ptZH-CNenfrdeitjarues

Le reti industriali all'origine sono state progettate per massimizzare la funzionalità, con scarsa attenzione alla sicurezza informatica. Come risultato, le prestazioni, l'affidabilità e la flessibilità dei sistemi SCADA sono robusti, mentre i controlli di sicurezza sono deboli, il che rende queste reti potenzialmente vulnerabili interrompere servizi, processi o reindirizzare manipolazione dei dati operativi che potrebbero causare gravi fermate produzione nelle aziende.

L'analisi del rischio è il modo principale per comprendere le minacce alla sicurezza informatica e le esigenze di controllo. Questa attività viene solitamente eseguita con un'attenzione particolare a un'installazione specifica, poiché oltre all'ambiente logico viene analizzata anche la fisica. L'analisi del rischio può essere condotta negli impianti in funzione (Brownfield) o in fase di progettazione (Greenfield). Quando i rischi e le minacce vengono identificati prematuramente, i controlli vengono assimilati con costi inferiori e massima efficienza.

L'analisi del rischio delle reti di automazione segue i seguenti passi:

Analisi del rischio statico

  • In questa fase dell'analisi dei rischi diagrammi di rete sono controllati, ispezionato l'ambiente operativo (data center) e questionari di controllo della sicurezza fisica e automazione della logica di rete allineata con le migliori pratiche di standard ANSI / ISA-99, ISA-IEC 62443 , NIST 800-82 e ISO 27001 / 27002. Le visite presso la sede del cliente consentono ai nostri consulenti di identificare i controlli di sicurezza fisica e logica esistenti o le contromisure nelle reti, valutando, per quanto possibile, le condizioni in cui i controlli sono installati, in uso e idonei. La valutazione verrà effettuata completando i moduli con un elenco di controlli che costituiscono le basi di conoscenza del rischio degli standard sopra descritti.

Analisi dinamica del rischio

  • In questa fase, la raccolta automatica dei dati della rete di automazione in modalità TAP (non intrusiva) verrà eseguita a livello di applicazione. All'inizio dell'analisi dinamica verrà analizzata l'architettura di ogni rete di automazione client e verrà elaborata una pianificazione per garantire la visibilità del traffico e delle minacce Internet, nonché altri perimetri come i confini con le reti aziendali, i sistemi di controllo (per la rete di automazione), rete di data center e di processo, nonché collegamenti a terze parti e connessioni VPN esterne o enti normativi.

Rapporto di analisi del rischio

  • I dati raccolti dall'analisi statica saranno elaborati secondo criteri qualitativi, con probabilità qualitativa e scale di impatto. Per ogni minaccia / vulnerabilità verrà assegnato un set, dalle informazioni raccolte nelle interviste con il team locale, una probabilità di accadimento e un impatto (a seconda delle conseguenze). Complementariamente, i dati provenienti dall'analisi dinamica effettueranno la verifica e genereranno evidenza delle informazioni provenienti dall'analisi statica dei rischi. Il risultato dell'unione di informazioni di analisi statiche e dinamiche sarà consolidato nel rapporto di analisi del rischio da consegnare al cliente. Il rapporto sarà consegnato in portoghese e servirà come base per la preparazione del Piano di sicurezza informatica industriale (PSCI).

L'Industrial Cyber ​​Security Plan (PSCI) è lo strumento sviluppato allo scopo di guidare, definire gli obiettivi e le scadenze relative all'attuazione dei controlli di sicurezza informatica per le reti industriali dell'impianto di automazione analizzato.

Considerando la realtà del cliente, il piano descrive le soluzioni tecnologiche e di processo e delle fasi di attuazione per soddisfare le esigenze di sicurezza del perimetro di rendicontazione. L'orizzonte temporale è PSCI 3 anni ed è descritta in esso la correlazione di tutti i dati raccolti, l'analisi statica e dinamica in una pianificazione coerente per il cliente di aumentare il loro grado di conformità agli standard presi in considerazione per il progetto.

La governance industriale dovrebbe essere implementata in conformità con le migliori pratiche dello standard IEC 62443. Il primo passo per stabilire la governance è lo sviluppo e l'implementazione di una politica di sicurezza specifica per l'area dell'automazione. L'Automation Security Policy è uno strumento progettato per stabilire regole per l'uso, il controllo e la protezione corretti dell'ambiente di automazione e le risorse che costituiscono questo ambiente, preservandone la disponibilità, l'integrità e la riservatezza e garantendo la continuità e la competitività dell'azienda.

Composto da una serie di documenti con standard e linee guida tecniche per la sicurezza dell'automazione industriale che trattano gli aspetti strategici dell'organizzazione e la sua politica su questioni chiave per la governance, i controlli di sicurezza dei dettagli della politica per elementi chiave come sicurezza del bordo, un protezione della rete industriale, un sicurezza dei datiun combattere il malware e educazione degli utenti sulla sicurezza informatica: la politica deve essere in linea con la pianificazione strategica dell'azienda e in conformità con gli standard e le best practice attuali, come IEC 62443 e NIST 800-82. I consulenti TI Safe capiscono che ogni cliente ha le sue esigenze, caratteristiche uniche, quindi ogni politica viene sviluppata insieme ai responsabili dell'impianto di automazione per rimanere in linea con la visione dell'azienda.

TI Safe è un fornitore di servizi di sicurezza gestiti incentrati su ambienti industriali comprovati dal settore, con contratti in corso con le principali società di infrastrutture critiche brasiliane.

Questi servizi sono forniti tramite ICS-SOC, Cyber ​​Security Operations Center di infrastrutture critiche che opera 24x7x365 e le sue risorse, tecnologia e processi di bordo per la gestione, la prevenzione, l'individuazione e la risposta agli incidenti su reti che non possono smettere.

Foto: ICS-SOC TI Safe

L'ICS-SOC Sicuro offre cinque livelli di servizi gestiti, con una capacità cumulativa, suddivisi in due categorie principali, monitoraggio e gestione (livelli 1 e 2) e l'Intelligenza industriale (livelli 3, 4 e 5).

Figura: livelli dei servizi offerti da TI Safe ICS-SOC

MONITORAGGIO E GESTIONE

Livello 1: gestione delle attrezzature e rapporti di sicurezza

  • Gestione delle apparecchiature di sicurezza (Firewall, IPS e altri) situate nello stabilimento del cliente.
  • Monitoraggio dello stato di funzionamento dell'attrezzatura e correzione di problemi che ne impediscono il corretto funzionamento.
  • Parametrizzazione permanente delle apparecchiature.
  • Accedi al registro tramite VPN per i nuovi utenti autorizzati.
  • Aggiornamenti software, sistema operativo, patch, ecc.
  • RMA delle apparecchiature (sostituzione in atto, essendo la scatola RMA inviata dal produttore in base alla durata del contratto)
  • Fornitura di rapporti giornalieri e settimanali sulle minacce informatiche rilevate e bloccate dall'apparecchiatura. Altri report personalizzati possono essere sviluppati in base alla richiesta del cliente.

Livello 2: (Servizi 1 Level) + Raccolta criteri e monitoraggio occorrenze

  • Presenze eseguite in base alle richieste inoltrate tramite il sistema di controllo delle presenze di supporto (SCAS) e approvate secondo le routine di gestione delle modifiche del cliente.
  • Partecipare alle modifiche delle impostazioni di sicurezza (porte, segmenti, zone di sicurezza, ecc.).
  • Partecipare alle politiche di sicurezza (aggiunta, modifica o rimozione delle politiche).
  • Ottimizzazione delle regole e delle politiche esistenti.
  • Monitoraggio attivo di soluzioni di sicurezza (attacchi, malware, APT, 0 day, vulnerabilità, ecc.).
  • Indagini e rapporti su eventi rilevati da soluzioni di sicurezza (ad es. Report sulla presenza di malware, traffico sospetto).

INTELLIGENZA INDUSTRIALE

Livello 3: (servizi 2 Level) + correzione degli eventi e monitoraggio industriale

      • Utilizzo dello strumento SIEM con analisi dei registri in tempo reale ai fini del rilevamento delle minacce.
      • Correlazione degli eventi in modo tale che vengano identificate eventuali relazioni tra di loro, indicando il potenziale verificarsi di incidenti.
      • Gestione centralizzata delle informazioni sulla sicurezza informatica.
      • Utilizzo di IPS industriali per monitorare variabili di controllo critiche in tempo reale della rete operativa.
      • Generazione di rapporti di conformità.
      • Gestione dei casi di incidente e emissione di biglietti per il servizio clienti.

Livello 4: (servizi 3 Level) + Gestione degli incidenti e della vulnerabilità

      • Gestione delle vulnerabilità: utilizzo dello strumento automatizzato leader del settore per condurre scansioni controllate di apparecchiature precedentemente selezionate sulla rete TA a intervalli programmati. Una volta rilevata la vulnerabilità, viene valutato il suo impatto, vengono identificate le misure correttive e, una volta autorizzato, eseguite. Il tuo stato viene tracciato e segnalato fino alla chiusura.
      • Generazione di rapporti periodici sulla vulnerabilità.
      • Risposta controllata a incidenti di sicurezza informatica industriale, in collaborazione con il team del cliente.

Livello 5: (servizi 4 Level) + Intelligenza artificiale e ricerca digitale

    • Analisi della sicurezza dei Big Data: analisi di grandi quantità di dati per scoprire le minacce e quindi presentare e visualizzare i risultati.
    • Integrazione tra database di eventi locali e intelligence delle minacce sugli attacchi globali.
    • Miglioramento dei dati attraverso l'uso di fonti quali dati geografici, dati DNS, integrazione del controllo di accesso alla rete e servizio di reputazione IP e dominio.
    • Forensics e identificazione di scappatoie nella rete di automazione.

Copyright © 2007-2018 - Sicurezza informatica sicura - Tutti i diritti riservati.