Mostanában egyre többször hangzik el az ipari szakemberek körében egy „démoni” szófordulat, az „IT/OT konvergencia”. A kifejezés nem megfelelő használatával egy füst alatt két terület informatikai szakembergárdáját is magunkra haragíthatjuk. Gyakran azt láthatjuk, hogy az OT-környezeteket hagyományos IT-biztonsági eszközökkel próbálják megvédeni a terület biztonságáért felelős szakemberek. Ez egyfelől érthető lehet, de árnyalja a képet, ha megvizsgáljuk az adott komponensek funkcióját és működésének kritikusságát, illetve a rendelkezésre álló erőforrásokat.
Sokszor egy hagyományos tűzfal vagy végpontvédelmi megoldás beillesztése már olyan mértékben késlelteti egy ipari „process” lefutását, amivel az már nem képes megbirkózni. Egy rossz helyre illesztett, túl szigorú megoldás fizikai kárt vagy akár személyi sérülést is okozhat. A védelem elengedhetetlen, érdemes tehát körbejárni, milyen lehetőségeink vannak, ha kifejezetten ipari, gyártástechnológiai környezetek (az operational technology, OT) védelmére szeretnénk megoldást választani.
Nyilván olyan védelmi megoldást kell keresnünk, amelyet kifejezetten ilyen körülményekre optimalizáltak: minimális késleltetést visz a folyamatokba, és alacsony az erőforrásigénye. Szerteágazó kérdéskör ez, mert az ilyen megoldások nemcsak egy területet fed(het)nek le, hanem beszélhetünk aktív, passzív eszközökről, illetve hálózati és végponti védelemről is (továbbá még ezer más területről).
Egy passzív megoldás
Általánosságban nagyobb támogatásnak örvend az üzemeltetési technológia (OT) területén, mi magunk is korábban többször bemutattuk a Clico portfólióján belül a Forescout EyeInspect megoldását, amely a hálózati forgalom elemzése alapján képes megjeleníteni az adott környezetekben fellelhető eszközöket. Megtudhatjuk milyen verziójú szoftver/firmware fut rajtuk, és milyen sérülékenységek jellemzik az egyes eszközöket, milyen kommunikáció zajlik a talált eszközök között, és adott esetben segít felderíteni a nem biztonságos protokollok használatát is – mindezt passzív módon. Jelentős előrelépés a gyakran tapasztalható információhiány kezelésében, és mivel elsősorban a tükrözött forgalomból dolgozik a rendszer, nem nyúlunk az eszközökhöz, kivéve olyan esetekben, amikor ez kifejezetten preferált.
Igény esetén a Forescout megoldását integrálni lehet a gyártó NAC-megoldásával, és ezen keresztül egyéb security eszközökkel is. Maga az EyeInspect akár kétrétegű, központi menedzsmentkonzollal is elérhető, így a különböző telephelyek vagy üzemek rendelkezhetnek saját helyi, illetve egy összesített központi menedzsment konzollal is.
Be kell avatkozni
Ha a vizibilitás már adott, vagy rögtön olyan eszközt keresünk, amely képes valós időben beavatkozni, akkor az aktív megoldások felé érdemes fordulni. Az OT-specifikus megoldások között találunk egy viszonylag új gyártót, a TXOne-t, amely 2019 óta van a piacon. A TXOne a „zero trust” architektúra ipari környezetekre való kiterjesztését tűzte ki célul. A startup jelenleg több, mint 3600 ügyféllel rendelkezik, és mögötte nem kisebb cégek állnak, mint a TrendMicro és a MOXA.
A cél eléréséhez az első lépésünk a beszédes nevű EdgeIPS, IPS-funkciót ellátó megoldások beillesztése a hálózatba. Ezek az eszközök segítenek a hagyományosan lapos és szegmentáció nélküli környezetek mikroszegmentációjában, legyen szó akár egy-két szegmensről/eszközről, vagy akár 48 különböző szegmensről egy eszközön belül. A speciálisan erre a célra gyártott eszközök már a legkisebb modellek esetén is rendelkeznek beépített bypass modullal és redundáns tápellátással, hogy egy esetleges eszköz meghibásodása esetén ne legyen kimaradás.
Fontos jellemzőjük, hogy a hálózati címzés módosítása nélkül 500 µs-nál rövidebb késleltetéssel transzparens módon beilleszthetők a környezetbe. Szükség esetén képesek akár passzívan, monitor módban is működni. A beépített automatikus tanulás használatával pedig a szabályrendszerek megalkotása és a környezetek felderítése is nagyban leegyszerűsíthető.
Az eszközök tulajdonságait és a támogatott protokollokat a gyártástechnológiai (OT-) környezetek sajátosságainak előtérbe helyezésével fejlesztették ki. Ilyen képesség például az ipari környezetek esetén hírhedten elavult szoftverekben található sérülékenységek virtuális patchelése, amivel leállás és frissítés nélkül tudjuk befoltozni a sérülékeny eszközöket. Ezenfelül az OT-specifikus protokollok esetén Layer7-es (művelet szintű) beavatkozási képességgel rendelkeznek. Több eszköz használata esetén az EdgeOne központi menedzsment megoldáson keresztül egy helyen, könnyen használható grafikus felületen keresztül tudjuk elvégezni a különféle beállításokat.
Védjük az öregeket!
Ha az ipari környezetben több legacy Windows-kliens vagy -szerver alapú eszköz is lapul, akkor érdemes ezek védelméről is gondoskodni, már végpont szinten is. Ezekben a környezetekben a hosszabb életciklusnak köszönhetően az eszközök általában régebbi operációs rendszert futtatnak (esetenként frissítések nélkül), és sokszor minimális szabad erőforrással rendelkeznek. Ezért fontos, hogy speciálisan egy ilyen környezetre kifejlesztett megoldás nyújtson védelmet számukra.
A TXOne portfóliójában ez a „Stellar”, amelyet a gyártó a Cyber-Physical System Detection and Response (CPSDR-) kategóriába sorol, ez gyakorlatilag az OT-környezetek EDR-megoldásait takarja. Az agent képes több, mint 8000 különféle OT-specifikus alkalmazás, eszköz és tanúsítvány felismerésére, és akár régi Windows 2000 és XP rendszerek védelmét is képes ellátni. A „hagyományos” támadások mellett fel tudja ismerni az ipari környezettel összefüggő programok és a rendszer elemeinek módosításaira tett kísérleteket, illetve viselkedés alapú védelmet is nyújt. Használatával jól körbebástyázott végpontokat kapunk, akár teljesen elszigetelt (air-gapped) hálózatok esetén is, on-prem működéssel.
A Forescout megoldása korábban „SilentDefense” néven volt ismert. A SecurityMatters nevű, OT-biztonság fókuszú cég felvásárlásával vált a Forescout plaftorm részévé
Szoftverügynök nélkül is lehet
Ha bizonyos eszközökre nem tudunk, vagy nem szeretnénk végponti agentet telepíteni, akkor érdemes megvizsgálni az „Element” termékcsaládot. Akkor is optimális választás lehet, ha csupán egy általunk megbízhatónak ítélt vizsgálatot szeretnénk lefuttatni a környezetünkbe bekerülő eszközöket érintően. Az „Element” családba tartozó eszközök telepítés nélkül futtathatók, USB vizsgáló eszközként használhatók.
A vírusok elleni vizsgálat mellett felmérik az eszközökön található alkalmazásokat, frissítéseket, és ezt képesek megjeleníteni egy központi konzolon keresztül. A „Pro” sorozatú eszközök esetén a képességek még titkosított, és security szempontból átvizsgált tárhellyel is kiegészülnek. A portable inspector kifejezetten hasznos tud lenni például külső karbantartók felügyeletére, de akár a legyártott eszközök szállítás előtti átvizsgálására is használható. Az megoldás a Stellar agenthez hasonlóan akár Windows 2000 (SP3/SP4) vagy XP (SP1) esetén is használható, sőt, Linux-rendszereket is támogat.
Záró gondolatként azt szeretném hangsúlyozni – hogy bár sok esetben a fő prioritás az ipari környezetek üzembiztonsága – nem szabad elhanyagolni a biztonságos működést sem. Javasolt a nagyobb egységeket, amelyek között a kommunikáció megengedi, robusztusabb védelemmel ellátni, míg a kisebb egységek esetében legalább a vizibilitásra törekedni.