Wpisz czego szukasz
i kliknij enter

ZEW Niedzica

Projekt: Badanie bezpieczeństwa sieci zakładowej oraz opracowanie koncepcji, a następnie projektu optymalizacji i modernizacji sieci IT/OT oraz wdrożenie wypracowanych założeń.

Szczegóły projektu

Wyzwania projektowe

W tak szeroko  zdefiniowanym zadaniu pojawiają się liczne wyzwania projektowe,
a najważniejsze z nich to określenie stanu początkowego poprzez przeprowadzenie inwentaryzacji infrastruktury IT/OT. Działania inwentaryzacyjne obejmowały między innymi identyfikację urządzeń (serwer, PLC, HMI, stacja robocza itd.) ich adresacji IP, identyfikację podsieci, protokołów komunikacyjnych oraz stworzenie mapy połączeń logicznych w badanych sieciach.

Kolejnym kamieniem milowym było stworzenie odpowiedniej bezpiecznej i redundantnej architektury sieci IT oraz OT. W sieci przemysłowej wdrożenie niezbędnych zmian miało być realizowane przy minimalnej ingerencji w liczne pracujące tam systemy.

Jednym z większych wyzwań było zdefiniowanie w tak rozległej i rozproszonej sieci
(na podstawie pozyskanych w trakcie inwentaryzacji danych) stref i kanałów komunikacyjnych zgodnie ze standardem IEC 62443. Pozwoliło to określić punkty separacji IT/OT wraz z opracowaniem odpowiedniej architektury, a w dalszych etapach skonfigurowanie odpowiednich reguł zabezpieczających na poziomie urządzeń filtrujących ruch sieciowy. Istotnym parametrem był też oczywiście budżet zadania, a ograniczenia z nim związane grały kluczową rolę
w realizacji. Z założenia budżet nie miał mieć wpływu na jakość, a wręcz przeciwnie taki postawienie sprawy wymagało najefektywniejszego gospodarowania środkami w celu położenia solidnego fundamentu pod dalsze działania związane z szeroko rozumianym cyberbezpieczeństwem

Rozwiązania i produkty

Inwentaryzacja sieci IT oraz OT została wykonana z wykorzystaniem narzędzi pasywnych i aktywnych. Działanie rozwiązania pasywnego opierało się na nasłuchiwaniu ruchu sieciowego skopiowanego z portu mirror przełącznika LAN znajdującego się w centralnym punkcie sieci oraz pozostałych istotnych punktach sieci i wyniesionych lokalizacjach.
W określonych obszarach zostały wykorzystane również odpowiednio skonfigurowane narzędzia aktywne skanujące sieć oraz narzędzia własne zespołu Tekniska Polska.

Jako narzędzie pasywne wykorzystano system Radiflow iSID służący do ciągłego monitorowania i wykrywania zagrożeń w sieci. Posłużono się również aktywnymi narzędziami m.in. Zenmap (wersja skanera Nmap dla systemu Windows) oraz specjalistycznymi narzędziami typu Open Source

Dane pozyskane za pomocą ww. aplikacji i rozwiązań własnych Tekniska Polska w zakresie widzialności sieci, takie jak informacje o podsieciach, adresach IP i MAC urządzeń sieciowych, producencie danego  urządzenia jego typie oraz o uruchomionych na tym urządzeniu podstawowych usługach sieciowych a także o:

  • komunikacji pomiędzy podsieciami,
  • kierunkach komunikacji TCP,
  • wykrytych komendach protokołów przemysłowych,
  • wykrytych połączeniach typu klient – serwer,
  • wykrytych zdalnych połączeniach do sieci OT,
  • wykrytych routerach i przełącznikach pracujących w sieci,
  • wykrytych sterownikach i urządzeniach automatyki,
  • wykrytej komunikacji do serwerów DNS wraz z nazwami rozwiązywanych domen,
  • przechwyconych komunikatach Syslog,
  • otwartych wykorzystywanych portach w urządzeniach (w sposób pasywny),
  • dodatkowych informacjach o assetach (OS, firmware, model, wersja HW itd.)

System iSID udostępnił również:

  • listę wytycznych opisujące czynności wymagane do poprawy poziomu bezpieczeństwa,
  • lista nieaktywnych urządzeń i połączeń,

W raporcie oczywiście zawarte były informacje z zakresu cyberbezpieczeństwa czyli:

  • wykryte incydenty wraz ze szczegółami oraz zebranym ruchem sieciowym do plików .pcap,
  • wykryte podejrzane aktywności w sieci,
  • lista podatności dla wykrytych urządzeń i systemów w oparciu o bazę CVE,
  • lista alarmów związana z analizą ruchu silnikiem sygnaturowym,
  • wykryte podejrzane połączenia w sieci przedsiębiorstwa,
  • lista sugerowanych reguł filtrowania lub detekcji zbudowana w oparciu
    o przeanalizowany ruch sieciowy.

Wszystkie te dane stanowiły fundament dla dalszych działań. Jak można było się spodziewać w tak rozległej infrastrukturze i przy takiej mnogości systemów wcześniej funkcjonująca sieć, a tym samym jej komponenty (przełączniki, routery, konwertery itd.) pochodziły od różnych producentów. Tak duża różnorodność rozwiązań powodowała kłopoty z pełną kompatybilnością oraz prowadziła do braków w obsłudze krytycznych funkcji,
a złożona topologia dodatkowo komplikowała zarządzenie oraz obsługę, kluczowym pozostawał również fakt braku segmentacji. W celu ustandaryzowania infrastruktury oraz wprowadzenia odpowiednich wynikających ze standardu IEC 62443 rozwiązań wykonano koncepcję odpowiednio dla sieci IT oraz OT. Koncepcje zostały zaprezentowane i omówione
z zespołami odpowiedzialnymi za modernizowane obszary. Kolejnym krokiem było przygotowanie kompletnego projektu sieci IT oraz sieci OT również w zakresie separacji systemów. Wdrożenie założeń projektowych obejmowało dostawę sprzętu oraz konfigurację sieci w zakresie jej redundancji, segmentacji i segregacji oraz rekonfigurację systemów współpracujących. Dostarczony sprzęt został dobrany tak by spełniał założenia koncepcji Defense in depth zarówno w zakresie doboru dostawców jak i funkcjonalności wymaganych do realizacji przypisanych zadań w odpowiednich obszarach sieci. Każdy z ważnych elementów szeroko rozumianej sieci klienta zbudowany jest w oparciu o rozwiązania dedykowane dla danego obszaru. Sieci w obszarach IT oraz OT zbudowane zostały w oparciu o dwóch różnych producentów, a wynika to z wyżej wymienionej koncepcji, ale również innych potrzeb
w obydwu obszarach. Tak samo zadziałaliśmy w zakresie Cyberbezpieczeństwa obszarów IT oraz OT wybraliśmy dwóch różnych dostawców ze względu na koncepcję Defense in depth oraz dobre praktyki, kolejnym argumentem przemawiający za takim wyborem było to że FW brzegowy wymaga innych funkcjonalności, a przed wszystkim parametrów pracy niż FW separujący sieć OT od sieci IT.

Ważnym etapem wdrożenia w zakresie sieci IT był również przegląd systemów zabezpieczeń w tym reguł zaimplementowanych w firewall-u brzegowym pod kątem konfiguracji oraz aktualizacji . Ostatnim etapem była separacja systemów OT i wyznaczenie stref i kanałów komunikacyjnych, a następnie zabezpieczenie kanału nowoczesnym rozwiązaniem typu UTM/NGFW dedykowanym dla sieci przemysłowych.

Zdaniem specjalisty

Na sukces projektu złożyły się kwestie organizacyjne oraz zagadnienia techniczne. Projekt zakończył się sukcesem dzięki bardzo dobrej współpracy trzech stron - działów IT i OT/Automatyki po stronie Inwestora oraz dostawcy usług i rozwiązań czyli firmy Tekniska. Warto w tym miejscu podkreślić również dojrzałość i świadomość administratorów systemów i sieci po stronie Zamawiającego. Zadbali Oni już wcześniej o wdrożenie szeregu zabezpieczeń takich jak systemy AV, SIEM, Firewall, ale jednocześnie mieli świadomość, że cyberbezpieczeńśtwo to proces i zamierzali podnieść jego poziom
i wdrożyć zalecenia po audytowe. Wdrożenie zmian w sieci wymagało również wysokich i szerokich kompetencji od wszystkich stron w zakresie administracji systemami operacyjnymi, usługami katalogowymi AD, specyficznymi aplikacjami wykorzystywanymi w obiekcie, konfiguracji urządzeń sieciowych, etc.
Jeśli chodzi o kwestie techniczne to warta podkreślenia jest waga wykonanej na początku projektu inwentaryzacji sieci. Dane o urządzeniach i komunikacji pomiędzy nimi oraz automatycznie wygenerowane przez Policy Monitor (moduł systemu Radiflow iSID) reguły pozwoliły na przejście do kolejnych etapów, w których dokonano segmentacji sieci – podziału na strefy i kanały zgodnie ze standardem IEC 62443 oraz rekomendacjami Rządowego Centrum Bezpieczeństwa dla sektora wytwarzania energii elektrycznej.

Marcin Skórka
Menadżer Projektów Cyberbezpieczeństwa i Automatyki

Pozostałe case studies

Energetyka
Energetyka wiatrowa

Projekt: Utworzenie systemu nadzoru nad nowo powstałą elektrownią wiatrową.

Kolej, Transport
NEWAG S.A

Projekt: Dostawa dwudziestu jeden elektrycznych zespołów trakcyjnych wraz z siedmioletnim okresem utrzymania dla SKM Warszawa.

Ta strona używa plików Cookie. Korzystając ze strony wyrażasz zgodę na używanie Cookie, zgodnie z aktualnymi ustawieniami używanej przeglądarki. Szczegóły znajdziesz w Polityce prywatności.