Wpisz czego szukasz
i kliknij enter
Powrót do listy

OTnośnik: Jak zabezpieczyć swoją infrastrukturę ICS/OT z Belden macmon NAC?

Kategoria

OTnośnik – cykliczny biuletyn z komentarzami ekspertów Tekniska

Udostępnij wpis

To właśnie zderzenie tych perspektyw sprawia, że rozmowa o cyberbezpieczeństwie bywa trudna. Inaczej patrzy na nie dział IT, inaczej automatyk, inaczej utrzymanie ruchu, a jeszcze inaczej zarząd, który odpowiada za ryzyko biznesowe i ciągłość operacyjną. Jak zatem, z tych różnych punktów widzenia, stworzyć jeden spójny obraz?

Świadomość przede wszystkim

W praktyce cyberbezpieczeństwo bardzo często sprowadzamy do prostego skojarzenia: zabezpieczyć się przed cyberatakiem. Albo jeszcze węziej – nie dopuścić nikogo niepowołanego z zewnątrz, a to za mało.

Pomocna jest tu norma IEC 62443, która odnosi się do różnych poziomów bezpieczeństwa (Security Levels – SL), określających, przed jakim typem zagrożeń i przed jak zaawansowanym przeciwnikiem chcemy chronić infrastrukturę. Jak podkreśla Piotr Grychtoł, bezpieczeństwo w OT nie jest pojedynczym produktem czy specyficzną konfiguracją systemu. To proces obejmujący zarówno polityki dostępu, segmentację, monitorowanie ruchu, jak i kontrolę tego, kto oraz z jakiego urządzenia może komunikować się z infrastrukturą.

Ważnym punktem odniesienia pozostają również założenia cybersecurity framework, który wyróżnia sześć podstawowych obszarów cyberbezpieczeństwa:

  • zarządzanie,
  • identyfikację,
  • zabezpieczanie,
  • wykrywanie,
  • reakcję,

W praktyce oznacza to, że skuteczna ochrona infrastruktury ICS/OT nie kończy się na wdrożeniu firewalla czy VPN-a. Równie istotna jest wiedza o tym: jakie urządzenia znajdują się w sieci, kto ma do nich dostęp, czy pojawiły się nieautoryzowane zmiany oraz jak szybko organizacja potrafi zareagować na incydent.

Najpierw widoczność, potem kontrola

Nie da się skutecznie chronić infrastruktury, której nie widzimy – to szczególnie ważne w środowiskach OT, gdzie przez lata sieci były rozbudowywane etapami, często z udziałem wielu dostawców, różnych generacji urządzeń i rozwiązań, które nie zawsze powstawały z myślą o cyberbezpieczeństwie. W efekcie organizacja może mieć w sieci sterowniki PLC, panele HMI, komputery inżynierskie, kamery, urządzenia serwisowe, konwertery, switche, a także okresowo podłączany sprzęt zewnętrznych wykonawców.

Problem zaczyna się wtedy, gdy nie wiadomo, które urządzenia są zaufane, które są nowe, które zmieniły lokalizację, a które nigdy nie powinny znaleźć się w danym segmencie sieci… No i tu pojawia się właśnie rozwiązanie firmy Belden – macmon NAC.

macmon NAC: kontrola dostępu w środowisku IT i OT

Network Access Control, czyli NAC, można potraktować jako mechanizm decydujący o tym, czy dane urządzenie lub użytkownik powinien otrzymać dostęp do sieci – a jeśli tak, to do jakiego jej obszaru.

W środowisku przemysłowym nie chodzi jednak o prostą zasadę „wpuścić albo zablokować”. Znacznie ważniejsze jest precyzyjne zarządzanie dostępem. Inne uprawnienia powinien mieć komputer inżynierski, inne panel operatorski, inne urządzenie serwisanta, a jeszcze inne laptop podłączony tymczasowo podczas prac utrzymaniowych. macmon NAC pozwala budować taką kontrolę w sposób uporządkowany. Pomaga identyfikować urządzenia, przypisywać im role, egzekwować polityki dostępu i reagować na sytuacje, w których do sieci trafia nieznany lub niezgodny z polityką element.

Co istotne, mówimy tutaj nie tylko o ochronie „przed wejściem” do organizacji. macmon NAC może wspierać także scenariusze po zestawieniu połączenia VPN. Sam VPN potwierdza, że ktoś uzyskał zdalny dostęp, ale nie rozwiązuje automatycznie pytania: do czego dokładnie powinien mieć dostęp po wejściu do sieci? NAC pozwala tę kontrolę doprecyzować.

Dlaczego to ważne po stronie OT?

W sieciach biurowych nieautoryzowane urządzenie może oznaczać ryzyko wycieku danych. W środowisku OT konsekwencje mogą być dużo szersze: przerwa w produkcji, utrata komunikacji ze sterownikiem, niekontrolowana zmiana konfiguracji albo zakłócenie procesu technologicznego… macmon NAC wspiera podejście, w którym organizacja zyskuje kontrolę nad dostępem bez konieczności gwałtownej przebudowy całej infrastruktury. Mamy na myśli obszary takie jak:

  • wykrywanie nowych urządzeń,
  • kontrola dostępu przewodowego i bezprzewodowego,
  • obsługa gości i podmiotów zewnętrznych,
  • przypisywanie urządzeń do odpowiednich VLAN-ów,
  • wykorzystanie 802.1X tam, gdzie jest to możliwe
  • oraz ograniczanie dostępu tam, gdzie wymagają tego polityki bezpieczeństwa.

Zabezpieczenie infrastruktury ICS/OT nie jest zadaniem wyłącznie dla IT

Nie jest też wyłącznie zadaniem automatyki. To obszar, w którym potrzebna jest współpraca: od zarządzania ryzykiem, przez architekturę sieci, po codzienną eksploatację. macmon NAC daje wspólny punkt odniesienia: widoczność zasobów, kontrolę dostępu i możliwość egzekwowania zasad, które wcześniej często funkcjonowały tylko jako założenia.

Trzeba wiedzieć, co dzieje się w sieci. Trzeba umieć rozpoznać, kto i co się do niej podłącza i mieć narzędzia, które pozwolą reagować zanim pojedyncze nieautoryzowane połączenie stanie się problemem dla całej organizacji. Właśnie w tym miejscu zaczyna się praktyczna wartość macmon NAC dla infrastruktury ICS/OT.

Oddajmy więc głos użytkownikom

Z rozmów z naszymi klientami wynika, że w przypadku macmon NAC szczególnie doceniane są następujące cechy:

  1. Niezależność od dostawców urządzeń sieciowych – w zakładach, w których infrastruktura rozwijała się przez lata i składa się ze sprzętu różnych producentów, pozwala to budować spójną politykę dostępu bez zamykania się w jednym ekosystemie.
  2. Drugim elementem jest dynamiczna segmentacja sieci. Dzięki niej użytkownik, urządzenie lub serwisant otrzymuje dostęp tylko do tych obszarów, które są potrzebne do wykonania konkretnego zadania. W OT ma to szczególne znaczenie, bo ogranicza ryzyko rozprzestrzenienia się błędu, nieautoryzowanego podłączenia lub incydentu.
  3. Użytkownicy zwracają też uwagę na intuicyjną administrację przez web GUI z modelem ról. To ułatwia podział odpowiedzialności między zespołami IT, OT i bezpieczeństwa, zwłaszcza tam, gdzie dostępem do infrastruktury zarządza więcej niż jeden dział.
  4. W codziennej pracy liczy się również raportowanie i automatyzacja operacji sieciowych. Organizacja widzi, co pojawia się w sieci, jakie działania zostały podjęte i czy dostęp jest zgodny z polityką. To wsparcie zarówno dla bieżącej administracji, jak i audytów czy analizy incydentów.
  5. macmon NAC wspiera też kontrolowany, ograniczony dostęp zewnętrzny, m.in. przez uwierzytelnianie za pomocą systemu biletów.
  6. Z perspektywy utrzymania ruchu kluczowa jest dostępność samego rozwiązania. Narzędzie bezpieczeństwa nie może stać się pojedynczym punktem awarii, dlatego znaczenie mają obsługa rozproszonych lokalizacji oraz wysoka dostępność w modelu active-active HA.
  7. Atutem jest również przewidywalna architektura wdrożenia. macmon NAC może być uruchomiony jako maszyna wirtualna w środowiskach takich jak VMware ESX, Microsoft Hyper-V, Nutanix czy Proxmox, a wymagania na poziomie 4 vCPU, 8 GB RAM i 250 GB przestrzeni dyskowej ułatwiają start bez budowania osobnej, skomplikowanej infrastruktury.
  8. Warto wspomnieć także o modelu licencjonowania opartym na rzeczywistej liczbie adresów MAC. Dzięki temu łatwiej zaplanować skalę wdrożenia, bo punktem odniesienia jest liczba realnych urządzeń w sieci. Moduły Add-On pozwalają natomiast rozwijać rozwiązanie etapami, wraz z potrzebami organizacji.

To wszystko sprawia, że macmon NAC można traktować jako praktyczny element porządkowania środowiska ICS/OT: od widoczności urządzeń, przez egzekwowanie polityk, po raportowanie, segmentację i bezpieczną obsługę dostępu zewnętrznego.

Idź do kategorii

Udostępnij wpis

Tagi

  • Belden
  • Macmon
  • NAC
  • OTnośnik

Zobacz inne wpisy

OTnośnik – cykliczny biuletyn z komentarzami ekspertów Tekniska
OTnośnik: Inwentaryzacja i monitoring zmian konfiguracji systemów SCADA/PLC w ramach wymagań ustawy KSC i normy IEC 62443

Niezależnie od branży: od energetyki, przez produkcję, po wodociągi czy transport - środowiska przemysłowe coraz częściej stają się częścią dyskusji o cyberbezpieczeństwie. I nie chodzi już wyłącznie o to, czy mamy firewall, segmentację albo procedurę reagowania na incydenty. Coraz większe znaczenie ma podstawowe pytanie: czy naprawdę wiemy, co znajduje się w naszej infrastrukturze OT?
Dlatego w tym wydaniu OTnośnika zajmiemy się inwentaryzacją i monitoringiem zmian konfiguracji systemów SCADA/PLC w kontekście wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz normy IEC 62443, na przykładzie podejścia prezentowanego przez Tekniska Polska i rozwiązania Armis.

Czytaj
OTnośnik: Backup jako element odporności organizacji – praktyczne podejście Xopero

Niezależnie od branży – od przemysłu po finanse czy ochronę zdrowia – utrata danych albo brak możliwości ich szybkiego odtworzenia przekłada się na realne straty. Dlatego w tym wydaniu OTnośnika zajmiemy się rolą backupu jako elementu budowania odporności organizacji – w środowiskach IT i OT – na przykładzie rozwiązań naszego partnera, firmy Xopero Software.

Czytaj