nowej rzeczywistości w zakresie cyberbezpieczeństwa. Wiele firm przemysłowych pracuje nad spełnieniem nowych wymogów regulacyjnych oraz wprowadza normy w zakresie cyberbezpieczeństwa w celu zwalczania zagrożeń. Podczas tych prac szybko okazuje się, że połączenie nowoczesnych zagrożeń z konwergencją środowisk OT i IT ujawnia luki w architekturze.

Na rynku dostępnych jest wiele narzędzi, które pomagają zwalczać zagrożenia oraz umożliwiają spełnienie wymogów regulacyjnych. Rozwiązania te obejmują: widoczność zasobów, inwentaryzację i zarządzanie, a także wykrywanie zagrożeń i podejmowanie konkretnych działań celem ich eliminowania. Producenci wymienionych narzędzi dedykowanych dla firm posiadających infrastrukturę OT to m.in. Dragos, Forescout, Claroty, Nozomi Networks, SCADAfence. Wybór konkretnego narzędzia powinien być poprzedzony rzetelną analizą możliwości określonego rozwiązania oraz potrzeb przedsiębiorstwa.       

Po dokonaniu wyboru, kolejnym wyzwaniem staje się zaprojektowanie łączności w całej sieci tak, aby zapewnić widoczność pakietów. Jest to konieczne, aby narzędzia te prawidłowo mapowały i zabezpieczały sieć. Rozwiązaniem, które zapewnia nieprzerwaną widoczność pakietów, a tym samym umożliwia prawidłowe działanie tych narzędzi są specjalistyczne TAPy sieciowe.   

Przykładem firmy, która specjalizuje się w zapewnianiu prawidłowej widoczności pakietów jest Garland Technology. Lata współpracy z klientami OT, agencjami rządowymi oraz współpraca technologiczna z producentami systemów zabezpieczeń sieci OT – wszystko to pozwoliło na  zaprojektowanie specjalistycznych sieciowych TAPów współpracujących z tymi unikalnymi środowiskami. 

TAPy dedykowane dla firm OT charakteryzują się: możliwością konwersji różnych typów portów oraz ich prędkości, odpornością na niestandardowe temperatury (od –40 do +80 stopni Celsjusza), funkcjonalnością Data Diode (która fizycznie blokuje możliwość przedostawania się danych z sieci IT do OT) oraz małymi, wytrzymałymi obudowami.

Najważniejsze jest jednak to, że TAPy powinny być zaprojektowane w sposób pozwalający zespołom obsługującym ICS (Industrial Control System) na sprostanie wyzwaniom, które wiążą się z użyciem starszego sprzętu sieciowego oraz sieciami rozproszonymi. Zyskują dzięki temu pełną widoczność, niezbędną do prawidłowej pracy narzędzi bezpieczeństwa OT, a tym samym pozwalają sprostać współczesnym wyzwaniom w zakresie bezpieczeństwa sieci przemysłowych.

Czym się różni bezpieczeństwo IT od bezpieczeństwa OT?

Zgodnie z nazwą, technologia operacyjna (OT) i technologia informacyjna (IT) mają różne zastosowania. Celem OT jest zarządzanie operacjami, a konkretnie operacjami fizycznymi w różnych sektorach przemysłu, które korzystają z automatyzacji i mechanizacji. Natomiast IT istnieje w celu zarządzania informacją, czyli rejestruje, przechowuje, porządkuje, analizuje i prezentuje informacje w formie cyfrowej dla osób i organizacji.

Urządzenia IT mają zastosowanie w wielu sektorach i zazwyczaj są tańsze niż ich odpowiedniki OT. Dzięki temu są szerzej stosowane, ale też muszą zabezpieczać użytkowników przed znacznie większą liczbą różnego rodzaju zagrożeń. W praktyce oznacza to, że liczba użytkowników laptopów jest znacznie większa niż liczba sterowników programowalnych (PLC). Dlatego więcej osób zastanawia się nad tym, jak zabezpieczyć swoje laptopy przed cyberatakami, niż nad tym, jak wzmocnić środki bezpieczeństwa cybernetycznego dla sterowników PLC i maszyn, którymi sterują. W efekcie na rynku jest więcej dostawców usług cyberbezpieczeństwa, którzy poszukują sposobów ochrony komputerów niż specjalistów zajmujących się zabezpieczeniami sterowników PLC i innych komponentów systemów OT.

Rosnące zapotrzebowanie na bezpieczeństwo OT

Przez długi czas różnica w zainteresowaniu cyberbezpieczeństwem IT i OT nie miała większego znaczenia. To systemy IT były znacznie częściej podłączone do Internetu – źródła większości cyberataków. Systemy OT, najczęściej odizolowane od sieci internetowej, miały zdecydowanie mniej punktów narażonych na włamanie.

Obecnie sytuacja wygląda zdecydowanie inaczej. Operatorzy OT mogą dodawać do swoich systemów urządzenia oparte na sztucznej inteligencji, minimalizujące koszty i poprawiające wydajność. Dobrym przykładem są czujniki Przemysłowego Internetu Rzeczy (IIoT), które generują różnego rodzaju dane np. o energochłonności procesów produkcyjnych, analizują je i przedstawiają rekomendacje wykorzystania energii elektrycznej poza szczytem cenowym.

W takiej sytuacji warto wprowadzić rozwiązania z zakresu cyberbezpieczeństwa OT. Jak można to zrobić?

Kluczowe elementy cyberbezpieczeństwa: wykrywanie zagrożeń i reagowanie

Elementami niezbędnymi do skutecznego wdrożenia zasad cyberbezpieczeństwa są: monitorowanie, wykrywanie i reagowanie na zagrożenia. Program zabezpieczający powinien skanować systemy OT, sprawdzać anomalie, raportować incydenty i alarmować w przypadku pojawienia się problemów.

Rozwiązania cyberbezpieczeństwa są odpowiedzialne za przeprowadzanie automatycznego (tj. pasywnego) skanowania każdej części systemu OT w celu określenia, czy występują jakiekolwiek nietypowe zdarzenia lub oznaki zagrożenia. Analizują obecną sytuację, a także zestawiają ją z posiadanymi informacjami o cyberzagrożeniach – czyli z zewnętrznymi raportami dotyczącymi nowych lub rosnących zagrożeń. W końcowym etapie tej fazy raportują efekty swoich analiz, aby użytkownicy mogli zweryfikować, czy wszelkie wymagania zostały spełnione.

Co się dzieje, gdy wymagane jest podjęcie działań?

W przypadku wykrycia problemu generowane są alerty informujące pracowników o zaistniałym incydencie. Na podstawie zgromadzonych przez system informacji zespół specjalistów podejmuje decyzję, czy zagrożenie jest na tyle poważne, że uzasadnione jest rozpoczęcie aktywnego skanowania, czyli poszukiwania zagrożeń przez ludzi. Może też zostać wykonany kolejny krok, jakim jest wezwanie ekspertów, aby przyspieszyć reakcję i zapobiec naruszeniu priorytetów operacyjnych czy zminimalizować ewentualne przestoje.

Krótko mówiąc, wykrywanie i reagowanie na zagrożenia ma fundamentalne znaczenie. Jeśli rozwiązania cyberbezpieczeństwa nie są w stanie tego zrobić, nie mogą wykonać swojego kluczowego zadania, jakim jest ochrona systemów OT. W związku z tym operatorzy takich systemów powinni szukać sposobów na optymalizację swoich rozwiązań.

Jedną z najważniejszych rzeczy, jakie można zrobić w tym procesie, jest podjęcie próby wyeliminowania martwych punktów i zmaksymalizowania widoczności. Wykrywanie wiąże się ze skanowaniem, a skanowanie jest bardziej efektywne, gdy obejmuje wszystkie części systemu OT – każdą maszynę, komponent, czujnik, połączenie, interfejs i pozostałe elementy. Nie można bowiem zabezpieczyć tego, czego nie widać. Rozwiązania cyberbezpieczeństwa, żeby być efektywne, muszą wiedzieć, jakie dane krążą po systemie sieci przemysłowej.

Wyzwania dotyczące widoczności w środowiskach przemysłowych

To nie jest tradycyjna sieć

Środowisko systemów OT jest bardzo zróżnicowane – od rozbieżnych systemów i przepisów po topologię i montaż, na szynie DIN kończąc. To środowisko równoważy wiele systemów i urządzeń, od tych przeznaczonych do kontroli nadzorczej i akwizycji danych (SCADA), przez rozproszone systemy sterowania (DCS), systemy automatyki przemysłowej i sterowania (IACS), a kończąc na wielu różnych koncepcjach topologii, takich jak: punkt-punkt, magistrala, gwiazda, pierścień, siatka, drzewo, hybryda i łańcuch daisy. Zakres elementów oraz możliwa liczba ich konfiguracji pokazuje, dlaczego architektura warstwy widoczności może być skomplikowana, a jej elementy mogą zostać pominięte.

W tym środowisku celem jest posiadanie jak najmniejszej liczby ruchomych części, aby zminimalizować ryzyko odłączenia się kabla lub przerwania pracy sieci. Jednak nie jest to 19-calowa szafa  zasilana prądem zmiennym. Wiele sieci przemysłowych stosuje panele sterowania, używając szyny DIN – systemu montażowego służącego do zabezpieczania lub instalowania urządzeń elektrycznych w sieci i zasilania prądem stałym.

Przestrzeganie norm i przepisów

Normy, certyfikaty i różnego rodzaju regulacje pomagają zapewnić ustandaryzowane i bezproblemowe realizacje procesów przemysłowych. Dzięki nim można tworzyć sprawne i bezpieczne środowiska.

W przestrzeni przemysłowej istnieje wiele organizacji, które specjalizują się w standaryzacji norm i przepisów. Są to m.in.:

  • Organizacje opracowujące standardy (SDO), takie jak m.in. IEEE, która ustala specyfikacje dla wdrażania bezprzewodowych sieci LAN w kilku pasmach częstotliwości.
  • International Electrotechnical Commission (IEC), tworząca standardy umożliwiające komunikację inteligentnych urządzeń elektronicznych w systemach automatyki podstacji elektrycznych.
  • PROFIBUS User Organization (PNO), która nadzoruje certyfikacje i standardy związane z PROFINET, PROFIBUS i Field Device Integration (FDI).

Podsumowując, istnieje wiele wymagań sieciowych dotyczących skalowalności, konwergencji, bezpieczeństwa, wydajności, elastycznych topologii i niskich opóźnień, które pozostają kluczowymi wyzwaniami w zastosowaniach przemysłowych. Warto zwrócić uwagę, że niektóre unijne i amerykańskie wymagania dotyczące zgodności z normami bezpieczeństwa, obecnie standaryzują również oparte na pakietach narzędzia bezpieczeństwa lub narzędzia monitorujące, które należy stosować.

Problem odległości

Niezależnie od tego, czy sieć firmy obejmuje zakład produkcyjny, rafinerię, system użyteczności publicznej czy wiele lokalizacji, nie są to tradycyjne lokalizacje biznesowe, gdzie każde piętro ma swoje centrum danych i szafę z okablowaniem. Obiekty mogą być ogromne, dlatego myśląc o architekturze widoczności, należy wziąć pod uwagę bardzo ważny czynnik – odległość.

Jednym z największych problemów, z jakimi muszą sobie radzić firmy, są ograniczenia dotyczące długości okablowania. Chociaż obsługiwane są zarówno kable miedziane, jak i światłowodowe, to miedziane połączenia między urządzeniami nie mogą przekraczać 100 metrów. Chociaż Ethernet miedziany szybko stał się standardem i jest powszechnie stosowany, ograniczenia dotyczące odległości mogą stać się problemem w rozbudowanych sieciach. Połączenia światłowodowe są o wiele lepiej przystosowane do większych odległości, z limitem 2000 metrów. Jednak, w zależności od środowiska, światłowód nie zawsze okazuje się  optymalnym rozwiązaniem.

Wyzwania związane ze środowiskiem pracy

Środowisko działania systemu OT to nie tylko duże odległości. Wielu inżynierów napotyka na problemy środowiskowe i musi brać pod uwagę różne zagadnienia związane z kablami. Planując działanie systemu warto rozważyć:

  • temperatury panujące w pomieszczeniu lub otoczeniu (ekstremalnie niskie lub wysokie),
  • narażenie na promieniowanie UV,
  • możliwość uszkodzeń mechanicznych,
  • narażenie okablowania na działanie oleju, wody, wibracji lub chemikaliów,
  • ochronę kabli w określonym pomieszczeniu kontrolnym.

Planując sposób dostępu do danych oraz architekturę widoczności warto sprawdzić wymienione powyżej czynniki.

Jak uzyskać dostęp do danych?

Gdy myślimy o budowaniu sieci OT, jednym z najważniejszych czynników będzie sposób uzyskania dostępu do danych. Podobnie jak w środowiskach IT, większość przemysłowych narzędzi bezpieczeństwa i monitorowania sieci opiera się na pakietach. Przełączniki OT mogą być wyposażone w porty SPAN (awaryjny system komunikacji) lub TAP (testowe punkty dostępowe).

Jeśli w przełącznikach OT dostępne są porty SPAN, mogą być one podatne na odrzucenia pakietów, duplikatów i co bardzo prawdopodobne, mogą być już używane. Niektóre starsze przełączniki mogą w ogóle nie mieć opcji portów SPAN. Ponadto poza dobrze znanymi problemami, które wynikają z użycia portów SPAN, należy wziąć pod uwagę kilka kwestii dotyczących środowiska przemysłowego.

Po pierwsze, wiele przemysłowych routerów i przełączników jest niezarządzanych. Warto się  zatem zastanowić, czy w sieci firmowej potrzebne są tego typu łącza do sieci i narzędzi bezpieczeństwa. Alternatywą mogą być porty SPAN, które są zarządzane, ale często wymagają ponownej konfiguracji. Natomiast sieciowe TAPy działają na zasadzie „ustaw i zapomnij”.

Po drugie, ważne jest to, czy firma stosuje bramy jednokierunkowe. Niektóre zakłady próbują stosować porty SPAN, nie zdając sobie sprawy, że ten rodzaj portu jest dwukierunkowy, więc jego użycie stwarza okazję do włamania, którego możemy nawet nie być świadomi. Warto w tej sytuacji rozważyć zastosowanie specjalnie zaprojektowanych TAP Data Diode, posiadających jednokierunkowe połączenie, co stanowi dodatkową warstwę zabezpieczeń.

Zgodnie z rekomendacją Enterprise Management Associates (EMA): „Łącza SPAN mogą zwiększać obciążenie urządzenia sieciowego, a w dodatku ten rodzaj portu często odrzuca pakiety lustrzane, jeśli urządzenie jest zbytnio przeciążone. Dlatego porty TAP są lepszą opcją.”

Czas przywracania sieci podczas utraty zasilania

Strategia widoczności uwzględnia systemy, infrastrukturę, standardy i regulacje, które muszą być przestrzegane. Takie podejście determinuje sposób zbierania pakietów danych – albo pasywne, albo za pomocą aktywnego urządzenia opartego na przekaźnikach.

Pojawiają się zatem dwa główne pytania: jaki jest wymagany poziom odporności na awarie w środowisku firmy i czy stosowane są łącza GB na miedzi?

W przypadku utraty zasilania w środowisku o znaczeniu krytycznym, czas przywrócenia sieci do normalnego stanu jest niezwykle ważny. W takim przypadku najlepszą opcją byłoby użycie pasywnych światłowodów lub miedzianych TAPów 10/100M. Są to urządzenia całkowicie pasywne, co oznacza, że mogą stracić zasilanie, a łącze pozostanie włączone. Przykładem może być Copper Ethernet, aktywne rozwiązanie TAP 100/1000M, używane w środowiskach, gdzie w przypadku utraty zasilania połączenie zostanie przerwane, a następnie przywrócone w ciągu 30-300 milisekund.

Skrzyżowanie przewodów

Przy tak wielu systemach operacyjnych, opcjach połączeń oraz współpracy starszego sprzętu z narzędziami monitorującymi bezpieczeństwo i wydajność, wielu inżynierów zastanawia się, jak połączyć różne typy złączy lub mediów. Co zrobić, jeśli np. analizator sieci działa na miedzianym łączu gigabitowym, a potrzebujemy podłączyć łącze 100Base-FX? Nie ma karty NIC 100Base-FX dla urządzenia zabezpieczającego lub monitorującego wydajność.

Podczas projektowania widoczności środowiska należy wziąć pod uwagę dostępne na rynku wyspecjalizowane sieciowe TAPy np. firmy Garland Technology, umożliwiające konwersję mediów i łatwe rozwiązanie tego rodzaju problemów, zapewniające jednocześnie kopie ruchu w trybie full-duplex przez połączenia światłowodowe 100BASE-FX/LX, LC, ST.

Rozwiązywanie problemów związanych z widocznością

Najpierw organizacja powinna podjąć decyzje dotyczące: wyboru strategii bezpieczeństwa, narzędzi jakich potrzebuje do monitorowania sieci, zabezpieczeń wymaganych przez dane środowisko, określenia architektury widoczności, odpowiedniego okablowania, złącz, sposobu montażu oraz wybrać urządzenia do przechwytywania pakietów. Następnie firma powinna określić wyzwania związane z widocznością w środowisku przemysłowym i sposoby ich przezwyciężania.

Wyzwania te będą się zdecydowanie różnić od tych w sieciach tradycyjnych. Należy wziąć pod uwagę normy, przepisy, oraz to, czy sieć pokrywa rozległe przestrzenie przemysłowe, co powoduje wiele fizycznych ograniczeń. Gdy w grę wchodzą infrastruktury krytyczne, przedsiębiorcy nie mogą sobie pozwolić na martwe punkty, odrzucane pakiety, wąskie gardła lub przestoje.

Według ankiety „SANS 2019 State of OT/ICS Cybersecurity Survey”: „Widoczność ma kluczowe znaczenie dla zarządzania systemami OT/ICS. Respondenci twierdzą, że zwiększona widoczność zasobów i konfiguracji cybernetycznych systemów kontroli to najważniejsza inicjatywa, którą ich organizacje planują wprowadzić lub rozszerzyć w ciągu najbliższych 18 miesięcy.”

Podsumowanie

Aby zapewnić firmie pracę bez przestojów i wyeliminować problemy z dostarczaniem pakietów, warto rozważyć TAP w ramach sieci Industrial Ethernet. Na rynku są już dostępne rozwiązania, które mogą sprostać wyzwaniom związanym z łącznością i funkcjonowaniem w niełatwym środowisku przemysłowym.

[1] K. Stouffer, V. Pillitteri, S. Lightman, M. Abrams, A. Hahn, Guide to Industrial Control Systems (ICS) Security, National Institute of Standards and Technology, U.S. Department of Commerce, May 2015.

Sprawdź też:
Kategorie Artykuły eksperckie

Podobne artykuły

Skip to content