Промышленные сети в их источнике были спроектированы таким образом, чтобы максимизировать функциональность, уделяя мало внимания кибербезопасности. В результате производительность, надежность и гибкость систем SCADA являются устойчивыми, в то время как меры безопасности являются слабыми, что делает эти сети потенциально уязвимыми для прерывания обслуживания, перенаправления процессов или манипулирования рабочими данными, которые могут привести к серьезным сбоям. производство в компаниях.
Анализ рисков является основным способом понимания угроз кибербезопасности и контроля потребностей. Это действие обычно выполняется с упором на конкретную установку, поскольку в дополнение к логической среде анализируется и физическая среда. Анализ риска может проводиться на действующих заводах (Brownfield) или на этапе проектирования (Greenfield). Когда риски и угрозы выявлены преждевременно, средства управления ассимилируются с меньшими затратами и максимальной эффективностью.
Анализ рисков сетей автоматизации следует следующим этапам:
Статический анализ рисков
- На этом этапе анализа рисков сетевые диаграммы, операционная среда (центр обработки данных) и вопросники аудита физической и логической безопасности сети автоматизации согласованы с лучшими практиками ANSI / ISA-99, ISA-IEC 62443. , NIST 800-82 и ISO 27001 / 27002. Посещение помещений клиента позволяет нашим консультантам идентифицировать существующие физические и логические меры безопасности или контрмеры в сетях, оценивая, насколько это возможно, условия, при которых элементы управления установлены и используются, а также пригодность. Оценка будет выполняться путем заполнения форм списком элементов управления, которые составляют базы знаний о рисках описанных выше стандартов.
Динамический анализ рисков
- На этом этапе автоматический сбор данных сети автоматизации в режиме TAP (не навязчивый) будет выполняться на уровне приложений. В начале динамического анализа будет проанализирована архитектура каждой сети автоматизации клиента, и будет разработано планирование для обеспечения видимости интернет-трафика и угроз, а также других периметров, таких как границы с корпоративными сетями, системы управления (для сети автоматизация), ЦОД и технологическая сеть, а также ссылки на третьи стороны и внешние VPN-соединения или регулирующие органы.
Отчет по анализу рисков
- Данные, собранные статическим анализом, будут обрабатываться в соответствии с качественными критериями, с качественной вероятностью и масштабами воздействия. Для каждой угрозы / набора уязвимостей будет назначен, исходя из информации, собранной в ходе интервью с местной командой, вероятность возникновения и воздействия (в зависимости от последствий). Кроме того, данные, поступающие из динамического анализа, будут выполнять проверку и генерировать доказательства информации, поступающей из статического анализа рисков. Результат объединения информации статического и динамического анализа будет консолидирован в отчете по анализу рисков, который будет доставлен клиенту. Доклад будет представлен на португальском языке и послужит основой для подготовки Плана промышленной кибербезопасности (PSCI).
План промышленной кибербезопасности (PSCI) - это инструмент, разработанный с целью руководства, определения целей и сроков, связанных с внедрением средств контроля кибербезопасности для промышленных сетей анализируемой установки автоматизации.
Принимая во внимание реальность клиента, план описывает технологические и технологические решения и этапы реализации для удовлетворения потребностей безопасности анализируемой области. Временной горизонт PSCI составляет годы 3, и он описывает корреляцию всех собранных данных статического и динамического анализа в последовательном планировании, так что клиент увеличивает степень соответствия нормам, рассматриваемым для проекта.
Промышленное управление должно осуществляться в соответствии с лучшими практиками стандарта IEC 62443. Первым шагом в установлении управления является разработка и внедрение конкретной политики безопасности в области автоматизации. Политика безопасности автоматизации - это инструмент, разработанный для установления правил правильного использования, контроля и защиты среды автоматизации и активов, составляющих эту среду, сохранения ее доступности, целостности и конфиденциальности, а также обеспечения непрерывности и конкурентоспособности бизнеса.
Составленный из набора документов со стандартами и техническими руководящими принципами безопасности промышленной автоматизации, которые касаются стратегических аспектов организации и ее политики по ключевым вопросам управления, эта политика детализирует элементы управления безопасностью для таких ключевых элементов, как край безопасности, чтобы защита промышленной сети, чтобы безопасность данныхили бороться с вредоносным ПО и обучение пользователей на кибербезопасность. Политика должна быть согласована со стратегическим планированием компании и в соответствии с текущими стандартами и лучшими практиками, такими как IEC 62443 и NIST 800-82. Консультанты TI Safe понимают, что у каждого клиента есть свои потребности, уникальные характеристики, поэтому каждая политика разрабатывается вместе с ответственными за автоматизацию предприятия, чтобы соответствовать видению компании.
TI Safe - поставщик услуг по управляемой безопасности, ориентированных на проверенную промышленную среду, с текущими контрактами с крупными бразильскими компаниями, занимающимися критической инфраструктурой.
Эти услуги предоставляются через ICS-SOC®, Центр управления кибербезопасностью критической инфраструктуры, который управляет 24x7x365 и предоставляет современные сетевые ресурсы, технологии и процессы для непрерывного управления, предотвращения, обнаружения и реагирования на сетевые инциденты. ,
ICS-SOC® TI Safe Photo
ICS-SOC® от TI Safe предлагает пять уровней управляемых услуг с совокупными возможностями, разделенными на две основные категории: мониторинг и управление (уровни 1 и 2) и промышленный интеллект (уровни 3, 4 и 5).
Рисунок: уровни услуг, предоставляемых TI Safe ICS-SOC®
МОНИТОРИНГ И УПРАВЛЕНИЕ
Уровень 1: отчеты об управлении оборудованием и безопасности
- Управление охранным оборудованием (Firewalls, IPS и др.), Расположенным на заводе клиента.
- Мониторинг состояния работы оборудования и устранение проблем, мешающих его правильной работе.
- Постоянная параметризация оборудования.
- Регистрация доступа через VPN для новых авторизованных пользователей.
- Обновления программного обеспечения, операционной системы, исправления и т. Д.
- RMA оборудования (замена на месте, если ящик RMA отправлен производителем в соответствии с условиями контракта)
- Предоставление ежедневных и еженедельных отчетов о киберугрозах, обнаруженных и заблокированных оборудованием. Другие индивидуальные отчеты могут быть разработаны в соответствии с требованиями заказчика.
Уровень 2: (Службы уровня 1) + Сбор политик и мониторинг событий
- Посещения выполняются в соответствии с запросами, сделанными через систему контроля посещаемости поддержки (SCAS) и утверждаются в соответствии с процедурами управления изменениями клиента.
- Участие в изменениях настроек безопасности (порты, сегменты, зоны безопасности и т. Д.).
- Посещение политик безопасности (добавление, изменение или удаление политик).
- Оптимизация существующих правил и политик.
- Активный мониторинг решений безопасности (атаки, вредоносные программы, APT, день 0, уязвимости и т. Д.).
- Расследование и отчетность по событиям, обнаруженным решениями безопасности (например, отчет о наличии вредоносных программ, подозрительный трафик).
ПРОМЫШЛЕННЫЙ ИНТЕЛЛЕКТ
Уровень 3: (Услуги уровня 2) + Коррекция событий и промышленный мониторинг
- Использование инструмента SIEM с анализом журнала в реальном времени для целей обнаружения угроз.
- Корреляция событий для определения возможных взаимосвязей между ними, что указывает на возможность возникновения инцидентов.
- Централизованное управление информацией о кибербезопасности.
- Использование промышленных IPS для мониторинга критических переменных управления в реальном времени операционной сети.
- Формирование отчетов о соответствии.
- Управление инцидентами и выдача билетов для обслуживания клиентов.
Уровень 4: (Услуги уровня 3) + Управление реагированием на инциденты и управление уязвимостями
- Управление уязвимостями: использование ведущего на рынке автоматизированного инструмента для выполнения контролируемого сканирования ранее выбранного оборудования в сети AT с заданными интервалами. Как только уязвимость обнаружена, оценивается ее влияние, выявляются корректирующие меры и, если они санкционированы, выполняются. Его статус отслеживается и сообщается до закрытия.
- Генерация периодических отчетов об уязвимостях.
- Контролируемое реагирование на инциденты промышленной кибербезопасности в партнерстве с командой клиента.
Уровень 5: (Услуги уровня 4) + Искусственный интеллект и цифровые исследования
- Анализ безопасности больших данных: анализ больших объемов данных для обнаружения угроз, а затем представление и просмотр результатов.
- Интеграция между локальными базами данных событий и анализом угроз при глобальных атаках.
- Расширение данных за счет использования таких источников, как географические данные, данные DNS, интеграция управления доступом к сети и служба репутации IP-адресов и доменов.
- Криминалистика и выявление лазеек в сети автоматизации.