„Pierwszym krokiem jest identyfikacja i inwentaryzacja zasobów – urządzeń, protokołów oraz relacji komunikacyjnych. Bez tego nie ma mowy o świadomym monitorowaniu. Kolejnym etapem jest określenie, które systemy są dla organizacji krytyczne i jaki poziom ryzyka jesteśmy w stanie zaakceptować. Tylko w tym kontekście detekcja anomalii nabiera sensu – bo wiemy, czy dane zdarzenie to incydent operacyjny, czy tylko techniczna zmiana w komunikacji” – wyjaśnia Michał Bednarczyk, Cyber Security Analyst w Tekniska, który na co dzień pracuje z systemami IDS i SIEM w środowiskach przemysłowych.
Dopiero bazując na uporządkowanych zasobach i na kontekscie ryzyka, możemy wdrożyć mechanizmy detekcji, które realnie wspierają bezpieczeństwo. I właśnie w tym miejscu pojawiają się rozwiązania Radiflow.
Pasywna analiza komunikacji przemysłowej
Radiflow nie jest systemem lokalizowanym w torze ruchu sieciowego (nie działa w trybie inline), który mógłby wpłynąć na stabilność produkcji, lecz dedykowanym IDS-em zaprojektowanym z myślą o protokołach przemysłowych. Sposób wdrożenia ma tu kluczowe znaczenie, ponieważ system pracuje w trzech trybach. Najpierw konfiguracja pod konkretną infrastrukturę. Następnie tryb nauki – kilka dni obserwacji i budowania baseline’u. Po tym przechodzimy do trybu detekcji.
Pominięcie etapu uczenia się systemu skutkuje dużą liczbą alertów bezpieczeństwa – dotyczących nowych adresów MAC, połączeń czy zmian topologii. Dopiero zbudowanie kontekstu pozwala ograniczyć liczbę zdarzeń do tych, które rzeczywiście mają znaczenie z punktu widzenia cyberbezpieczeństwa.
Baseline, Digital Twin i wykrywanie odchyłek
Coraz częściej mówi się o koncepcji cyfrowego bliźniaka – w praktyce chodzi o to, że system musi wiedzieć, jak wygląda „normalność” (baseline), aby móc wykrywać odchylenia od przyjętego wzorca komunikacji. Przykładami takich odchyleń mogą być:
- nowa relacja między urządzeniami, które wcześniej się ze sobą nie komunikowały,
- próba zapisu zmiennej w protokole S7,
- czy nietypowa operacja w OPC UA.
Kluczowe jest nie samo pojawienie się ruchu sieciowego, ale jego znaczenie w kontekście procesu technologicznego. Radiflow analizuje komunikację właśnie na poziomie protokołów przemysłowych oraz wykonywanych za ich pośrednictwem operacji. System nie reaguje na ogólne zdarzenia typu „więcej pakietów niż zwykle”, lecz na zmianę semantyki komunikacji – czyli na to, co faktycznie dzieje się w procesie technologicznym.
Architektura dopasowana do realiów organizacji
Nie istnieje jedna, uniwersalna architektura wdrażanego systemu. W zależności od struktury środowiska możemy:
- agregować ruch centralnie,
- korzystać z lokalnych sond w mniejszych obiektach,
- budować model wielooddziałowy z centralnym zarządzaniem,
- albo instalować system na dostępnej infrastrukturze wirtualnej lub bare metal.
Istotne jest to, że rozwiązanie integruje się z istniejącym środowiskiem SOC i SIEM. Generowane alerty są przekazywane dalej, korelowane i włączane w proces reagowania kryzysowego. Jednocześnie zachowana zostaje niezależność od dostawców SOC (vendor agnostic), co pozwala na integrację z dowolnym operatorem usług oraz jasny podział odpowiedzialności – od poziomu L1 po wsparcie eksperckie na poziomie L3.
Jak to działa w praktyce?
Podczas wydarzeń z cyklu Network & Security RoadShow demonstrujemy możliwości systemu Radiflow w oparciu o przygotowany scenariusz ataku na środowisko przemysłowe.
- Symulujemy sytuację, w której dochodzi do nieautoryzowanej ingerencji w komunikację między sterownikiem, a systemem nadrzędnym.
- Modyfikacja zmiennej w protokole S7 zostaje natychmiast wykryta przez system IDS.
- Próba manipulacji w komunikacji OPC UA generuje alerty w czasie rzeczywistym, a zdarzenia trafiają do systemu SIEM, gdzie możliwa jest pełna analiza kontekstowa logów.
- Po włączeniu odpowiednich reguł po stronie firewall/IPS próba ataku kończy się zablokowaniem komunikacji.
Wniosek? IDS zapewnia widoczność i detekcję, natomiast IPS umożliwia aktywną reakcję na poziomie ruchu sieciowego. W środowisku OT właśnie o to chodzi – o świadome określenie granicy między monitoringiem, a ingerencją w komunikację – tak, aby nie naruszyć ciągłości procesu technologicznego.
Reputacja i zaplecze R&D
Wybór rozwiązania dla środowiska OT nie powinien być przypadkowy. Standardy, takie jak ISO 27001/27002, jednoznacznie podkreślają znaczenie reputacji dostawcy i jego zaplecza badawczo-rozwojowego. W obszarze przemysłowym mówimy o globalnych podatnościach i zagrożeniach – lokalna perspektywa nie jest wystarczająca. Dlatego istotne jest, aby rozwiązanie opierało się na rozwiniętym zapleczu R&D i sprawdzonych mechanizmach detekcji, a nie stanowiło projektu „lokalnego”.
Technologia to dopiero początek drogi
Należy pamiętać, że sam system IDS nie zapewni Twojej organizacji pełnego bezpieczeństwa. Potrzebne są analizy ryzyka, zaprojektowane playbooki, uzgodnione scenariusze reakcji, aktualizacje sygnatur i regularne przeglądy konfiguracji. W praktyce oznacza to ścisłą współpracę z SOC – wspólne dopracowanie scenariuszy oraz bieżące wsparcie w utrzymaniu i rozwoju systemu.