Inwentaryzacja sieci IT oraz OT została wykonana z wykorzystaniem narzędzi pasywnych i aktywnych. Działanie rozwiązania pasywnego opierało się na nasłuchiwaniu ruchu sieciowego skopiowanego z portu mirror przełącznika LAN znajdującego się w centralnym punkcie sieci oraz pozostałych istotnych punktach sieci i wyniesionych lokalizacjach.
W określonych obszarach zostały wykorzystane również odpowiednio skonfigurowane narzędzia aktywne skanujące sieć oraz narzędzia własne zespołu Tekniska Polska.
Jako narzędzie pasywne wykorzystano system Radiflow iSID służący do ciągłego monitorowania i wykrywania zagrożeń w sieci. Posłużono się również aktywnymi narzędziami m.in. Zenmap (wersja skanera Nmap dla systemu Windows) oraz specjalistycznymi narzędziami typu Open Source.
Dane pozyskane za pomocą ww. aplikacji i rozwiązań własnych Tekniska Polska w zakresie widzialności sieci, takie jak informacje o podsieciach, adresach IP i MAC urządzeń sieciowych, producencie danego urządzenia jego typie oraz o uruchomionych na tym urządzeniu podstawowych usługach sieciowych a także o:
- komunikacji pomiędzy podsieciami,
- kierunkach komunikacji TCP,
- wykrytych komendach protokołów przemysłowych,
- wykrytych połączeniach typu klient – serwer,
- wykrytych zdalnych połączeniach do sieci OT,
- wykrytych routerach i przełącznikach pracujących w sieci,
- wykrytych sterownikach i urządzeniach automatyki,
- wykrytej komunikacji do serwerów DNS wraz z nazwami rozwiązywanych domen,
- przechwyconych komunikatach Syslog,
- otwartych wykorzystywanych portach w urządzeniach (w sposób pasywny),
- dodatkowych informacjach o assetach (OS, firmware, model, wersja HW itd.)
System iSID udostępnił również:
- listę wytycznych opisujące czynności wymagane do poprawy poziomu bezpieczeństwa,
- lista nieaktywnych urządzeń i połączeń,
W raporcie oczywiście zawarte były informacje z zakresu cyberbezpieczeństwa czyli:
- wykryte incydenty wraz ze szczegółami oraz zebranym ruchem sieciowym do plików .pcap,
- wykryte podejrzane aktywności w sieci,
- lista podatności dla wykrytych urządzeń i systemów w oparciu o bazę CVE,
- lista alarmów związana z analizą ruchu silnikiem sygnaturowym,
- wykryte podejrzane połączenia w sieci przedsiębiorstwa,
- lista sugerowanych reguł filtrowania lub detekcji zbudowana w oparciu
o przeanalizowany ruch sieciowy.
Wszystkie te dane stanowiły fundament dla dalszych działań. Jak można było się spodziewać w tak rozległej infrastrukturze i przy takiej mnogości systemów wcześniej funkcjonująca sieć, a tym samym jej komponenty (przełączniki, routery, konwertery itd.) pochodziły od różnych producentów. Tak duża różnorodność rozwiązań powodowała kłopoty z pełną kompatybilnością oraz prowadziła do braków w obsłudze krytycznych funkcji, a złożona topologia dodatkowo komplikowała zarządzenie oraz obsługę, kluczowym pozostawał również fakt braku segmentacji. W celu ustandaryzowania infrastruktury oraz wprowadzenia odpowiednich wynikających ze standardu IEC 62443 rozwiązań wykonano koncepcję odpowiednio dla sieci IT oraz OT. Koncepcje zostały zaprezentowane i omówione z zespołami odpowiedzialnymi za modernizowane obszary. Kolejnym krokiem było przygotowanie kompletnego projektu sieci IT oraz sieci OT również w zakresie separacji systemów. Wdrożenie założeń projektowych obejmowało dostawę sprzętu oraz konfigurację sieci w zakresie jej redundancji, segmentacji i segregacji oraz rekonfigurację systemów współpracujących. Dostarczony sprzęt został dobrany tak by spełniał założenia koncepcji Defense in depth zarówno w zakresie doboru dostawców jak i funkcjonalności wymaganych do realizacji przypisanych zadań w odpowiednich obszarach sieci. Każdy z ważnych elementów szeroko rozumianej sieci klienta zbudowany jest w oparciu o rozwiązania dedykowane dla danego obszaru. Sieci w obszarach IT oraz OT zbudowane zostały w oparciu o dwóch różnych producentów, a wynika to z wyżej wymienionej koncepcji, ale również innych potrzeb w obydwu obszarach. Tak samo zadziałaliśmy w zakresie Cyberbezpieczeństwa obszarów IT oraz OT wybraliśmy dwóch różnych dostawców ze względu na koncepcję Defense in depth oraz dobre praktyki, kolejnym argumentem przemawiający za takim wyborem było to że FW brzegowy wymaga innych funkcjonalności, a przed wszystkim parametrów pracy niż FW separujący sieć OT od sieci IT.
Ważnym etapem wdrożenia w zakresie sieci IT był również przegląd systemów zabezpieczeń w tym reguł zaimplementowanych w firewall-u brzegowym pod kątem konfiguracji oraz aktualizacji . Ostatnim etapem była separacja systemów OT i wyznaczenie stref i kanałów komunikacyjnych, a następnie zabezpieczenie kanału nowoczesnym rozwiązaniem typu UTM/NGFW dedykowanym dla sieci przemysłowych.