Неправильная конфигурация, вирусы-вымогатели и усталость от оповещений могут приводить к простоям сетей промышленного Интернета вещей (IIoT) в таких отраслях, как промышленное производство и энергетика. Опрошенные порталом Network Computing эксперты дают советы, как обеспечить их бесперебойную работу.
По мере объединения ИТ-, облачных и промышленных сетей на таких промышленных объектах, как порты, нефтеперерабатывающие заводы и фабрики, организации сталкиваются с новыми угрозами безопасности.
Согласно Cisco, 35% ее заказчиков называют безопасность одним из главных препятствий на пути развития IIoT. Кроме того, 93% респондентов исследования Barracuda Networks «The state of industrial security in 2022» сообщили, что их проект по обеспечению безопасности IIoT/OT оказался неудачным.
В среде IIoT датчики на физическом оборудовании подключаются к сетям, коммутаторам, маршрутизаторам и беспроводному оборудованию. Поскольку в сетях IIoT реализована автоматизация, они могут обеспечить новый уровень эффективности за счет сбора данных на периферии и заблаговременного выявления проблем. Это называют четвертой промышленной революцией, или Индустрией 4.0.
«Промышленный IoT — это объединение операционных технологий (ОТ) и ИТ для получения более глубоких инсайтов о телеметрии процессов и использования их для реального повышения эффективности или предоставления новых сервисов», — отмечает Ананд Осваль, старший вице-президент и генеральный менеджер по сетевой безопасности компании Palo Alto Networks.
По его словам, это обычно строится на основе плоской сегментированной архитектуры второго уровня (Layer 2). Плоские сети связывают устройства с одним коммутатором, а Layer 2 является уровнем данных в эталонной модели ISO.
По мере подключения «вещей» операторы сетей должны уделять больше внимания поверхности атаки, считает Осваль. «Угрозы перемещаются горизонтально, и раскрытие формально изолированных OT-систем может привести к возникновению потенциальных киберугроз в области ИТ и обратно, — говорит он. — Многие из этих IoT-систем являются частью более крупных операций. Если эти системы будут выведены из строя, может произойти потеря важных телеметрических данных, которая приведет к принятию неверных производственных решений, некачественной аналитике или остановке операций, — отмечает Осваль. — Это может привести даже к гибели людей».
Особенности внедрения обновлений в промышленном IoT
В таких отраслях, как промышленное производство и нефтегазовая промышленность, часто используются старые унаследованные системы, в которых отсутствуют системы безопасности и которые не были рассчитаны на исправления, поясняет Ларри Троуэлл, директор компании NetSPI, занимающейся тестированием на проникновение. «Хотя эти системы хорошо выполняют свою работу при правильном обслуживании, они не всегда создавались с учетом современных требований к безопасности», — говорит он.
По словам Осваля, необходимость исправления устройств разных производителей также приводит к сокращению возможностей их комплексного обслуживания. «Системы не рассчитаны на частое обновление, — говорит он. — Часто приходится ждать много недель, а то и месяцев, прежде чем откроется реальное окно обслуживания, когда все эти устройства OT и IIoT могут быть исправлены».
По словам Брайона Блэка, ИТ-менеджера коммунальной компании South Coast Water District, патчи для систем IIoT отстают от патчей для других корпоративных систем. «В системах IIoT, особенно в мире инфраструктурных коммунальных систем, частота исправлений обычно ниже, чем в корпоративных системах, — говорит он. — Патчи для IIoT-систем в коммунальном хозяйстве обычно отстают от текущих на несколько версий (месяцев, а иногда и лет). Обновление происходит после того, как производители IIoT сертифицируют (разрешают) обновление до определенного уровня или версии».
По словам Блэка, хотя непропатченные системы повышают риск кибербезопасности, он может быть «терпимым». Он рекомендует защищать их по мере необходимости, не нанося вреда или ущерба производственным системам. «Как правило, на первое место выходят безотказность и надежность системы, но при этом необходимо обеспечить как можно более надежную защиту», — говорит Блэк.
Операторы сетей не могут позволить себе отключать интеллектуальные датчики IIoT для установки патчей и апдейтов, поскольку они должны работать круглосуточно. «Безусловно, нам это знакомо, — говорит Блэк. — В большинстве систем применяется множество мер кибербезопасности — речь идет о нескольких уровнях защиты. Установка исправлений — это только один из уровней. В зависимости от ситуации, исправление часто находится на четвертом или пятом месте в ряду защитных мер».
Неправильная конфигурация, усталость от оповещений и вымогатели
Угрозы безопасности могут спровоцировать простои в работе систем IIoT и поставить под угрозу критически важную инфраструктуру. По словам Осваля, сети оказываются уязвимы, поскольку устройства IIoT невозможно просканировать из-за вероятности сбоев и нарушения их нормальной работы.
По словам Блэка, когда в его компании возникли проблемы с неправильной конфигурацией из-за установки исправлений, не соответствующих рекомендациям производителя IIoT, им пришлось произвести откат и восстановить систему из резервной копии.
Троуэлл отмечает, что в условиях дефицита кадров найти специалистов по безопасности, обладающих опытом устранения ошибок конфигурации, довольно сложно. «Повышение квалификации и обучение имеют первостепенное значение в этих отраслях, поскольку последствия простоя или компрометации критической инфраструктуры могут быть очень серьезными», — говорит он.
К дополнительным угрозам относится усталость от оповещений. По словам Троуэлла, рост технологического стека приводит к увеличению количества алертов. «Сортировка и проверка оповещений превратилась для многих команд сетевой безопасности в утомительную дополнительную работу, которая затрудняет выявление оповещений, заслуживающих внимания, это подобно поиску иголки в стоге сена», — говорит он.
По словам Блэка, отключение или игнорирование оповещений в системе IIoT недопустимо. «Время от времени усталость от оповещений действительно возникает, — говорит он. — Более важной проблемой здесь является обучение операторов тому, как распознать, какие предупреждения, которые перегружают систему, должны быть эскалированы по цепочке управления».
Кроме того, киберпреступники атакуют промышленные IoT-системы с помощью программ-вымогателей, угрожая вывести из строя критически важную инфраструктуру при отказе от выплаты выкупа, отмечает Осваль. Злоумышленники внедряют вредоносное ПО в систему IIoT, вызывая отказ в обслуживании (DoS) или препятствуя доступу к ключевым файлам, и требуют выкуп за восстановление доступа. Атака вымогателя может даже перехватить логин шлюза IIoT, отменить его пароль и обновить прошивку на вредоносную версию.
Как эффективно устранять уязвимости в сетях IIoT
По словам Осваля, IIoT-устройства работают как по «выделенным» соединениям, так и по сотовой связи 4G или 5G, поэтому для защиты таких сетей необходим комплексный подход. Он включает в себя модель безопасности с нулевым доверием (Zero Trust), предполагающую сегментированные политики «наименьших привилегий», которые определяют, какие машины могут взаимодействовать.
Комплексный подход также предполагает «понимание управления активами всех ваших устройств, обеспечение того, чтобы каждое соединение, идущее от IIoT-устройства во внешний мир, изначально имело наименее привилегированный доступ и постоянно мониторилось на предмет развертывания злоумышленниками инфраструктуры управления и контроля (С2, или C&C)», — говорит Осваль.
Атаки на системы IIoT показывают опасность предоставления доступа сторонним системам и проникновения в них вредоносного ПО, говорит Троуэлл. По его словам, для устранения уязвимостей в сетях IIoT организациям необходимы связь в реальном времени и точная инвентаризация активов. «Благодаря этому команды не только будут знать, если что-то отключится, но и смогут отслеживать тип трафика, проходящего через сеть, чтобы убедиться, что трафик не поступает извне и что ничто не может проникнуть в сеть», — говорит Троуэлл.
Инвентаризация активов особенно важна, если промышленные устройства или конечные точки поставляются различными производителями, отмечает Осваль. Для того организации могут применять как коммерческие системы мониторинга, так и инструменты с открытым исходным кодом.
«Значительную поддержку в этом деле могут оказать средства управления поверхностью атак (ASM)», — говорит Троуэлл. Он рекомендует проводить постоянное тестирование активов для выявления уязвимостей в сети и получения картины поверхности атаки. «Учитывая критичность таких сетей, идеальным вариантом является ASM-решение, имеющее компонент тестирования на проникновение или работающее вместе с программой пентестинга», — считает он.
После того как сетевые менеджеры обеспечат видимость устройств в сети IIoT, им следует использовать автоматизацию для динамической реализации процессов сегментации, советует Осваль. По его словам, сегментация также является одним из этапов реализации политики нулевого доверия, которая включает в себя принцип наименьших привилегий.
Для защиты устройств IIoT Осваль рекомендует использовать межсетевые экраны нового поколения. Они обеспечивают хорошую видимость активов в сети и позволяют сетевым менеджерам применять политики в отношении того, какие устройства могут взаимодействовать друг с другом.