В то время как промышленные организации используют возможности, предоставленные промышленным Интернетом вещей (IIoT), для производств ключевым фактором стал переход на цифровые технологии. В последние годы цифровизация обеспечила быстрое развитие сетей промышленных систем управления (ICS). Сети промышленных систем управления изначально были физически изолированы, и за счет этого практически не подвергались кибератакам. Однако в последнее время уровень кибератак вырос, что побудило всех специалистов, как в IT, так и в АСУ ТП, создавать решения, повышающие уровень промышленной кибербезопасности. Следовательно, понимание требований промышленной кибербезопасности поможет снизить риски киберугроз.
Существуют несколько мифов о промышленной кибербезопасности, вера в которые может подвергнуть риску сеть и ее пользователей. В представленном видео мы постараемся разрушить эти мифы и расскажем о том, как создать надежную защиту промышленных сетей, обеспечивающую непрерывную работу системы и безопасность персонала.
ИТ |
АСУ ТП |
|
|---|---|---|
Приоритет №1 |
Конфиденциальность |
Доступность |
Фокус |
Обеспечить целостность данных |
Не допустить простоев в процессах управления |
Цель защиты |
Компьютеры с Windows, серверы |
Промышленные контроллеры, сканнеры, датчики |
Условия окружающей среды |
Кондиционируемое помещение |
Экстремальные температуры, вибрации и удары |
Для повышения уровня защиты Moxa снабдила свои устройства большим набором функций кибербезопасности, соответствующем требованиям стандарта МЭК 62443. Функции безопасности реализованы во многих устройствах Moxa, включая маршрутизаторы и межсетевые экраны, стоечные коммутаторы, коммутаторы для DIN-рейки серии EDS-500E, шлюзы протоколов и некоторые модели NPort-серверов.
Для предотвращения вторжений и атак на сеть важно иметь хороший механизм контроля доступа, который мог бы идентифицировать, аутентифицировать и авторизовать пользователей. Сетевые устройства Moxa поддерживают функции управления учетными записями пользователей, политики паролей и интерфейс аутентификации, которые соответствуют требованиям технической безопасности стандарта МЭК 62443.
Устройства Moxa поддерживают расширенные функции протоколов HTTPS/SSH, которые обеспечивают безопасный канал передачи данных по незащищенным сетям. Для защиты данных от кражи или повреждения Moxa предлагает такие функции, как шифрование пароля SNMP и шифрование настроек сети, которые обеспечивают максимальный уровень защиты сетевых устройств.
Серия серверов NPort 6000 используют протокол SSL для реализации безопасной передачи данных в режимах Secure TCP Server, Secure TCP Client, Secure Pair Connection и Secure Real COM. Драйверы NPort соответствуют стандарту SSL и автоматически согласовывают ключ шифрования. Чтобы предотвратить хакерские атаки, NPort автоматически переключается с метода шифрования DES/3DES на AES для передачи данных с высокой степенью защиты.
Ваш путь по дороге кибербезопасности не заканчивается, когда ваше сетевое решение безопасности запущено и успешно работает. Вы должны постоянно отслеживать свои сети передачи данных и проверять события сетей на наличие потенциальных угроз. Хотя довольно сложно обнаружить нарушения в режиме реального времени, журналы событий безопасности могут помочь определить источник проблемы. Информация из этих журналов может использоваться для отслеживания активности сети, анализа потенциальных угроз или выявления неправильно настроенных устройств, эти данные затем можно использовать для прекращения доступа пользователей, удаления учетных записей пользователей или перезагрузки устройств.
Сети промышленных систем управления (ICS) раньше были изолированы и были физически защищены оградой цеха или предприятия. Сегодня количество устройств в промышленных сетях постоянно растёт, но большинство операторов АСУ ТП все еще редко принимают во внимание защиту от киберугроз. Из-за количества кибератак, нацеленных на критически важные производственные секторы, становится ясно, что сети ICS в настоящее время подвержены высокому риску атак.
Разбивайте сети на подсети для защиты данных, передаваемых между разными зонами и участками сети.
Архитектуре сети нужен глубокий подход к защите, который разделяет сеть ICS на отдельные защищенные зоны и участки. Передача данных в каждой зоне или на участке защищена межсетевыми экранами, что дополнительно снижает вероятность того, что вся сеть ICS будет подвержена кибератаке. Серия устройств EDR компании Moxa включает в себя защищенные промышленные маршрутизаторы, которые помогают операторам обеспечивать защиту зон и участков с помощью функции Transparent Firewall, защищающей сети управления и важные устройства, такие как ПЛК и RTU, от несанкционированного доступа. Благодаря этому решению пропадает необходимость перенастраивать параметры сети связи, что делает ее развертывание более быстрым и удобным. Серия маршрутизаторов EDR-810 поддерживает технологию резервирования Turbo Ring, что делает разделение сети на участки более гибким и экономичным. Кроме того, Ethernet-коммутаторы Moxa могут создавать виртуальные LAN (VLAN) для разделения каждого домена ICS на более мелкие сети, трафик которых изолирован от других VLAN.
Узнайте, как правильно выбрать промышленный Firewall: 7 основных рекомендаций
Определите и изучите трафик между зонами в промышленной сети связи
Трафик, проходящий между зонами сети ICS, для повышения уровня информационной безопасности должен быть тщательно изучен. Есть несколько способов реализовать это. Одним из способов является обмен данными через зону DMZ, где сервер данных установлен между защищенной сетью ICS и незащищенными сетями без прямого подключения. Серия EDR-G903 может помочь в обеспечении безопасного управления трафиком за счет использования пользовательских правил firewall (межсетевого экрана). Второй способ заключается в том, что маршрутизаторы EDR выполняют глубокую проверку пакетов Modbus TCP с помощью функции PacketGuard для мониторинга действий и улучшения контроля трафика. Этот метод упрощает задачи администрирования и может защитить от передачи нежелательного трафика из одной сети в другую. В дополнение к межсетевому экрану можно использовать функцию Access Control List (ACL) для фильтрации коммутатором входящих пакетов по IP-адресу источника или получателя, это позволяет администраторам защищать сети благодаря контролю доступа к устройствам или частям сети.
Безопасный удаленный доступ к промышленной сети
В настоящее время доступны два решения для удовлетворения основных требований к безопасному удаленному доступу к промышленным сетям. Для постоянных соединений рекомендуются стандартные VPN-туннели. Серия маршрутизаторов EDR компании Moxa может использовать протоколы IPsec, L2TP через IPsec или OpenVPN для настройки зашифрованных VPN-туннелей IPsec или клиентов OpenVPN. Эти методы защищают передаваемые данные от атак и обеспечивают безопасный удаленный доступ между предприятием и удаленными объектами. В качестве альтернативы, если требуется, чтобы удаленный доступ был доступен по требованию только для определенных компьютеров или выделенных областей, необходима платформа управления всеми удаленными подключениями.
Поскольку сети ICS продолжают расширяться и все больше сетей объединяется, важно понимать преимущества глубокого подхода к защите при создании архитектуры системы безопасности. Однако наличие отдельных защищенных от киберугроз участков, развернутых в сети ICS, недостаточно для полной защиты от несанкционированного доступа критически важных объектов. Согласно отчету, опубликованному ICS-CERT, эффективная модель управления безопасностью должна включать в себя следующие ступени:
Злоумышленники могут получить доступ к защищенной сети, если люди, которые используют сеть ICS, не придерживаются модели управления безопасностью. Чтобы гарантировать, что сеть не подвержена угрозам, и обеспечить максимальный уровень безопасности сети ICS, проверьте, соответствует ли сеть ICS принципам управления, перечисленным выше, и убедитесь, что все пользователи ознакомились с правилами работы в сети.
MXconfig Security Wizard сэкономит ваше время и усилия по настройке параметров безопасности
Заказчик: Нефтегазовая сервисная компания
Нефте- и газопроводы большой пропускной способности обычно имеют длину в тысячи километров. Насосные станции вдоль трубопровода оснащены анализаторами и ПЛК. Заказчику было сложно поддерживать безопасное и стабильное сетевое соединение между станциями и удаленной SCADA-системой, поскольку ПЛК и устройства ввода-вывода не имели никаких встроенных функций кибербезопасности
