CLAROTY Platform для нефтегазовой промышленности

О компании

Нефтегазовая отрасль уже давно находится на перекрестии угроз кибербезопасности ICS \ SCADA. Эти усовершенствованные сети автоматизации, известные под общим названием операционные технологии или сети OT, используются на протяжении всего жизненного цикла операций восходящего и нисходящего потоков. Широкое использование этих систем автоматизации значительно повышает производительность, но в то же время обеспечивает дополнительную поверхность атаки, которую субъекты угроз могут использовать для нанесения материального вреда. Мобильные морские буровые установки, используемые при разведке и разработке скважин, подразделяются на подъемники, расположенные на мелководных морских пластах и плавучие средства (буровые суда и полупогружные платформы) для бурения в средних и глубоких водах. Стандартное буровое судно и полупогружные платформы обычно включают четыре основные независимые сети ОТ, каждая из которых управляется внешним подрядчиком и отличается друг от друга используемым оборудованием автоматизации и протоколами связи.

Безопасность и эксплуатационные проблемы

Фрагментация и управление OT-сетями поплавков вызывает следующие структурные уязвимости безопасности:

• Удаленный доступ, необходимый сетевым подрядчикам для обслуживания, создает новую поверхность атаки. Компрометация привилегированной сторонней учетной записи для получения начальной точки опоры в сети является распространенным вектором атак, который неоднократно использовался в целевых атаках.
• Кроме того, сети ОТ буровых кораблей не имеют воздушной щели. Они напрямую связаны с основной ИТ-сетью бурового подрядчика, которая подключена к Интернету.

Понятно, что эти структурные уязвимости представляют значительный риск. Однако этот риск не может быть надежно урегулирован подрядчиком буровой установки по двум причинам: каждая сеть отдельно управляется соответствующим подрядчиком в полном бункере. Следовательно, нет единого представления всех активов во всей сетевой среде OT. С технологической точки зрения традиционные продукты для мониторинга безопасности ИТ не обеспечивают видимости всего объема проприетарных протоколов OT, которые используются активами во всех сетях поплавка.

Вызов

Признавая эти проблемы, подрядчик по установке буровых установок искал решение, которое позволило бы ему добиться видимости и восстановить контроль над своими OT-сетями, а также лучше устранить риски безопасности и эксплуатационные риски, за которые он несет ответственность.

Внедрение

Платформа Claroty может быть развернута поверх любой сетевой инфраструктуры. Однако рекомендуется использовать Claroty для подключения к управляемым коммутаторам, способным ретранслировать реплицированный трафик через порт SPAN. В этом случае сети DCN и BOP имели управляемые коммутаторы до нашего прибытия. Неуправляемые коммутаторы в сети электропитания были заменены в соответствии с рекомендациями производителя. Пассивный мониторинг выполняется путем подключения к портам SPAN на управляемых коммутаторах. Эта конфигурация реплицирует весь трафик, который ретранслируют эти коммутаторы. При оценке сети для определения того, какие коммутаторы подключать, учитываются следующие соображения: высший приоритет: охват всего трафика, который напрямую связан с активами первого уровня (PLC), включая все соединения PLC с уровнем два (инженерные рабочие станции) и выше (различные сетевые серверы). Крайне важно, чтобы весь трафик, непосредственно влияющий на физический процесс, реплицировался и отслеживался. Вторичный приоритет: после завершения покрытия связи первого уровня команда оценки выполняет поиск на уровне два и выше, который включает стратегические переключатели, такие как точки пересечения между сегменты сети и рабочие зоны. Типичным примером является точка пересечения между сетями IT и OT. Количество контролируемых коммутаторов определяется на основе топологии сети. Сеть, которая имеет главный коммутатор, который объединяет весь трафик, может контролироваться из этой единственной точки. В сети, которая более сегментирована или имеет независимые кластеры первого уровня, Claroty будет зеркалировать порты каждого из соответствующих коммутаторов. Рекомендуется балансировать между максимальным покрытием и минимальным избыточным трафиком. Последним этапом развертывания является расширение успешной локальной установки до централизованного интерфейса управления сайтом, где заказчик может получить полное представление о состоянии безопасности на нескольких судах. Различные суда в флоте подрядчика буровой установки связываются с наземным штаб-квартирой. через спутниковую связь. Для обеспечения консолидированного просмотра нескольких сайтов Claroty работает поверх существующей сети спутниковой связи. Claroty использует запатентованный подход для преодоления двух важных ограничений спутниковой связи - относительно низкой пропускной способности и часто разрываемых соединений. Данные, которые Claroty генерирует на месте, непрерывно реплицируются и передаются по SSH через существующее спутниковое соединение в Claroty Enterprise Manager, находящегося в береговом подрядчике буровой установки. SOC.Claroty Enterprise Manager - это центральная консоль управления, развернутая в SOC, которая обеспечивает единый интерфейс агрегации и управления на нескольких удаленных сайтах.