Как защитить системы ПЛК от угроз безопасности

«Расширение возможностей подключения дает производителям значительные преимущества, но также увеличивает риски кибербезопасности систем управления», — объясняет Стив Уорд, директор подразделения прикладного проектирования в странах Европы, Ближнего Востока и Африки в Emerson.

Поскольку кибератаки постоянно усложняются, из-за чего становится все труднее их обнаруживать и реагировать на них, модернизация способов устранения этих угроз должна стать главным приоритетом каждой компании. Внедрение подхода, основанного на оценке риска кибербезопасности, поможет выявить потенциальные уязвимые места и принять стратегические решения на основании вероятности использования и влияния каждого из них. Вот несколько распространенных вопросов и способов устранения рисков, которые помогут опережать возникающие угрозы и расширять возможности персонала.

Какие применяются способы мониторинга сети и обнаружения угроз?
Чем проще отслеживать сетевую активность, тем быстрее предприятие может отреагировать на обнаруженную атаку, что в конечном итоге снижает ее влияние. Следовательно, один из наиболее важных шагов по защите систем управления с программируемыми логическими контроллерами (ПЛК) и программируемыми контроллерами автоматизации (ПКА) от угроз безопасности осуществляется еще до обнаружения атаки.

Постоянный мониторинг порта сетевой связи упростит проверку непредвиденных сетевых протоколов, подключений или типов связи. Несмотря на то, что не каждая неожиданная активность в сети может стать угрозой, она всегда должна вызывать тревогу и тщательно изучаться.

Большинство предприятий знают о необходимости внедрения антивирусного программного обеспечения на серверах HMI и SCADA, но также важно установить его на каждом устройстве, которое будет подключаться к этим системам управления, например ноутбуках, планшетах, смартфонах и т. д. или любом другом устройстве, которое будет совместно использовать сеть с системами управления, ведь взломанное вспомогательное устройство может стать для хакера идеальным входом к системным данным.

Если на всем предприятии будет применяться централизованное антивирусное программное обеспечение, оно сможет обнаруживать и удалять вредоносное программное обеспечение, делая процесс мониторинга более эффективным и продуктивным.

Как ограничить ущерб от взлома сети?

Вне зависимости от подготовки, атаки и взломы все равно могут происходить. Поэтому важно не просто пытаться предотвратить их, но и обеспечить минимизацию ущерба в случае возникновения такой ситуации.

Один из способов ограничения ущерба для сети — наличие нескольких систем контроля безопасности. Реализация управления безопасностью на нескольких независимых уровнях станет препятствием для злоумышленника и не позволит серьезно повредить всю систему. Наличие правильной стратегии комплексной защиты по кибербезопасности помогает избежать проблем с безопасностью и остановок всего предприятия.

Сегментирование сетей на логические зоны применяется для предотвращения внутренних угроз, которые, хотя и менее распространены, но часто приводят к большому ущербу. Наличие отдельных зон, также называемое «расширенная сегментация сети», более сложно реализовать и поддерживать по сравнению с традиционной сегментацией сети, но оно считается одним из лучших способов защиты ресурсов.

Безопасное развертывание с помощью брандмауэров и сегментации для блокировки нежелательного входящего трафика, а также защита сети для ограничения передачи данных являются минимальными требованиями для предприятия. Использование расширенных межсетевых экранов или брандмауэров на прикладном уровне является идеальным подходом для этой цели.

Другой способ ограничить последствия взлома — использование резервирования или включение в систему резервных компонентов, чтобы система могла продолжать функционировать в случае отказа компонента или нарушения безопасности.

И наконец, одним из наиболее важных способов ограничения влияния взломов является создание эффективных и надежных процедур восстановления и политики непрерывности бизнес-процессов, которые позволяют справиться с нарушением до того, как его влияние сможет распространиться, и снизить негативный эффект будущих угроз.

Какие еще существуют способы уменьшить площадь поверхности атаки с помощью ПЛК?
Блокировка всех неиспользуемых портов связи и отключение всех неиспользуемых служб — простые шаги, которые необходимо предпринять, чтобы уменьшить площадь поверхности, которая может быть атакована.

Предприятия должны взаимодействовать с поставщиками, у которых имеются сертификаты качества, такие как Achilles, для ПЛК и ПКА, которые охватывают проектные и технические требования безопасности для системы управления. Сертификаты позволяют поставщикам систем управления официально подтверждать соответствие их системы управления требованиям кибербезопасности.

Мониторинг межкомпьютерного взаимодействия на предприятии — еще один важный шаг для предотвращения атаки. Все подключения должны реализовываться с помощью протоколов для промышленной автоматизации, таких как унифицированная архитектура OPC (OPC UA), которая предлагает надежную безопасность, состоящую из аутентификации и авторизации, а также шифрования и сохранности данных. Во время мониторинга сетевых коммуникаций новые открытые порты или используемые протоколы предупреждают вас о потенциальной угрозе.

Какой способ управления аутентификацией пользователей ПЛК является лучшим?
Непредусмотренное поведение может быть одной из самых серьезных угроз для организации. Поэтому важно придерживаться признанных моделей поведения и обучать персонал действиям по снижению рисков. Например, одна из самых больших угроз безопасности — это пользовательский пароль. В мире, где наиболее распространенными паролями являются «пароль» или «123456», невозможно переоценить важность инструктажа пользователей относительно выбора надежных паролей.

Также нужно требовать аутентификацию пользователя между клиентским приложением (-ями) и сервером, чтобы гарантировать, что только авторизованные пользователи имеют доступ к серверу. Многофакторная аутентификация и управление доступом на основе ролей является наилучшим вариантом, если ваша система может поддерживать такой уровень безопасности.

Какой способ защиты сети ПЛК является лучшим?
Самый большой риск, связанный с удаленным доступом к сети, заключается в том, что он позволяет хакеру получить более глубокий доступ к организации извне, и притом, как только ему это удается, становится очень сложно предотвратить незапланированные отключения, потерю контроля, потерю данных и т. д. Компании также должны проводить аудит своей сети ПЛК, чтобы определить местонахождение любых неопределенных векторов доступа, которые может использовать хакер, и регулярно контролировать точки доступа. Компания может применить многофакторную аутентификацию, которая предусматривает, что пользователь должен успешно представить два или более свидетельства — или фактора — механизму аутентификации для получения доступа к устройству, приложению или информации.

Двухфакторная аутентификация — это часто используемый вариант многофакторной аутентификации. Этот метод подтверждает заявленную личность пользователя с помощью комбинации двух из следующих различных факторов: чего-то, что они знают, например пароля, чего-то, что у них есть, например ключа-карты или программного токена, или чего-то еще, например предъявления отпечатка пальца или идентификации лица.

Стив Уорд (Steve Ward) — директор подразделения прикладного проектирования в странах Европы, Ближнего Востока и Африки в Emerson. Его экспертные знания сосредоточены на системах управления, операторском интерфейсе, промышленных ПК, а также программных и аппаратных продуктах Industrial IOT для промышленной автоматизации.

Вы можете связаться с нами напрямую здесь

Общую информацию также можно найти в разделе:
www.emerson.com/Industrial-Automation-Controls

Exit mobile version