Cyberataki na firmy produkcyjne nie są rzadkością. Gdy zagrożenie dotyka systemów OT (Operational Technology), pojawia się realne ryzyko przestojów, zakłócenia produkcji i strat sięgających milionów euro. W takich sytuacjach czas reakcji jest kluczowy – im szybciej organizacja wykryje anomalie i podejmie działania, tym większa szansa na uniknięcie kosztownych konsekwencji.
Wierzymy, że na reaktywację merytorycznej wiedzy nigdy nie jest za późno – dlatego w najnowszym wydaniu OTnośnika przyglądamy się platformie Wazuh, darmowemu rozwiązaniu łączącemu funkcjonalności XDR (Extended Detection and Response) oraz SIEM (Security Information and Event Management).
Co umożliwia Wazuh?
Jest to zaawansowane narzędzie do monitorowania i ochrony systemów OT, pozwalające na szybkie wykrywanie zagrożeń i automatyczną reakcję na incydenty. Integracja z systemami bezpieczeństwa OT zapewnia ciągły nadzór nad infrastrukturą przemysłową, minimalizując ryzyko cyberataków.
Oprócz analizy logów i wykrywania anomalii, Wazuh wspiera także zarządzanie podatnościami, umożliwiając bieżące skanowanie systemów OT w poszukiwaniu luk w zabezpieczeniach. Automatyczne porównanie wersji oprogramowania z bazami znanych podatności (CVE) pozwala organizacjom szybciej wykrywać zagrożenia i eliminować je, często bez potrzeby modernizacji infrastruktury.
Co więcej w procesie identyfikacji tych podatności Wazuh nie potrzebuje dostępu do Internetu. Można wgrać na serwer Wazuh plik zawierający informacje o wszystkich opublikowanych podatnościach (do dnia wydania tego pliku z podatnościami) i wtedy Wazuh pobiera w trybie offline informacje odnośnie tych podatności bez dostępu do Internetu.
Dodatkową ochronę zapewnia monitorowanie integralności systemów OT. Wazuh wykrywa nieautoryzowane zmiany w sterownikach PLC, systemach SCADA i plikach konfiguracyjnych, co pozwala szybko reagować na potencjalne manipulacje. Z kolei otwartoźródłowy charakter systemu eliminuje koszty licencyjne, jednocześnie zapewniając skalowalność i elastyczność dostosowaną do dynamicznych potrzeb przemysłu.
Jak to działa?
Architektura Wazuh opiera się na trzech kluczowych komponentach:
● Agent działa na monitorowanych systemach, zbierając logi i informacje o zdarzeniach bezpieczeństwa z różnych źródeł – systemów operacyjnych, urządzeń sieciowych i aplikacji przemysłowych.
● Serwer przetwarza zgromadzone dane, koreluje je z regułami detekcji i podejmuje określone działania, takie jak generowanie alertów czy automatyczne reakcje.
● Konsola wizualizuje dane w intuicyjnym interfejsie, umożliwiając administratorom łatwą analizę i monitorowanie incydentów.
No dobrze, ale jak to wygląda w praktyce?
Sprawdziliśmy to podczas Network & Security RoadShow, przeprowadzając symulację rzeczywistego cyberataku na infrastrukturę OT. Celem eksperymentu było przetestowanie skuteczności narzędzi do monitorowania i reagowania na zagrożenia.
Warsztat poprowadził Michał Bednarczyk, analityk cyberbezpieczeństwa w Tekniska, który na przykładzie systemu sterowania sygnalizacją świetlną pokazał, jak atak na protokół S7 może wpłynąć na działanie infrastruktury OT. Manipulacja zmienną w protokole S7 doprowadziła do zmiany pracy sygnalizacji świetlnej, a system iSID Radiflow wykrył nietypową aktywność i przekazał logi do Wazuh, gdzie przeprowadzono ich analizę.
● Co wydarzyło się dalej?
● Jak zareagowały systemy bezpieczeństwa?
● Jaką rolę odegrał Wazuh w analizie incydentu?
Jeśli chcesz dowiedziec się więcej na temat tego rozwiązania zapraszamy do kontaktu bezpośredniego lub udziału w kolejnej edycji Tekniska Network & Security RoadShow by Tekniska, więcej szczegółów na stronie: https://tekniska.pl/roadshow/