+8618665898745
reeman.sales@reeman.cn
חיפוש
ilבחר
הבית/חֲדָשׁוֹת/פרטים

שיפור אבטחת הסייבר במערכות OT (טכנולוגיה תפעולית) כשהן משתלבות עם רשתות IT

Aug 26, 2024

ככל שמערכות OT ממשיכות להשתלב עם רשתות IT, חברות ייצור דורשות אמצעי אבטחת סייבר חזקים יותר כדי להפחית סיכונים.

 

עלייתו של האינטרנט התעשייתי של הדברים (IIoT) הרחיבה ללא ספק את הקישוריות מרמת המכשיר לענן, ובכך הגדילה את משטח ההתקפה של מתקנים אוטומטיים. בעוד שחיבורים ישירים לענן מציעים יתרונות עסקיים משכנעים, כגון ניטור תחזוקה מרחוק, מעקב אחר מדדי ביצועים מפתח (KPI) ואופטימיזציה של תהליכים, יתרונות אלו באים במחיר של אבטחה מוחלשת. סטיב פאלס, מנהל השיווק ב-ODVA, מסביר, "החיבורים החדשים הללו עשויים לאפשר לשחקנים גרועים לחדור לרשתות תעשייתיות, ולגרום להתמקדות מוגברת במושגי אבטחה כמו Zero Trust, הדורש אימות לפני חיבור למכשיר כלשהו. בנוסף, החשיבות של פריסת מספר רב של מכשירי אבטחה. גישות האבטחה לכיסוי כל חלקי הרשת גדלו משמעותית".

 

המושג Zero Trust מניח שהרשת כבר נפגעת. המשמעות היא שכל חיבור, ללא קשר למקור, חייב להיות מאומת, לספק רק את הגישה המינימלית הדרושה לזמן הקצר ביותר האפשרי. יתר על כן, כל התקשורת חייבת להיות מאובטחת. כדי להתקדם לעבר אפס אמון, חברות חייבות להצפין תקשורת, לספק גישה מבוססת תפקידים, לאמת נקודות קצה ולהבטיח שהתקשורת תהיה חסינה מפני פגיעה.

בנוסף לאימוץ של Zero Trust, סטיב ממליץ להשתמש במספר שיטות אבטחה כחלק מאסטרטגיית הגנה מעמיקה כדי להבטיח את האבטחה של רשתות בקרה תעשייתיות. כחלק מגישה הוליסטית מוכוונת תהליך, אבטחה פיזית והכשרת עובדים הם נקודות פתיחה מצוינות. אלו שתי שיטות פשוטות אך יעילות להרתיע שחקנים גרועים.

 

הטמעת מודלים של איומים היא דרך חיונית נוספת להבין פגיעויות ברשת ולגבש תוכניות תגובה. בהתבסס על זה, חומות אש מבוססות מתג, בדיקת מנות עמוקה, רשימת היתרים והגנות רשת אחרות ייפרסו בצורה מסודרת. סטיב ממשיך, "אם רשת ערוץ שני נפתחת עקב קישוריות ישירה, זה גם חיוני להגן על שכבת המכשיר. דוגמה להגנה על שכבת המכשיר היא CIP Security של EtherNet/IP, המספקת אימות מכשירים, זהות, שלמות נתונים, סודיות, אימות משתמשים ואכיפת מדיניות CIP אבטחה מציעה גם הגנה גמישה באמצעות פרופילים שניתן ליישם על פי דרישה על בסיס שימוש. אמצעי הגנה".

 

עם המספר ההולך וגדל של מכשירים אוטומטיים המחוברים ישירות לענן והשטחת הרשתות, אסטרטגיית אבטחה מתוכננת היטב היא קריטית. "המציאות החדשה היא שסביר להניח שיתרחשו פגיעויות, מה שיוביל לעליית גישת האבטחה Zero Trust, הדורשת אימות לכל חיבור ומאפשרת רק גישה הכרחית. חשוב לא פחות לזכור שאבטחה פיזית, הכשרת עובדים ותהליכים- גישות מבוססות יכולות להציע החזר גבוה מאוד על ההשקעה." סטיב מאמין שיש ליישם הגנה ברמות הנמוכות ביותר. אבטחה היא מניע מרכזי של חיבור מכשירים אוטומטיים לענן, מה שמוביל לרווחי פרודוקטיביות משמעותיים, מה שהופך אותו להשקעה רבת ערך עבור פעולות תעשייתיות עתידיות.

 

news-301-167

עיצוב אבטחה מהיסוד

 

באופן מסורתי, ארגונים תעשייתיים הסתמכו על מודל Purdue ליצירת סביבות OT מאובטחות על ידי פילוח תהליכים פיזיים, חיישנים, בקרות ניטור, תפעול ולוגיסטיקה. עם זאת, כפי ששמענו, פלטפורמות פתוחות יותר מביאות כעת את אבטחת רשת OT למיקוד חד יותר.

 

מייקל לסטר, מנהל אסטרטגיה, ממשל וארכיטקטורה של אבטחת סייבר באמרסון, אומר, "ארגונים צריכים כעת לשקול אבטחת סייבר בשלב ההנדסה והתכנון החזיתי של פרויקטים של מערכת הבקרה, מה שהופך את המערכת לאבטחת בתכנון. בעבר, אבטחת סייבר הגנות נוספו לעתים קרובות מאוחר יותר. זה יותר יקר ופחות יעיל משילוב אבטחת סייבר בפרויקט מההתחלה".

 

לכן, חברות יצרניות צריכות כעת לעצב יישומי תוכנה OT מהיסוד, בהתבסס על עקרונות Zero Trust, כדי ליצור מפעלים מאובטחים מטבעם בתכנון. סמנכ"ל הטכנולוגיה של אמרסון, פיטר זורניו, מאמין שהשגת אבטחת מפעל אינהרנטית על ידי תכנון לא יקרה בן לילה; זה ייקח שנים של מאמץ, רק מיושם במלואו כאשר תוכנת המערכת מתעדכנת בהדרגה כדי לשלב ארכיטקטורת אבטחה. בכל פעם שהוא מתקשר עם תוכנה אחרת, הוא יצטרך לחפש אימות ולהחזיק בזכויות הגישה הנכונות לנתונים. חלק מהמוצרים האחרונים של Emerson כבר כוללים תוכנה עם אבטחת עיצוב אינהרנטית, אך באופן מציאותי, ייתכן שיחלפו 5 עד 10 שנים עד שכל התוכנות במפעלים יוכלו לתמוך ב- Zero Trust. עם זאת, כאשר זה יהפוך למציאות, זה יהיה הפתרון האולטימטיבי לבעיות אבטחת סייבר.

 

יתרה מכך, אבטחת סייבר דורשת יותר מסתם טכנולוגיה. מייקל מאמין שאבטחת סייבר דורשת גם שינויים בהתנהגות ובתרבות. הארגון כולו צריך להבין לעומק מדוע וכיצד להשיג אבטחת סייבר, שהיא קריטית להנעת שינוי התנהגות משמעותי. לכן, בניית תרבות אבטחת סייבר הכוללת אנשים, תהליכים וטכנולוגיה היא חשובה.

 

news-600-381

 

אמצעים חזקים יותר להגנה על מערכת OT

 

כאשר מערכות OT ממשיכות להשתלב עם רשתות IT, ומציגות פרוטוקולי תקשורת מבוססי אינטרנט כמו MQTT ופרוטוקולי העברת נתונים קיימים כגון HTTPS, CsCAN ו-Modbus, משטח ההתקפה מתרחב, ומביא לוקטורי התקפה חדשים. זה מחייב מערך של אמצעי אבטחת סייבר חזק יותר כדי להפחית סיכונים. שון מאקי, מהנדס אבטחת סייבר ב-Horner Ireland, מציע את האמצעים הבאים כדי לסייע למהנדסי בקרה להגן טוב יותר על סביבות ה-OT שלהם:

 

  1. להבין את הסביבה: הבן היטב את תשתית ה-OT, כולל מערכות בקרה תעשייתיות, SCADA, PLCs והתקנים מחוברים אחרים. זיהוי נקודות תורפה פוטנציאליות על ידי תיעוד נכסים, ארכיטקטורת רשת, פרוטוקולים ונתיבי תקשורת.
  2. הערכת סיכונים ומלאי נכסים: בצע הערכת סיכונים יסודית כדי לזהות נכסים קריטיים ופגיעויות פוטנציאליות. צור מלאי נכסים, סיווג מערכות על סמך קריטיותן והעריך סיכונים נלווים. תעדוף אמצעי אבטחה על סמך הערכה זו.
  3. פילוח רשת: הטמע פילוח רשת חזק, כגון פערי אוויר, חומות אש לסינון וניטור תעבורה, ובידוד מערכות קריטיות כדי לשמור על נכסי OT מרכזיים נפרדים ממערכות לא קריטיות ומרשתות חיצוניות. הגבל את ההשפעה של פגיעויות או התקפות על ידי הכלתן בתוך מקטעי רשת ספציפיים והקטנת משטח ההתקפה.
  4. בקרת גישה ואימות: הטמע מנגנוני בקרת גישה ואימות חזקים כדי להגביל גישה לא מורשית למערכות OT. יש לאכוף אימות רב-גורמי, בקרת גישה מבוססת תפקידים ועיקרון ההרשאות הקטנות ביותר כדי להבטיח שרק צוות מורשה יוכל לגשת למערכות קריטיות.
  5. ניהול תיקונים: פתח והטמיע תהליך ניהול תיקונים קפדני כדי לשמור על מערכות OT מעודכנות עם נקודות תורפה ידועות. זה כולל עדכוני קושחה ותוכנה הקשורים לכל תיקוני פגיעות עבור PLCs/HMIs. תעדוף תיקונים על סמך קריטיות.
  6. ניטור רשת וזיהוי פריצות: פרוס כלי ניטור רשת חזקים ומערכות זיהוי חדירות (IDS) כדי לזהות ולהגיב לפעילויות חריגות בזמן אמת. עקוב אחר תעבורת רשת, יומני מערכת ודפוסי התנהגות כדי לזהות איומים פוטנציאליים או פרצות אבטחה באופן מיידי.
  7. אבטחת נקודות קצה: הטמע פתרונות הגנה על נקודות קצה, כגון חומות אש, תוכנות אנטי-וירוס ומערכות למניעת חדירה, עבור מכשירים דומים באותה רשת, כדי להגן על המכשירים התעשייתיים שלך מפני תוכנות זדוניות וגישה לא מורשית.
  8. הצפנה: הצפין נתונים הן במעבר והן במצב מנוחה כדי למנוע יירוט או שיבוש בלתי מורשה. הטמע פרוטוקולי הצפנה חזקים לתקשורת רשת, כגון Transport Layer Security (TLS), במיוחד בעת שימוש בתעודות X.509 בתעשיות כבדות MQTT, והצפין נתונים רגישים המאוחסנים בהתקני OT.
  9. תוכנית תגובה לאירועים: פתח תוכנית תגובה מקיפה לאירועים המתארת ​​את הנהלים לאיתור, הכלה והפחתה של אירועי אבטחת סייבר. הגדירו תפקידים ואחריות, קבעו פרוטוקולי תקשורת וערכו תרגילים קבועים כדי להבטיח מוכנות להתקפות סייבר.
  10. הכשרה ומודעות לעובדים: הדרכת אנשי OT בנושא שיטות עבודה מומלצות לאבטחת סייבר, כולל זיהוי ניסיונות דיוג, זיהוי פעילויות חשודות ותגובה לאירועי אבטחה. לטפח תרבות של מודעות לאבטחת סייבר, המאפשרת לעובדים להשתתף באופן פעיל בהגנה על מערכות OT.
  11. ניהול סיכונים של ספקים: הערכת ונהל סיכוני אבטחת סייבר הקשורים לספקים וספקים של צד שלישי המספקים רכיבים או שירותים של OT. לפתח הסכמים חוזיים שקובעים דרישות אבטחה ובקרה קבועה של ספקים.
  12. ציות ודרישות רגולטוריות: הישאר מעודכן לגבי תקנות ספציפיות לתעשייה ותקני תאימות הקשורים לאבטחת סייבר של OT, כגון NIST SP 800-82 ו-ISA/IEC 62443. ודא שמערכות OT עומדות בדרישות אלה כדי למנוע השלכות משפטיות ורגולטוריות ולמזער את הסיכון של OT הפרות עקב יישום לקוי של אבטחת סייבר.

 

news-1280-717

 

הבטחת הגנה מלאה על מערכות OT

 

בסביבות OT, רוב המערכות הן קריטיות, כלומר לכל שיבוש או פשרה יכולות להיות השלכות מרחיקות לכת. דניאל סוקובסקי, פיתוח עסקי גלובלי IIOT ב-Paessler, מדגיש כי בהתחשב בהימור, הגנה יעילה על סביבות OT מעולם לא הייתה חשובה יותר. עם זאת, השגת מטרה זו מעולם לא הייתה מאתגרת יותר. בעולם מקושר ודיגיטלי, הצמיחה האקספוננציאלית של מכשירי IIOT מובילה למערכות מורכבות יותר ויותר. רשתות OT מבודדות בעבר נפתחות כעת לחיבור מערכות והתקנים חדשים ממקורות חיצוניים, לרוב בין אזורים. למרות שהקישוריות הזו מציעה יתרונות רבים, היא גם מציגה סיכונים משמעותיים.

 

כדי להגן באופן מלא על מערכות OT, חברות צריכות להשקיע בטכנולוגיית ניטור. דניאל מציע, "מערכת ניטור יעילה עם לוח מחוונים מרכזי ויכולות התראה יכולה לתת לארגונים תמונה מקיפה יותר. היא יכולה לאחד נתונים מכל המיקומים (סביבות OT, חיישני IIoT, רשתות קוויות ואלחוטיות, והתקני IT ומערכות מסורתיים) תחת פלטפורמת הגנה אחת היא מספקת נראות מקיפה, שהיא חשובה יותר מאי פעם כאשר פושעי הסייבר ממשיכים להתפתח ולהתבגר".

 

יתר על כן, חברות צריכות לבצע בקביעות ביקורות אבטחה והערכות סיכונים של המערכות התפעוליות שלהן כדי לסייע בזיהוי נקודות תורפה. זה צריך לכלול סיכוני אבטחת מידע, סיכוני סייבר, וכל הסיכונים התפעוליים הנפוצים של OT. חלק נוסף באתגר הוא הכשרה שוטפת לכל העובדים הרלוונטיים. יש לעדכן באופן שוטף את תוכן ההדרכה כדי להבטיח שחברות פועלות בהתאם להנחיות והתקנות העדכניות ביותר. לדוגמה, כאשר ההנחיה הקרובה של ₪2 הופכת לחוק לאומי בכל המדינות החברות באיחוד האירופי באוקטובר 2024, העובדים צריכים להבטיח שהם והעסקים הרחב יותר שלהם יישארו תואמים.

 

הנחיית NIS2 מתבססת על הוראת ה-NIS המקורית (NISD) על ידי עדכון חוקי אבטחת הסייבר הנוכחיים של האיחוד האירופי. מטרתו היא לחזק את אבטחת ה-OT, לייעל את הדיווח וליצור כללים ועונשים עקביים ברחבי האיחוד האירופי. על ידי הרחבת היקפו, ₪2 יחייבו חברות ומגזרים נוספים ליישם צעדי אבטחת סייבר.

 

אנא לחץ על הקישור למטה כדי לקרוא עוד:

היכרות עם שלדת הרובוט של רימן מון נייט

היכרות עם רובוט משלוח מזון פלאש

הכירו את רובוט הלידה בבית החולים האחות

 

האם תרצה לדעת יותר על רובוטים: https://www.reemanrobot.com/

רובוט מגב, רובוט ניקוי, רובוט שואב אבק, רובוט נקי, רובוט ניקוי מסחרי, ניקוי רצפות, רובוט מטאטא, ניקוי רובוטים, רובוט שואב, רובוט ניקוי, שואב אבק רובוט רטוב ויבש, רובוט ניקוי מסחרי, רובוט מטאטא, רובוט uv-c שואב אבק, רובוט לניקוי רצפות, שואב רובוט, מכונת ניקוי רצפות, שואב מגב רובוט, שואב אבק, רובוט מגב, רובוט לניקוי אבק, רובוט מגב, שואב רובוט, רובוט מגב נקי יותר, ניקוי רובוט UVC, רובוטים לניקוי רובוטים חכמים, ניקוי רובוט מסחרי, רובוט ניקוי אינטליגנטי, רובוט מגב מסחרי

 

 

זוג: הכירו את Iron OX: העתיד של טיפול אוטונומי בחומרים
הבא: נצל את ההזדמנות של צמיחה מהירה בשוק הראייה התלת-ממדית, בנה מותג משלך והוביל תחליף מקומי
אולי גם תרצה

שלח החקירה