Zaprojektuj miejsca monitorowania sieci OT.
1. Sprawdź jaką posiadasz architekturę w dokumentacji wykonawczej
2. Zaplanuj i wytypuj kluczowe segmenty do monitorowania
Instalacja sond powinna zapewnić odpowiednie w skali do zagrożenia monitorowanie ruchu. „Tradycyjne” umiejscowienie sondy w sieciach IT bezpośrednio za firewallem zapewnia monitorowanie tylko przed włamaniami bądź zagrożeniami zewnętrznymi. W celu pełnej ochrony infrastruktury należy także (lub przede wszystkim) monitorować cały ruch sieciowy w każdej pojedynczej podsieci, do której jest możliwy fizyczny dostęp osoby niepowołanej.
„W celu uzyskania jak największej dokładności i wiarygodności w wykrywaniu anomalii istotne jest, aby miejsce monitorowania sieci przemysłowej było jak najbliżej komunikujących się urządzeń”
Taka szczególna ochrona jest najbardziej istotna w przypadku sieci przemysłowych, dla których monitorowanie ruchu na najniższym poziomie (poszczególnych czujników i urządzeń wykonawczych) pozwala zapobiec i/lub zminimalizować ten wpływ na proces produkcyjny (czyli infrastrukturę krytyczną przedsiębiorstwa). W celu uzyskania jak największej dokładności
i wiarygodności w wykrywaniu anomalii istotne jest, aby miejsce monitorowania sieci przemysłowej było jak najbliżej komunikujących się urządzeń. Należałoby zbierać dane
o charakterystyce ruchu w każdym segmencie sieci OT. Dzięki temu można obserwować zmiany dla wszystkich obiektów w danej instalacji w tym, w szczególności pojawienie się nowego urządzenia, a także wskazać każdą nową komunikację między urządzeniami lub jej zmianę.
W rzeczywistości ilość segmentów sieci w instalacjach przemysłowych jest bardzo duża
i użytkownicy decydują się na dokładne monitorowanie tylko krytycznych jej części. Pozostałe segmenty pozostają bez pełnej kontroli i jedynie mogą być szczątkowo nadzorowane poprzez swoją komunikację z już monitorowanymi segmentami sieci. Decyzja o wyborze miejsc monitorowania sieci powinna być podjęta wspólnie przez wszystkich właścicieli procesów
i we współpracy z osobami odpowiedzialnymi za bezpieczeństwo w organizacji.
Często sieci przemysłowe posiadają nie tylko warstwę industrial Ethernet, ale także starsze magistrale komunikacyjne takie jak RS czy CAN. Możliwe jest zainstalowanie w tych sieciach nieautoryzowanego urządzenia wyposażonego w modem LTE, które może posłużyć do pełnego przejęcia kontroli nad komunikacją urządzeń tej sieci. W związku z tym, zaleca się objęcie monitoringiem i analizą ruchu także urządzeń dla danych magistrali. Powyższa architektura sposobu monitorowania umożliwia zbudowanie obrazu całej posiadanej instalacji infrastruktury OT wraz z analizą i wykrywaniem anomalii.Pozwoli to między innymi na wykrycie pojawienia się nowego nieautoryzowanego urządzenia wpiętego w podsieć, także w sytuacji gdy nie komunikuje się ono z urządzeniami w innych częściach infrastruktury, a jedynie z niewielką grupą elementów w ramach własnej podsieci. Przykładem takiej anomalii może być wpięcie obcego urządzenia, poprzez które można zrealizować atak na infrastrukturę np. typu „man in the middle”.
Taki szczegółowy monitoring determinuje konieczność uruchomienia punktów zbierania informacji w wielu miejscach (segmentach sieci), dzięki czemu istnieje możliwość precyzyjnego wskazania potencjalnego źródła ataku.
Wybierz system z odpowiednią metodologią monitorowania sieci przemysłowej:
1. Metody BEHAWIORALNE
2. Metody REGUŁOWE
3. Metody MIESZANE
W tradycyjnym podejściu do problemu wykrywania anomalii w zachowaniu sieci przemysłowych wykorzystuje się analizę pakietów w kierunku zdarzeń łamiących predefiniowany zestaw zasad (eng. ‘rules’) lub zgodnych ze wzorcem zachowania niebezpiecznego (eng: ‘signatures’).
W pierwszym przypadku można wyróżnić trzy rodzaje zasad: anomalne (np. chwilowe zmiany w ilości pakietów), progowe (np. liczba zdarzeń w sieci przekracza zadany limit) oraz behawioralne (np. niespodziewana nagła komunikacja serwera e-mail z wieloma klientami). W drugim powyższym przypadku system działa na zasadzie porównania zawartości pakietów z sygnaturami obecnymi w bazie danych znanych zagrożeń. Wadą obu powyższych rozwiązań jest konieczność znajomości charakterystyki zagrożenia przed jego wystąpieniem (a priori).
W przypadku pojawienia się nowego rodzaju zagrożenia nie zostanie ono wykryte.
Rozwiązanie pozwalające na automatyczne wykrywanie nieznanych anomalii wykorzystuje metody uczenia maszynowego w celu odwzorowania referencyjnej architektury sieci (w tym: ruchu sieciowego), by następnie zgłaszać wszelkie odstępstwa od wytrenowanego modelu.
Dzięki świadomości środowiska pracy, system taki jest w stanie zareagować na wszelkie odstępstwa od normy w ruchu sieciowym bez konieczności ręcznego definiowania zasad ruchu, synchronizowania bazy zagrożeń, czy szerokiej znajomości systemu przez użytkownika systemu.
„Budowanie modeli ściśle dopasowanych do charakterystyki chronionej sieci pokrywa znaczącą część spektrum możliwych zagrożeń…„
Metody behawioralne w wykrywaniu zagrożeń mają przewagę nad metodami sygnaturowymi
i regułowymi ze względu na to, że system monitorowania może być całkowicie „odcięty” od świata zewnętrznego bez konieczności aktualizowania reguł i sygnatur. Budowanie modeli ściśle dopasowanych do charakterystyki chronionej sieci pokrywa znaczącą część spektrum możliwych zagrożeń dopełniając znacznie mniejszy i już znany obszar zagrożeń wykrywanych przez metody regułowe i sygnaturowe.
Podstawową zaletą behawiorystki jest możliwość wykrywania nieznanych jeszcze zagrożeń
i typów ataków (Zero Day Attack). Pozwala to na zwiększoną kontrolę nad komunikacją w sieciach przemysłowych, a każde odstępstwo od normalnego zachowania jest wykryte. Wadą takiego rozwiązania jest pojawianie się fałszywych alarmów, wynikających z wykrywania nieszkodliwych odchyleń w prawidłowym działaniu sieci, jednak wykorzystanie kilku modeli behawioralnych pozwala na eliminowanie alarmów false-positive.
Wykrywanie oparte na sygnaturach pozwala na szybkie wyśledzenie znanych zagrożeń pod warunkiem, że są precyzyjnie zdefiniowane. Jest to dokładny system predykcji, ale pozostaje bezradny wobec bardziej wyszukanych ataków. W erze cybernetycznego wyścigu zbrojeń kwestią kluczową pozostaje szybkość reakcji, więc systemy potrafiące adaptować się do detekcji nowych zagrożeń mają znaczącą przewagę nad systemami opartymi o sygnatury.
W praktyce najlepiej wdrożyć rozwiązania hybrydowe – wykorzystujące metody regułowe
i sygnaturowe, a także metody oparte o ML. Pozwoli to na szybkie wykrycie ataków znanych
i zwrócenie uwagi na anomalne zachowanie monitorowanego systemu w przypadku ataków zero-day.
Monitoruj, audytuj, zarządzaj aktywami i podatnościami,
wykrywaj zagrożenia i klasyfikuj jako incydenty
Zintegruj system z SIEM, UEBA lub SOAR
Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.