Сортировка
Внедрений найдено: 2
О компании
Нефтегазовая отрасль уже давно находится на перекрестии угроз кибербезопасности ICS \ SCADA. Эти усовершенствованные сети автоматизации, известные под общим названием операционные технологии или сети OT, используются на протяжении всего жизненного цикла операций восходящего и нисходящего потоков. Широкое использование этих систем автоматизации значительно повышает производительность, но в то же время обеспечивает дополнительную поверхность атаки, которую субъекты угроз могут использовать для нанесения материального вреда. Мобильные морские буровые установки, используемые при разведке и разработке скважин, подразделяются на подъемники, расположенные на мелководных морских пластах и плавучие средства (буровые суда и полупогружные платформы) для бурения в средних и глубоких водах. Стандартное буровое судно и полупогружные платформы обычно включают четыре основные независимые сети ОТ, каждая из которых управляется внешним подрядчиком и отличается друг от друга используемым оборудованием автоматизации и протоколами связи.Безопасность и эксплуатационные проблемы
Фрагментация и управление OT-сетями поплавков вызывает следующие структурные уязвимости безопасности:- Удаленный доступ, необходимый сетевым подрядчикам для обслуживания, создает новую поверхность атаки. Компрометация привилегированной сторонней учетной записи для получения начальной точки опоры в сети является распространенным вектором атак, который неоднократно использовался в целевых атаках.
- Кроме того, сети ОТ буровых кораблей не имеют воздушной щели. Они напрямую связаны с основной ИТ-сетью бурового подрядчика, которая подключена к Интернету.
Вызов
Признавая эти проблемы, подрядчик по установке буровых установок искал решение, которое позволило бы ему добиться видимости и восстановить контроль над своими OT-сетями, а также лучше устранить риски безопасности и эксплуатационные риски, за которые он несет ответственность.Внедрение
Платформа Claroty может быть развернута поверх любой сетевой инфраструктуры. Однако рекомендуется использовать Claroty для подключения к управляемым коммутаторам, способным ретранслировать реплицированный трафик через порт SPAN. В этом случае сети DCN и BOP имели управляемые коммутаторы до нашего прибытия. Неуправляемые коммутаторы в сети электропитания были заменены в соответствии с рекомендациями производителя. Пассивный мониторинг выполняется путем подключения к портам SPAN на управляемых коммутаторах. Эта конфигурация реплицирует весь трафик, который ретранслируют эти коммутаторы. При оценке сети для определения того, какие коммутаторы подключать, учитываются следующие соображения: высший приоритет: охват всего трафика, который напрямую связан с активами первого уровня (PLC), включая все соединения PLC с уровнем два (инженерные рабочие станции) и выше (различные сетевые серверы). Крайне важно, чтобы весь трафик, непосредственно влияющий на физический процесс, реплицировался и отслеживался. Вторичный приоритет: после завершения покрытия связи первого уровня команда оценки выполняет поиск на уровне два и выше, который включает стратегические переключатели, такие как точки пересечения между сегменты сети и рабочие зоны. Типичным примером является точка пересечения между сетями IT и OT. Количество контролируемых коммутаторов определяется на основе топологии сети. Сеть, которая имеет главный коммутатор, который объединяет весь трафик, может контролироваться из этой единственной точки. В сети, которая более сегментирована или имеет независимые кластеры первого уровня, Claroty будет зеркалировать порты каждого из соответствующих коммутаторов. Рекомендуется балансировать между максимальным покрытием и минимальным избыточным трафиком. Последним этапом развертывания является расширение успешной локальной установки до централизованного интерфейса управления сайтом, где заказчик может получить полное представление о состоянии безопасности на нескольких судах. Различные суда в флоте подрядчика буровой установки связываются с наземным штаб-квартирой. через спутниковую связь. Для обеспечения консолидированного просмотра нескольких сайтов Claroty работает поверх существующей сети спутниковой связи. Claroty использует запатентованный подход для преодоления двух важных ограничений спутниковой связи - относительно низкой пропускной способности и часто разрываемых соединений. Данные, которые Claroty генерирует на месте, непрерывно реплицируются и передаются по SSH через существующее спутниковое соединение в Claroty Enterprise Manager, находящегося в береговом подрядчике буровой установки. SOC.Claroty Enterprise Manager - это центральная консоль управления, развернутая в SOC, которая обеспечивает единый интерфейс агрегации и управления на нескольких удаленных сайтах.Ситуация
Типичная сеть объектов химической промышленности объединяет несколько производственных площадок в единую сеть, как правило, без логической изоляции между площадками. В результате многие конечные точки в этих сетях могут служить отправной точкой, позволяя злоумышленникам получить доступ к нескольким сайтам. Кроме того, обычные действия по обслуживанию, такие как обновление встроенного программного обеспечения, исправления безопасности и устранение неполадок в сети, выполняются независимо внешними подрядчиками, часто получая удаленный доступ к этим сетям, предоставляя злоумышленникам дополнительные векторы атак. Мониторинг удаленных подключений в сочетании с внутренними подключениями производственных сайтов создают дополнительные слепые зоны безопасности, которые часто остаются незамеченными и без присмотра из-за отсутствия рабочей культуры между управлением процессами и командами ИТ-сетей, а также из-за отсутствия технологий, обеспечивающих видимость конфигурации и трафика сети OT. Обусловленное этим отсутствие координации и видимости подвергает химические заводы расширению площади поверхности атаки и делает заводы все более уязвимыми для атак.Сотрудники службы безопасности агрохимечского завода выразили следующие опасения:
1. Ненаправленная атака
Вредоносное ПО, не относящееся к OT, выключает или замедляет работу компьютеров с ОС Windows (HMI, пакетный сервер, Historian и т. Д.)
Влияние:
- дисфункциональный HMI: вероятно, приведет к инициированному завершению работы до тех пор, пока HMI снова не заработает, либо путем удаления вредоносных программ, либо переустановки компьютера.
- дисфункциональный пакетный сервер: нарушение целостности данных и системы. Различные правила требуют детальной документации всех этапов процесса. Несоблюдение этих требований может привести к дисквалификации всей партии. Здесь также производство будет остановлено, пока пакетный сервер не будет восстановлен в рабочем режиме. Нарушение целостности данных и системы
- пониженная производительность HMI \ batch-сервера: вредоносная программа, которая потребляет процессор HMI \ batch-сервера, вызовет более медленный отклик и приведет к снижению качества пакетной обработки. Обнаружение этой проблемы будет зависеть от процесса обеспечения качества на заводе. Если обнаружение не будет найдено, это приведет к отгрузке продукции низкого качества, повреждению бренда и привлечению компании к ответственности. В отличие от предыдущих сценариев дисфункции, требуется более тщательное расследование, чтобы изолировать первопричину проблемы и точно определить зараженную конечную точку, устранить вредоносное ПО и закрыть пробел в безопасности, который позволил осуществить первоначальное заражение.
2. Целевая атака
Целенаправленная атака на OT-сеть предприятия с использованием слабых мест встроенной безопасности. Участники угрозы будут стремиться нанести серьезный физический ущерб оборудованию, окружающей среде или, в крайних случаях, даже человеческим жизням.
Вектор - физический: большой размер сайта, позволяет злоумышленникам (как внутренним, так и внешним) незаметно обращаться к контроллерам и выполнять логические изменения через USB-накопитель.
Влияние:
- Выброс токсичных веществ на заводе: угроза жизни людей. Закрытие участка до полной очистки завода.
- Выброс токсичных материалов в окружающую среду: значительный ущерб окружающей среде. Большие расходы на уборку и реставрационные работы, а также на предъявление юридических претензий. Предположительно, это гораздо менее вероятно.
Внедрения
Claroty предоставляет полностью интегрированную платформу кибербезопасности, специально созданную для OT:
Обнаружение угроз: пассивный мониторинг для обнаружения вредоносного присутствия \ активности в режиме реального времени
Continuous Threat Detection собирает и анализирует сетевые данные - в основном прослушивая все коммуникации, чтобы обнаружить управляющие и другие активы (например, контроллер, удаленный ввод / вывод, инженерные станции и сетевое оборудование) и построить детальную «базовую» модельнормальной сетевой операции.
Различные активы генерируют сетевой трафик в различные интервалы времени, в зависимости от конкретной функции актива и среды. Общие временные рамки, требуемые для всего набора ресурсов OT для генерации их обычного трафика, составляют приблизительно 2-3 недели.
После обучения вся сеть OT видна и контролируется через единую консоль, что позволяет заказчику отслеживать изменения и быстро обнаруживать, расследовать и реагировать на инциденты безопасности и потенциальные эксплуатационные проблемы.
Безопасный удаленный доступ: продукт для применения политики контроля и управления доступом для защиты сетей от угроз, создаваемых неконтролируемым доступом к сети третьих лиц и сотрудников. Claroty Secure Remote Access - это программное обеспечение, разработанное для минимизации рисков, которые удаленные пользователи, включая сотрудников и подрядчиков, внедряют в промышленные сети. Система предоставляет единый управляемый интерфейс, через который все удаленные пользователи подключаются и проходят проверку подлинности перед выполнением обновлений программного обеспечения, периодическим обслуживанием и другими действиями по поддержке системы. Система обеспечивает управление паролями и политики контроля доступа, управляет удаленными подключениями, а также отслеживает и записывает сеансы удаленного доступа: упреждающе - с помощью детальных политик пользователей и активов, определяющих, какие активы авторизованные пользователи могут видеть и получать к ним доступ, когда они могут войти в каждый актив и выполнить аутентификацию -уровень необходим для доступа.
Enterprise Management Console: централизованный интерфейс управления, который объединяет данные продуктов Claroty с нескольких сайтов и отображает унифицированное представление об их активах, действиях, оповещениях и управлении доступом.
Claroty Enterprise Management Console - это централизованный интерфейс управления, который агрегирует данные из продуктов Claroty с нескольких сайтов, отображает продукты с нескольких сайтов и отображает унифицированное представление их активов, операций,действий, предупреждений и контроля доступа.
Каталог внедрений ROI4CIO - это база данных о внедрениях программного обеспечения, оборудования и ИТ-услуг. Находите внедрения по вендору, поставщику, пользователю, бизнес-задачам, проблемам, статусу, фильтруйте по наличию ROI и референса.