Biztonságos OT csatlakozási alapelvek
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) a brit, ausztrál, kanadai, új-zélandi, német és holland partnerekkel együttműködve kiadta az OT rendszerek biztonságos összekapcsolhatóságára vonatkozó iránymutatásokat, hogy segítsék az OT eszközök tulajdonosait a hálózatokba való összekapcsolhatóságra vonatkozó egyre növekvő üzleti és szabályozási nyomás kezelésében. Az iránymutatás nyolc alapelvet vázol fel, amelyek keretként szolgálnak az OT környezetek összekapcsolhatóságának tervezéséhez, biztonságához és kezeléséhez, beleértve az alapvető szolgáltatást nyújtó szervezeteket is.
Az OT környezetekben a konnektivitás olyan előnyökkel jár többek között, mint a távoli felügyelet, a prediktív karbantartás és az integrált elemzés, azonban növeli a támadási felületet is. A régi és elavult eszközök, a komplex beszállítói láncok és a távoli hozzáférési megoldások mind olyan kockázatokat hordoznak, amelyek leállásokhoz, biztonsági incidensekhez vagy akár környezeti károkhoz is vezethetnek.
Sok régi OT környezetet nem a modern csatlakozási lehetőségek figyelembevételével terveztek. Ennek eredményeként a biztonsági rések nehézségeket okozhatnak a rendszerek üzembe helyezése után.
1. alapelv: A kockázatok és lehetőségek egyensúlyba hozása
Bármilyen OT-környezettel összefüggő új vagy meglévő kapcsolatok tekintetében, meg kell győződni arról, hogy a szervezet rendelkezik-e a szükséges eszközökkel ahhoz, hogy kockázattudatos döntéseket hozzon arról, hogy mikor, hogyan és hol engedélyezhető a kapcsolat az OT-rendszereken belül, valamint külső/harmadik fél rendszereivel. A döntéseket alaposan dokumentálni kell, hogy az indokolás ellenőrizhető legyen. Az összes OT-kapcsolat esetében az első lépésnek egy hivatalos üzleti terv dokumentálása kell lennie a döntéshozatal támogatása érdekében.
Az üzleti tervnek legalább a következőket kell dokumentálnia: szükséges-e a kapcsolat, és mit a célja; milyen előnyök származnak a hozzáadott kapcsolódásból; milyen kiber- és működési kockázatok az elfogadhatóak; milyen lehetséges hatásokkal járhat ennek a kapcsolatnak a kompromittálása; a kapcsolat miatt a rendszer külső szolgáltatásoktól függővé válik-e és ez megnehezíti-e az izolációt egy incidens esetén; ki a felső vezető (kockázatfelelős) az új kapcsolat esetében.
Ehhez szükséges egy átfogó kockázatmenedzsment keretrendszer, valamint az ellátási lánc megfelelő szintű ismerete és felügyelete.
2. alapelv: A kapcsolatok kitettségének csökkentése
Minél több kitett eszköz van egy OT hálózatban, annál nagyobb lesz a támadási felület. Ennek a kockázatnak a kezelése érdekében a szervezeteknek úgynevezett exposure menedzsment megközelítést kell alkalmazniuk. Ez magában foglalja az eszközökkel és azok összeköttetésével kapcsolatos kockázatok proaktív azonosítását, értékelését és csökkentését. Ide tartozik az eszköz hálózaton belüli elhelyezkedésének, a megvalósított összeköttetés típusának és a védelmi intézkedések erősségének értékelése. Kiemelt figyelmet kell fordítani az admin felületek kitettségére. Amennyiben lehetséges, korlátozni kell az eszközök vagy rendszerek menedzselését úgy, hogy az csak privilegizált hozzáférésű munkaállomásokról(PAW) legyen elérhető, akár csak lokálisan.
A támadási felület csökkentéséhez nagyban hozzá tud járulni a just-in-time hozzáférés alkalmazása, amely csak akkor engedélyezi a kapcsolatot az OT hálózathoz, amikor az szükséges, és egyébként letiltja azt.
Azokban az esetekben, amikor az OT környezeten kívüli rendszereknek hozzáférésre van szükségük az OT-eszközökhöz (például távoli gyártói támogatás miatt), javasolt ún. brokered kapcsolatot alkalmazni például egy DMZ-ben található biztonságos gatewayen keresztül. Ez egy olyan kapcsolat, amely során a külső fél egy közvetítő rendszerhez (a brókerhez) csatlakozik, amely aztán biztonságosan továbbítja a kapcsolatot az OT-eszközhöz. Ez biztosítja, hogy minden hozzáférés közvetett, monitorozott és ellenőrzött legyen.
3. alapelv: A hálózati kapcsolatok központosítása és szabványosítása
Az OT rendszerek csatlakozási modelljei a szervezetek fejlődésével összetettek lehetnek, mivel számos érdekelt felet érinthetnek, például üzleti rendszereket, számlázási platformokat és a folyamatos karbantartásért felelős külső beszállítókat. Ez az összetettség jelentősen megnövelheti az OT környezet támadási felületét. Emellett minden további kapcsolat, különösen ha ad hoc vagy egyedi módon valósul meg, potenciális sérülékenységet jelent, amelyeket a támadók kihasználhatnak.
A kapcsolatok központosítása és szabványosítása segít megoldani ezt a kihívást azáltal, hogy konszolidálja a hozzáférési pontokat és egységes védelmi intézkedéseket érvényesít az OT hálózat egészében. A központosított architektúra lehetővé teszi a biztonsági irányelvek következetes figyelemmel kísérését, naplózását és érvényesítését. A védelmi intézkedéseknek ezért rugalmasnak kell lenniük, kerülni kell a duplikációkat (pl. több VPN kapcsolat helyett egy központosított, egységes megoldás) és kategorizálni kell a kapcsolatokat.
4. alapelv: Szabványosított és biztonságos protokollok használata
Bár az OT rendszerek esetében nem a CIA alapelv az elsődleges fontosságú, mégis elengedhetetlen, hogy a szervezetek figyelembe vegyék a CIA alapelv minden elemét. A kapcsolat függvényében a CIA alapelv különböző elemeit kell prioritásként kezelni. Például a hálózati határpontokon zajló észak-dél forgalomban a bizalmasság kritikus fontosságú.
A hálózati környezetekben és azok között használt protokolloknak olyan adatformátumokkal kell rendelkezniük, amelyek lehetővé teszik a protokoll és az adatok egyszerű validációját.
Alapértelmezésként javasolt használni – lehetőség szerint – az ipari protokollok legújabb biztonságos verzióit (pl. DNP3 helyett DNP3-SAv5, CIP helyett CIP Security, Modbus helyett Modbus Security, OPC DA helyett OPC UA).
Az ipari kommunikációs protokollokat (Modbus, OPC DA, EtherNet/IP stb.) izolált OT hálózati szegmensekre kell korlátozni. Az OT és IT közötti adatcseréhez szükséges külső kapcsolatokat DMZ-n keresztül kell bonyolítani, és az interoperabilitás érdekében biztonságos, szabványosított protokollokat javasolt használni (pl. OPC UA over TLS, MQTT over TLS, HTTPS). Ha az operatív adatokat meg kell osztani, az OT historian adatokat egyirányú, biztonságos átviteli mechanizmuson keresztül javasolt replikálni a DMZ-ben található historian adatbázisba, biztosítva, hogy IT-OT irányban ne legyen kapcsolat.
5. alapelv: Az OT határainak megerősítése
Az elavult eszközök és a gyenge védelmi intézkedések kritikus fontosságúvá teszi az OT hálózatok határainak megerősítését. A hálózati szegmentálás kulcsfontosságú a kitettség csökkentése érdekében és bár ezek megfelelő első védelmi réteget biztosítanak, még hatékonyabbak ha secure by design eszközökkel és a hitelesített kommunikációs protokollokkal együtt alkalmazzák ezeket.
Mivel sok OT rendszer frissítése vagy cseréje kihívást jelent, a határok válnak az elsődleges védelemmé a külső fenyegetésekkel szemben. A szervezeteknek ezért modern, moduláris és könnyen cserélhető határvédelmi eszközöket kell alkalmazniuk. Ez lehet például egy Layer 7 ellenőrzési képességekkel rendelkező tűzfal (NGFW) telepítését.
Rendkívül fontos, hogy az OT hálózat határain működő eszközök: ne legyenek elavultak, alapértelmezés szerint rendszeresen frissüljenek a legújabb firmware-rel, élettartamuk vége előtt cseréljék le őket és SDLC szerint kerüljenek kifejlesztésre, biztosítva, hogy megfeleljenek a modern biztonsági szabványoknak. Mivel ezek az eszközök a hálózat szélén helyezkednek el, különösen érzékenyek a támadók által történő kihasználásra, ha ismert sérülékenységek vannak jelen ezekben az eszközökben.
A hardening során fontos figyelembe venni többek között a nem használt portok és szolgáltatások tiltását, a phishing rezisztens MFA bevezetését külső szolgáltatásokhoz, az alapértelmezett jelszavak cseréjét, a legkisebb jogosultság elvének alkalmazását, az egyirányú forgalmak alkalmazását, valamint a biztonsági követelmények betartásának kikényszerítését a harmadik feleknél.
6. alapelv: A kompromittálódás hatásának korlátozása
Az OT hálózatok mélységi védelmét úgy kell megvalósítani, hogy a lehető legnagyobb mértékben csökkentsék a belső fenyegetések, harmadik felek és külső támadások hatásait. A rétegzett védelmi rendszernek két fő kockázatra kell összpontosítania az útmutató szerint: a rendszer megfertőzésére és az oldalirányú mozgásra.
A támadások hatásának csökkentésére az egyik leghatékonyabb stratégia a szegmentált hálózati architektúra megvalósítása. A hálózat kisebb, funkcionálisan elszigetelt szegmensekre osztásával a szervezetek a fenyegetéseket az eredeti zónán belül tudják tartani. OT környezetekben a mikroszegmentálás egy finomabb megközelítést kínál a hálózati szegmentáláshoz, mivel a zónákat kisebb egységekre osztja specifikus munkaterhelések, alkalmazások vagy eszközfunkciók alapján. A hagyományos szegmentálással ellentétben, amely általában nagy hálózati zónákat választ el egymástól (például IT vs. OT, vagy vezérlés vs. felügyelet), a mikroszegmentálás finomabb szinten alkalmazza a kontrollokat, gyakran eszköz, szolgáltatás vagy protokoll szinten.
A feladatok szétválasztása biztosítja, hogy egyetlen rendszer, szerepkör vagy személy sem rendelkezzen teljes felügyelettel egy kritikus funkció valamennyi aspektusa felett. Ezzel csökkenteni lehet a véletlen vagy rosszindulatú cselekmények kockázatát, és korlátozni a kompromittálódás hatását.
A DMZ, mint pufferzóna többször is megjelenik az útmutatóban, mivel elszigeteli a külső rendszereket (például távoli hozzáférési átjárókat, frissítési szervereket vagy gyártói portálokat) a központi OT hálózattól, ami biztosítja, hogy a külsőleg csatlakoztatott rendszerek bármilyen kompromittálása ne tegye közvetlenül sérülékennyé az OT rendszert. Az OT hálózat külső peremének védelmének tehát jelentős szerepet kell kapnia az OT kiberbiztonság során.
7. alapelv: Minden kapcsolatot naplózása és felügyelete
Még az összes lehetséges védelmi intézkedés bevezetése után is fennáll a kockázata, hogy egy OT rendszerét támadás ér. A biztonságos kapcsolat kialakításakor a felügyelet az utolsó védelmi vonal. Rendkívül fontos, hogy a szervezetek az OT környezetükben átfogó naplózási és felügyeleti rendszert vezessenek be, amely segíti a támadások észlelését.
A naplózás segíti a szervezeteket a baselineok meghatározásában, így az operátorok vagy a detekciós rendszerek gyorsabban azonosíthatják az anomáliákat.
Az üzembiztonsági incidensek esetén a védelmi intézkedéseket megkerülő „break-glass” hozzáférés kizárólag vészhelyzetekre szolgál, és nem használható standard távoli hozzáférési módszerként. Rendkívül fontos, hogy a „break-glass” fiók használatára irányuló bármely kísérlet a SOC-ban a legmagasabb kritikus szintű riasztást váltsa ki.
8. alapelv: Elszigetelési terv
Bizonyos körülmények között szükség lehet az OT környezetek teljes elszigetelése. Ez különböző tényezőkből adódhat, például a kapcsolódó rendszerekben megnövekedett fenyegetések vagy megerősített kompromittálódás miatt. A rendszer elszigetelésének folyamatában figyelembe kell venni a szélesebb üzleti tevékenységre gyakorolt lehetséges hatásokat és az tágabb függőségeket.
Az elszigetelésre vonatkozó tervnek kapcsolódnia kell a szélesebb üzletmenet-folytonossági tervekhez, és azok részét kell képeznie. Az elszigetelési terveknek tartalmazniuk kell a harmadik felekkel és beszállítókkal kötött szerződéses megállapodások ismertetését is. A terv magában foglalhat olyan követelményeket, mint például a távoli támogatásról a helyszíni fizikai jelenlétre való átállás.
A kritikus funkciókat ellátó OT-rendszereket lehetőség szerint úgy kell megtervezni, hogy azok elszigetelése könnyen megvalósítható legyen, és külső függőségektől függetlenül működhessenek. Az elszigetelési intézkedésekből adódó nem kívánt következmények elkerülése érdekében elengedhetetlen az elszigetelési tervezés beépítése a rendszertervezési folyamatba.
