ptarzh-CNenfrdeitjarues

Die industriellen Netzwerke an der Quelle wurden so konzipiert, dass die Funktionalität maximiert wird und die Cyber-Sicherheit nur wenig Beachtung findet. Daher sind die Leistung, Zuverlässigkeit und Flexibilität der SCADA-Systeme robust, während die Sicherheitskontrollen schwach sind. Dadurch sind diese Netzwerke möglicherweise anfällig für Dienstunterbrechungen, Prozessumleitungen oder Betriebsdatenmanipulationen, die zu schwerwiegenden Ausfällen führen können. Produktion in Unternehmen.

Die Risikoanalyse ist der wichtigste Weg, um Cyber-Sicherheitsbedrohungen und Kontrollanforderungen zu verstehen. Diese Aktivität wird in der Regel mit Fokus auf eine bestimmte Installation ausgeführt, da neben der logischen Umgebung auch die physische analysiert wird. Die Risikoanalyse kann in Anlagen in Betrieb (Brownfield) oder in der Designphase (Greenfield) durchgeführt werden. Wenn Risiken und Bedrohungen vorzeitig erkannt werden, werden Kontrollen mit niedrigeren Kosten und maximaler Effizienz angeglichen.

Die Risikoanalyse von Automatisierungsnetzwerken erfolgt in folgenden Schritten:

Statische Risikoanalyse

  • In dieser Phase der Risikoanalyse sind die Netzwerkdiagramme, die Betriebsumgebung (Datenzentrum) und die Fragebögen für die physische und logische Sicherheitsüberprüfung des Automatisierungsnetzwerks auf die Best Practices von ANSI / ISA-99, ISA-IEC 62443 ausgerichtet , NIST 800-82 und ISOs 27001 / 27002. Besuche beim Kunden vor Ort ermöglichen unseren Beratern, vorhandene physische und logische Sicherheitskontrollen oder Gegenmaßnahmen in Netzwerken zu ermitteln und so weit wie möglich die Bedingungen zu bewerten, unter denen Kontrollen installiert und verwendet werden, und deren Eignung. Die Bewertung wird durchgeführt, indem Formulare mit einer Liste von Kontrollen ausgefüllt werden, aus denen die Risikowissensbasen der oben beschriebenen Standards bestehen.

Dynamische Risikoanalyse

  • In diesem Schritt wird die automatisierte Datenerfassung des Automatisierungsnetzwerks im TAP-Modus (nicht intrusiv) auf Anwendungsebene durchgeführt. Zu Beginn der dynamischen Analyse wird die Architektur jedes Client-Automatisierungsnetzwerks analysiert und eine Planung erarbeitet, um Sichtbarkeit des Internetverkehrs und der Bedrohungen sowie anderer Perimeter wie Grenzen mit Unternehmensnetzwerken, Kontrollsystemen (für das Netzwerk von) zu gewährleisten Automatisierung), Rechenzentrum und Prozessnetzwerk sowie Verbindungen zu Dritten und externen VPN-Verbindungen oder Aufsichtsbehörden.

Risikoanalysebericht

  • Die durch die statische Analyse gesammelten Daten werden nach qualitativen Kriterien mit qualitativen Wahrscheinlichkeits- und Wirkungsskalen verarbeitet. Für jedes Bedrohungs- / Schwachstellen-Set wird aus den in Interviews mit dem lokalen Team gesammelten Informationen eine Eintrittswahrscheinlichkeit und eine Auswirkung (abhängig von den Konsequenzen) zugewiesen. Ergänzend führen die aus der dynamischen Analyse stammenden Daten die Verifizierung durch und liefern den Nachweis der Informationen, die aus der statischen Risikoanalyse stammen. Das Ergebnis der Vereinigung statischer und dynamischer Analyseinformationen wird im Risikoanalysebericht zusammengefasst und an den Kunden übermittelt. Der Bericht wird in portugiesischer Sprache verfasst und dient als Grundlage für die Ausarbeitung des Industral Cyber ​​Security Plan (PSCI).

Der Industrial Cyber ​​Security Plan (PSCI) ist das Werkzeug, das entwickelt wurde, um Ziele und Fristen für die Implementierung von Cybersecurity-Kontrollen für industrielle Netzwerke der analysierten Automatisierungsanlage festzulegen, festzulegen.

In Anbetracht der Realität des Kunden beschreibt der Plan die Technologie- und Prozesslösungen und die Implementierungsschritte, um die Sicherheitsanforderungen des untersuchten Bereichs zu erfüllen. Der Zeithorizont des PSCI ist 3-Jahre und beschreibt die Korrelation aller gesammelten Daten der statischen und dynamischen Analysen in einer kohärenten Planung, so dass der Kunde seinen Konformitätsgrad mit den für das Projekt berücksichtigten Normen erhöht.

Industrial Governance sollte gemäß den Best Practices des IEC 62443-Standards implementiert werden. Der erste Schritt beim Aufbau von Governance ist die Entwicklung und Implementierung einer spezifischen Sicherheitsrichtlinie für den Automatisierungsbereich. Die Automatisierungssicherheitsrichtlinie ist ein Instrument, mit dem Regeln für die ordnungsgemäße Verwendung, Steuerung und den Schutz der Automatisierungsumgebung und der Assets, aus denen sich diese Umgebung zusammensetzt, festgelegt werden. Dabei werden Verfügbarkeit, Integrität und Vertraulichkeit der Daten gewährleistet und die Kontinuität und Wettbewerbsfähigkeit des Unternehmens sichergestellt.

Bestehend aus einer Reihe von Dokumenten mit Standards und technischen Richtlinien für die industrielle Automatisierungssicherheit, die sich mit den strategischen Aspekten der Organisation und ihren Richtlinien zu Schlüsselfragen für die Governance befassen, werden in den Richtlinien Sicherheitskontrollen für Schlüsselelemente wie z Kantenschutz, eine Schutz industrieller Netzwerke, eine Datensicherheitoder Malware bekämpfen und Schulung der Benutzer Cyber-Sicherheit: Die Richtlinie sollte an der strategischen Planung des Unternehmens und in Übereinstimmung mit den aktuellen Standards und Best Practices wie IEC 62443 und NIST 800-82 ausgerichtet sein. Die Berater von TI Safe verstehen, dass jeder Kunde seine Bedürfnisse und einzigartigen Eigenschaften hat. Daher wird jede Richtlinie gemeinsam mit den Verantwortlichen für die Automatisierungsanlage entwickelt, um der Vision des Unternehmens gerecht zu werden.

TI Safe ist ein Anbieter von verwalteten Sicherheitsdiensten, die auf industriell bewährte industrielle Umgebungen abzielen, mit laufenden Verträgen mit wichtigen brasilianischen Unternehmen für kritische Infrastrukturen.

Diese Services werden über ICS-SOC®, das Critical Infrastructure Cyber ​​Security Operations Center, bereitgestellt, das 24x7x365 betreibt und über modernste Netzwerkressourcen, -technologien und -prozesse für die permanente Verwaltung, Prävention, Erkennung und Reaktion von Netzwerkvorfällen verfügt. .

ICS-SOC® TI Safe Photo

ICS-SOC® von TI Safe bietet fünf Ebenen verwalteter Dienste mit kumulativen Funktionen, die in zwei Hauptkategorien unterteilt sind: Überwachung und Verwaltung (1- und 2-Ebenen) und Industrial Intelligence (3-, 4- und 5-Ebenen).

Abbildung: Servicelevel von TI Safe ICS-SOC®

ÜBERWACHUNG UND MANAGEMENT

1-Ebene: Geräteverwaltung und Sicherheitsberichte

  • Verwaltung der Sicherheitsausrüstung (Firewalls, IPS und andere), die sich im Werk des Kunden befinden.
  • Überwachung des Betriebszustands der Ausrüstung und Behebung von Problemen, die den korrekten Betrieb verhindern.
  • Permanente Parametrisierung der Geräte.
  • Zugangsregister über VPN für neue berechtigte Benutzer.
  • Software-Updates, Betriebssystem, Patches usw.
  • RMA der Ausrüstung (Austausch an Ort und Stelle, die vom Hersteller gemäß der Vertragsdauer gesendete RMA-Box)
  • Tägliche und wöchentliche Berichte zu Cyber-Bedrohungen, die von Geräten erkannt und blockiert werden. Andere kundenspezifische Berichte können nach Kundenwunsch entwickelt werden.

2-Level: (1-Level-Services) + Richtlinienerfassung und Überwachung des Vorkommens

  • Anwesenheiten werden entsprechend den Anforderungen des Support-Anwesenheits-Kontrollsystems (SCAS) durchgeführt und gemäß den Änderungsverwaltungsroutinen von Kunden genehmigt.
  • Änderungen an Sicherheitseinstellungen (Ports, Segmente, Sicherheitszonen usw.) beachten.
  • Einhaltung der Sicherheitsrichtlinien (Hinzufügen, Ändern oder Entfernen von Richtlinien).
  • Optimierung bestehender Regeln und Richtlinien.
  • Aktive Überwachung von Sicherheitslösungen (Angriffe, Malware, APTs, 0-Day, Schwachstellen usw.).
  • Untersuchung und Meldung von Ereignissen, die von Sicherheitslösungen erkannt werden (z. B. Malware-Anwesenheitsbericht, verdächtiger Datenverkehr).

INDUSTRIELLE INTELLIGENZ

3-Level: (2-Level-Services) + Ereigniskorrektur und industrielles Monitoring

      • Verwendung des SIEM-Tools mit Echtzeit-Protokollanalyse zur Erkennung von Bedrohungen.
      • Korrelation von Ereignissen, so dass mögliche Beziehungen zwischen ihnen identifiziert werden, was das mögliche Auftreten von Vorfällen anzeigt.
      • Zentralisierte Verwaltung von Cyber-Sicherheitsinformationen.
      • Einsatz von Industrie-IPS zur Überwachung kritischer Steuerungsvariablen des Betriebsnetzwerks in Echtzeit.
      • Erstellung von Compliance-Berichten.
      • Management von Störfällen und Ausgabe von Kundendiensttickets.

4-Level: (3-Level-Services) + Incident Response und Vulnerability Management

      • Vulnerability Management: Verwenden Sie das branchenführende automatisierte Tool, um kontrollierte Scans von zuvor ausgewählten Geräten im TA-Netzwerk in geplanten Intervallen durchzuführen. Sobald eine Schwachstelle erkannt wird, werden ihre Auswirkungen bewertet, Korrekturmaßnahmen werden identifiziert und, wenn sie genehmigt werden, ausgeführt. Ihr Status wird bis zum Schließen verfolgt und gemeldet.
      • Generierung periodischer Schwachstellenberichte.
      • Kontrollierte Reaktion auf Vorfälle industrieller Cyber-Sicherheit in Zusammenarbeit mit dem Team des Kunden.

5-Level: (4-Level-Services) + Künstliche Intelligenz und digitale Forschung

    • Big Data-Sicherheitsanalyse: Analysieren Sie große Datenmengen, um Bedrohungen zu erkennen, und präsentieren Sie die Ergebnisse.
    • Integration zwischen lokalen Ereignisdatenbanken und Bedrohungsinformationen zu globalen Angriffen.
    • Verbesserung der Daten durch Verwendung von Quellen wie geografischen Daten, DNS-Daten, Integration der Netzwerkzugriffssteuerung sowie IP- und Domain-Reputation-Service.
    • Forensik und Identifikation von Lücken im Automatisierungsnetzwerk.

Copyright © 2007-2018 - IT Safe Information Security - Alle Rechte vorbehalten.