ptarZH-CNenfrdeitjarues

Управление и мониторинг

Промышленные сети в их источнике были спроектированы таким образом, чтобы максимизировать функциональность, уделяя мало внимания кибербезопасности. В результате производительность, надежность и гибкость систем SCADA являются устойчивыми, в то время как меры безопасности являются слабыми, что делает эти сети потенциально уязвимыми для прерывания обслуживания, перенаправления процессов или манипулирования рабочими данными, которые могут привести к серьезным сбоям. производство в компаниях.

Анализ рисков является основным способом понимания угроз кибербезопасности и контроля потребностей. Это действие обычно выполняется с упором на конкретную установку, поскольку в дополнение к логической среде анализируется и физическая среда. Анализ риска может проводиться на действующих заводах (Brownfield) или на этапе проектирования (Greenfield). Когда риски и угрозы выявлены преждевременно, средства управления ассимилируются с меньшими затратами и максимальной эффективностью.

Анализ рисков сетей автоматизации следует следующим этапам:

Статический анализ рисков

  • На этом этапе анализа рисков сетевые диаграммы, операционная среда (центр обработки данных) и вопросники аудита физической и логической безопасности сети автоматизации согласованы с лучшими практиками ANSI / ISA-99, ISA-IEC 62443. , NIST 800-82 и ISO 27001 / 27002. Посещение помещений клиента позволяет нашим консультантам идентифицировать существующие физические и логические меры безопасности или контрмеры в сетях, оценивая, насколько это возможно, условия, при которых элементы управления установлены и используются, а также пригодность. Оценка будет выполняться путем заполнения форм списком элементов управления, которые составляют базы знаний о рисках описанных выше стандартов.

Динамический анализ рисков

  • На этом этапе автоматический сбор данных сети автоматизации в режиме TAP (не навязчивый) будет выполняться на уровне приложений. В начале динамического анализа будет проанализирована архитектура каждой сети автоматизации клиента, и будет разработано планирование для обеспечения видимости интернет-трафика и угроз, а также других периметров, таких как границы с корпоративными сетями, системы управления (для сети автоматизация), ЦОД и технологическая сеть, а также ссылки на третьи стороны и внешние VPN-соединения или регулирующие органы.

Отчет по анализу рисков

  • Данные, собранные статическим анализом, будут обрабатываться в соответствии с качественными критериями, с качественной вероятностью и масштабами воздействия. Для каждой угрозы / набора уязвимостей будет назначен, исходя из информации, собранной в ходе интервью с местной командой, вероятность возникновения и воздействия (в зависимости от последствий). Кроме того, данные, поступающие из динамического анализа, будут выполнять проверку и генерировать доказательства информации, поступающей из статического анализа рисков. Результат объединения информации статического и динамического анализа будет консолидирован в отчете по анализу рисков, который будет доставлен клиенту. Доклад будет представлен на португальском языке и послужит основой для подготовки Плана промышленной кибербезопасности (PSCI).

План промышленной кибербезопасности (PSCI) - это инструмент, разработанный с целью руководства, определения целей и сроков, связанных с внедрением средств контроля кибербезопасности для промышленных сетей анализируемой установки автоматизации.

Принимая во внимание реальность клиента, план описывает технологические и технологические решения и этапы реализации для удовлетворения потребностей безопасности анализируемой области. Временной горизонт PSCI составляет годы 3, и он описывает корреляцию всех собранных данных статического и динамического анализа в последовательном планировании, так что клиент увеличивает степень соответствия нормам, рассматриваемым для проекта.

Промышленное управление должно осуществляться в соответствии с лучшими практиками стандарта IEC 62443. Первым шагом в установлении управления является разработка и внедрение конкретной политики безопасности в области автоматизации. Политика безопасности автоматизации - это инструмент, разработанный для установления правил правильного использования, контроля и защиты среды автоматизации и активов, составляющих эту среду, сохранения ее доступности, целостности и конфиденциальности, а также обеспечения непрерывности и конкурентоспособности бизнеса.

Составленный из набора документов со стандартами и техническими руководящими принципами безопасности промышленной автоматизации, которые касаются стратегических аспектов организации и ее политики по ключевым вопросам управления, эта политика детализирует элементы управления безопасностью для таких ключевых элементов, как край безопасности, чтобы защита промышленной сети, чтобы безопасность данныхили бороться с вредоносным ПО и обучение пользователей на кибербезопасность. Политика должна быть согласована со стратегическим планированием компании и в соответствии с текущими стандартами и лучшими практиками, такими как IEC 62443 и NIST 800-82. Консультанты TI Safe понимают, что у каждого клиента есть свои потребности, уникальные характеристики, поэтому каждая политика разрабатывается вместе с ответственными за автоматизацию предприятия, чтобы соответствовать видению компании.

TI Safe - поставщик услуг по управляемой безопасности, ориентированных на проверенную промышленную среду, с текущими контрактами с крупными бразильскими компаниями, занимающимися критической инфраструктурой.

Эти услуги предоставляются через ICS-SOC, Центр операций кибербезопасности критической инфраструктуры, который управляет 24x7x365 и имеет самые современные функции, технологии и процессы для управления, предотвращения, обнаружения и реагирования на сетевые инциденты, которые не могут прекратиться.

Фото: ICS-SOC TI Safe

TI Safe ICS-SOC предоставляет пять уровней управляемых услуг с совокупными возможностями, разделенными на две основные категории: мониторинг и управление (уровни 1 и 2) и промышленный интеллект (уровни 3, 4 и 5).

Рисунок: уровни услуг, предлагаемых TI Safe ICS-SOC

МОНИТОРИНГ И УПРАВЛЕНИЕ

Уровень 1: отчеты об управлении оборудованием и безопасности

  • Управление охранным оборудованием (Firewalls, IPS и др.), Расположенным на заводе клиента.
  • Мониторинг состояния работы оборудования и устранение проблем, мешающих его правильной работе.
  • Постоянная параметризация оборудования.
  • Регистрация доступа через VPN для новых авторизованных пользователей.
  • Обновления программного обеспечения, операционной системы, исправления и т. Д.
  • RMA оборудования (замена на месте, если ящик RMA отправлен производителем в соответствии с условиями контракта)
  • Предоставление ежедневных и еженедельных отчетов о киберугрозах, обнаруженных и заблокированных оборудованием. Другие индивидуальные отчеты могут быть разработаны в соответствии с требованиями заказчика.

Уровень 2: (Службы уровня 1) + Сбор политик и мониторинг событий

  • Посещения выполняются в соответствии с запросами, сделанными через систему контроля посещаемости поддержки (SCAS) и утверждаются в соответствии с процедурами управления изменениями клиента.
  • Участие в изменениях настроек безопасности (порты, сегменты, зоны безопасности и т. Д.).
  • Посещение политик безопасности (добавление, изменение или удаление политик).
  • Оптимизация существующих правил и политик.
  • Активный мониторинг решений безопасности (атаки, вредоносные программы, APT, день 0, уязвимости и т. Д.).
  • Расследование и отчетность по событиям, обнаруженным решениями безопасности (например, отчет о наличии вредоносных программ, подозрительный трафик).

ПРОМЫШЛЕННЫЙ ИНТЕЛЛЕКТ

Уровень 3: (Услуги уровня 2) + Коррекция событий и промышленный мониторинг

      • Использование инструмента SIEM с анализом журнала в реальном времени для целей обнаружения угроз.
      • Корреляция событий для определения возможных взаимосвязей между ними, что указывает на возможность возникновения инцидентов.
      • Централизованное управление информацией о кибербезопасности.
      • Использование промышленных IPS для мониторинга критических переменных управления в реальном времени операционной сети.
      • Формирование отчетов о соответствии.
      • Управление инцидентами и выдача билетов для обслуживания клиентов.

Уровень 4: (Услуги уровня 3) + Управление реагированием на инциденты и управление уязвимостями

      • Управление уязвимостями: использование ведущего в отрасли автоматизированного инструмента для проведения контролируемого сканирования ранее выбранного оборудования в сети ТА с запланированными интервалами. После обнаружения уязвимости оценивается ее влияние, выявляются корректирующие меры и, когда это разрешается, выполняется. Ваш статус отслеживается и сообщается до закрытия.
      • Генерация периодических отчетов об уязвимостях.
      • Контролируемое реагирование на инциденты промышленной кибербезопасности в партнерстве с командой клиента.

Уровень 5: (Услуги уровня 4) + Искусственный интеллект и цифровые исследования

    • Анализ безопасности больших данных: анализ больших объемов данных для обнаружения угроз, а затем представление и просмотр результатов.
    • Интеграция между локальными базами данных событий и анализом угроз при глобальных атаках.
    • Расширение данных за счет использования таких источников, как географические данные, данные DNS, интеграция управления доступом к сети и служба репутации IP-адресов и доменов.
    • Криминалистика и выявление лазеек в сети автоматизации.

Copyright © 2007-2018 - IT Safe Информационная безопасность - Все права защищены.