CLAROTY Platform на агрохимическом заводе

Ситуация

Типичная сеть объектов химической промышленности объединяет несколько производственных площадок в единую сеть, как правило, без логической изоляции между площадками. В результате многие конечные точки в этих сетях могут служить отправной точкой, позволяя злоумышленникам получить доступ к нескольким сайтам. Кроме того, обычные действия по обслуживанию, такие как обновление встроенного программного обеспечения, исправления безопасности и устранение неполадок в сети, выполняются независимо внешними подрядчиками, часто получая удаленный доступ к этим сетям, предоставляя злоумышленникам дополнительные векторы атак. Мониторинг удаленных подключений в сочетании с внутренними подключениями производственных сайтов создают дополнительные слепые зоны безопасности, которые часто остаются незамеченными и без присмотра из-за отсутствия рабочей культуры между управлением процессами и командами ИТ-сетей, а также из-за отсутствия технологий, обеспечивающих видимость конфигурации и трафика сети OT. Обусловленное этим отсутствие координации и видимости подвергает химические заводы расширению площади поверхности атаки и делает заводы все более уязвимыми для атак.
Сотрудники службы безопасности агрохимечского завода выразили следующие опасения:

1. Ненаправленная атака

Вредоносное ПО, не относящееся к OT, выключает или замедляет работу компьютеров с ОС Windows (HMI, пакетный сервер, Historian и т. Д.)

Вектор - внутренняя \ сторонняя, использующая зараженный компьютер для обслуживания.
Влияние:

• дисфункциональный HMI: вероятно, приведет к инициированному завершению работы до тех пор, пока HMI снова не заработает, либо путем удаления вредоносных программ, либо переустановки компьютера.

•  дисфункциональный пакетный сервер: нарушение целостности данных и системы. Различные правила требуют детальной документации всех этапов процесса. Несоблюдение этих требований может привести к дисквалификации всей партии. Здесь также производство будет остановлено, пока пакетный сервер не будет восстановлен в рабочем режиме. Нарушение целостности данных и системы

• пониженная производительность HMI \ batch-сервера: вредоносная программа, которая потребляет процессор HMI \ batch-сервера, вызовет более медленный отклик и приведет к снижению качества пакетной обработки. Обнаружение этой проблемы будет зависеть от процесса обеспечения качества на заводе. Если обнаружение не будет найдено, это приведет к отгрузке продукции низкого качества, повреждению бренда и привлечению компании к ответственности. В отличие от предыдущих сценариев дисфункции, требуется более тщательное расследование, чтобы изолировать первопричину проблемы и точно определить зараженную конечную точку, устранить вредоносное ПО и закрыть пробел в безопасности, который позволил осуществить первоначальное заражение.

2. Целевая атака

 

Целенаправленная атака на OT-сеть предприятия с использованием слабых мест встроенной безопасности. Участники угрозы будут стремиться нанести серьезный физический ущерб оборудованию, окружающей среде или, в крайних случаях, даже человеческим жизням.
Вектор - физический: большой размер сайта, позволяет злоумышленникам (как внутренним, так и внешним) незаметно обращаться к контроллерам и выполнять логические изменения через USB-накопитель.
Влияние:

• Выброс токсичных веществ на заводе: угроза жизни людей. Закрытие участка до полной очистки завода.

• Выброс токсичных материалов в окружающую среду: значительный ущерб окружающей среде. Большие расходы на уборку и реставрационные работы, а также на предъявление юридических претензий. Предположительно, это гораздо менее вероятно.

Внедрения

Claroty предоставляет полностью интегрированную платформу кибербезопасности, специально созданную для OT:
Обнаружение угроз: пассивный мониторинг для обнаружения вредоносного присутствия \ активности в режиме реального времени

Continuous Threat Detection собирает и анализирует сетевые данные - в основном прослушивая все коммуникации, чтобы обнаружить управляющие и другие активы (например, контроллер, удаленный ввод / вывод, инженерные станции и сетевое оборудование) и построить детальную «базовую» модельнормальной сетевой операции.

Различные активы генерируют сетевой трафик в различные интервалы времени, в зависимости от конкретной функции актива и среды. Общие временные рамки, требуемые для всего набора ресурсов OT для генерации их обычного трафика, составляют приблизительно 2-3 недели.

После обучения вся сеть OT видна и контролируется через единую консоль, что позволяет заказчику отслеживать изменения и быстро обнаруживать, расследовать и реагировать на инциденты безопасности и потенциальные эксплуатационные проблемы.

 

Безопасный удаленный доступ: продукт для применения политики контроля и управления доступом для защиты сетей от угроз, создаваемых неконтролируемым доступом к сети третьих лиц и сотрудников. Claroty Secure Remote Access - это программное обеспечение, разработанное для минимизации рисков, которые удаленные пользователи, включая сотрудников и подрядчиков, внедряют в промышленные сети. Система предоставляет единый управляемый интерфейс, через который все удаленные пользователи подключаются и проходят проверку подлинности перед выполнением обновлений программного обеспечения, периодическим обслуживанием и другими действиями по поддержке системы.  Система обеспечивает управление паролями и политики контроля доступа, управляет удаленными подключениями, а также отслеживает и записывает сеансы удаленного доступа: упреждающе - с помощью детальных политик пользователей и активов, определяющих, какие активы авторизованные пользователи могут видеть и получать к ним доступ, когда они могут войти в каждый актив и выполнить аутентификацию -уровень необходим для доступа.

Enterprise Management Console: централизованный интерфейс управления, который объединяет данные продуктов Claroty с нескольких сайтов и отображает унифицированное представление об их активах, действиях, оповещениях и управлении доступом.

Claroty Enterprise Management Console - это централизованный интерфейс управления, который агрегирует данные из продуктов Claroty с нескольких сайтов, отображает продукты с нескольких сайтов и отображает унифицированное представление их активов, операций,действий, предупреждений и контроля доступа.