Mikrosegmentering af industrielle netværk

I denne artikel undersøger vi de fremskridt, som industrisektoren gør for at implementere princippet om dybdeforsvar i sine netværk.

Dette princip henviser til fordelene ved at beskytte kritisk udstyr ved at placere det bag flere forsvarslag, hvilket giver flere muligheder for at opdage eller stoppe et angreb, før det påvirker systemets kritiske elementer.

Det primære værktøj til dette er netværkssegmentering eller i mere avancerede tilfælde mikrosegmentering. Segmentering involverer det sæt af teknikker og udstyr, der bruges til at adskille et enkelt netværk i flere segmenter (zoner), der kun kommunikerer gennem identificerede og beskyttede kanaler (kanaler).

Segmentering hjælper med at reducere den angribelige perimeter af hver zone, da indgående og udgående kommunikation er begrænset til forsvarede perimeterpunkter. Med større kontrol over netværkstrafikken er det muligt at skabe mere komplekse arkitekturer gennem:

• Vertikal segmentering: Adskillelse af zoner med forskellige privilegieniveauer. Typisk oprettes en øvre zone med mere generel adgang for brugere eller eksterne forbindelser og en nedre zone med mere begrænset adgang.
• Horisontal segmentering: Adskiller zoner med samme privilegieniveau, men forskellige adgangsniveauer, generelt adskiller zoner efter funktionalitet.

Disse byggeklodser skaber de sikre industrielle netværksarkitekturer, der er blevet populære, og de nye modeller, der bliver taget i brug i mere avancerede systemer.

Grundlæggende industriel segmenteringsmodel

I øjeblikket varierer industrielle netværk betydeligt på tværs af størrelser, sektorer og lande. Men hvor cybersikkerhed er blevet overvejet i deres design, enten i begyndelsen eller med tilbagevirkende kraft, er der en tendens i retning af en homogen model med nødvendige modifikationer for at passe til specifikke behov.

Denne generelle lagdelte sikkerhedsmodel kan opsummeres som en række foranstaltninger, der illustrerer princippet om dybdeforsvar:

1. Det industrielle netværk er adskilt fra virksomhedens netværk for at reducere unødvendig trafik og adgang til det industrielle netværk. Graden af ​​adskillelse varierer afhængigt af hvert netværk og modenheden af ​​sikkerhedsforanstaltninger.
2. Det industrielle netværk er placeret under virksomhedens netværk. På denne måde er det industrielle netværk beskyttet af et tidligere lag, som en ekstern angriber skal passere for at nå det.
3. Et mellemnetværk, almindeligvis kaldet en demilitariseret zone (DMZ), er installeret mellem de to netværk. DMZ fungerer som en sikkerhedsgrænse mellem netværkene, hvilket giver en sikker placering for hjælpesystemer og administrerer trafik mellem begge miljøer.

Denne meget anvendte model tjener som udgangspunkt for industriel segmentering. Det er ligetil og kan tilpasses forskellige systemer, samtidig med at det giver et acceptabelt sikkerhedsniveau.

To hovedfaktorer driver dog vedtagelsen af ​​mere sofistikerede modeller i avancerede eller kritiske netværk:

• Inkorporering af IIoT-udstyr, IT-teknologier eller AI-teknologier: Disse værktøjer kan forbedre produktiviteten eller effektiviteten væsentligt, men kan være i konflikt med traditionelle modeller, da mange kræver konstante forbindelser med eksterne netværk, trådløse netværk eller adgang fra virksomhedens netværk.
• Stigningen i truslernes volumen og kompleksitet: Efterhånden som angribere får erfaring med industrielle miljøer, er angreb blevet hyppigere og mere skadelige. Selvom den kan tilpasses, kan den generelle model hurtigt blive ineffektiv og dyr, når der tilføjes supplerende sikkerhedsforanstaltninger sammenlignet med en grundlæggende arkitekturændring.

De nye modeller sigter mod at løse disse problemer.

Sådan implementeres mikrosegmentering

Mikrosegmentering, anerkendt i regulativer som IEC 62443, involverer brug af kendte segmenteringsmetoder (horisontal og vertikal segmentering) til at skabe uafhængige zoner inden for et klassisk industrielt netværk.

For effektiv mikrosegmentering er det vigtigt at starte med at identificere potentielle zoner inden for et industrielt netværk. Denne proces startes bedst med en netværksrisikovurdering: Hvilket udstyr er afgørende for produktionen? Hvilket introducerer et højere risikoniveau? Hvilken har særlige operationelle behov? At besvare disse spørgsmål hjælper organisk med at identificere grupper af udstyr med lignende egenskaber.

Eksempler på almindelige zoner i mikrosegmenterede netværk omfatter:

Kontrolzoner: Indeholder væsentligt udstyr til styring af produktionsprocessen, med det højeste sikkerhedsniveau og begrænset adgang. Det er tilrådeligt at definere flere uafhængige kontrolzoner, hvor det er muligt. For eksempel kan adskillelse af kontrolsystemer til uafhængige produktionslinjer i et produktionsanlæg forhindre, at en hændelse forstyrrer total eller delvis produktion.
Overvågningszoner: Husudstyr, der indsamler industrielle procesdata uden kontrolmuligheder. Dens kritik afhænger af de data, den håndterer, og de påtænkte modtagere. Særlig omhu er påkrævet for udstyr, der transmitterer industrielle procesdata uden for netværket, da de i sagens natur introducerer fortrolighedsrisici og potentielle indtrængensvektorer.
Sikkerhedszoner: Værtsbeskyttelse og udstyr til forebyggelse af hændelser. Disse systemer fungerer typisk isoleret fra eksterne netværk, men deres tilgængelighed er kritisk. At placere dem på et generelt industrielt netværk udsætter dem for unødvendige risici uden at give driftsmæssige fordele.
Overholdelseszoner: Afhænger af sektor, størrelse og virksomhedskultur, og overvåger ofte data som emissioner, produktions-KPI'er, lager, maskinstatus og energiforbrug. Disse systemer kræver typisk høj tilgængelighed og kommunikation med virksomhedens og eksterne netværk.
Yderligere zoner:

• Datahostingzoner: Servere, lagerenheder og databaser, der spænder fra konstant adgang til produktionsdata til koldt lager til sikkerhedskopiering.
• Hjælpeservicezoner: Typisk centrale servere til tjenester på tværs af zone, såsom e-mail, antivirus, aktivopdagelse og administration af tilladelser.
• Testzoner: Sikre miljøer til validering af ændringer, før de anvendes på levende miljøer.
• Redundanszoner: Til udstyr, der normalt ikke deltager i produktionen, men som tilbyder alternative operationer, hvis primære systemer er deaktiveret.

Kombinationerne af disse zoner er næsten uendelige og kan tilpasses til hvert industrimiljø. En zone kan være så lille som en enkelt isoleret enhed eller så stor som nødvendigt, hvilket tillader kombinationer, såsom at implementere en specifik overvågningszone i en kontrolzone for at skabe en datakanal uden direkte adgang til kontrolzonen.

Imidlertid bliver det hurtigt upraktisk at implementere sådanne arkitekturer ved hjælp af traditionelle teknologier. Multiplicering af antallet af zoner øger antallet af netværksenheder og grænser, der skal købes, installeres og vedligeholdes. Derfor er det vigtigt at forstå de teknologier, der understøtter denne avancerede segmentering.

Mikrosegmenteringsteknologier

Adskillige netværksteknologifamilier har udviklet sig til at understøtte mikrosegmentering, med nøgleeksempler:

• OT Firewalls: Typisk rack-monteret til mange forbindelser, nyere firewall-modeller er miniaturiseret til installation i elektriske skabe, små rum eller barske forhold. Disse enheder tillader normalt centraliseret styring fra en hovedkonsol til at kontrollere flere grænsepunkter med detaljerede regler for hver sag.
• Administrerede switche: Selvom administrerede switches, der er i stand til at skabe segmenterede netværk og trafikkontrol, har været tilgængelige, har mikrosegmentering drevet udviklingen af ​​mere fleksible modeller med hensyn til størrelse, muligheder og sikkerhedsfunktioner.
• EDR (Endpoint Detection and Response): Svarer til OT-firewalls, men med tilføjede sikkerhedsfunktioner. EDR'er kan omfatte antivirus, hvidlisting, DoS-beskyttelse og IDS/HIDS-funktioner, hvilket giver alt-i-én-løsninger til miljøer, hvor traditionelle sikkerhedsforanstaltninger er upraktiske.
• IoT-gateways: I lighed med traditionelle gateways centraliserer og distribuerer disse enheder IIoT-protokoltrafik, hvilket forenkler administrationen og segmenteringen. Industridesignede modeller tilføjer ofte sikkerhedsfunktioner som kryptering, adgangskontrol, belastningsbalancering og implementering til udfordrende forhold.

Som det ses, er de fleste nye mikrosegmenteringsteknologier opdaterede versioner af enheder, der i øjeblikket bruges til traditionel segmentering, designet til at forenkle netværksstyring og samtidig tilpasse sig industrielle netværks unikke behov.

konklusioner

Mikrosegmentering bliver i stigende grad et væsentligt værktøj til beskyttelse af industriel kontrolsystem på grund af forskellige faktorer:

• Nye teknologier letter implementeringen.
• Netværksstyring er nemmere, når den er designet med dybdegående forsvarsprincipper fra starten.
• Det stigende udvalg af udstyr og teknologier inden for industrielle netværk introducerer flere tilslutningsbehov.
• Større sammenkobling mellem industrielle systemer øger trafikken og brugerne at administrere.

Disse faktorer gør, at mikrosegmentering i stigende grad anbefales til alle typer industrielle netværk. Men selv små eller mindre avancerede netværk kan drage fordel af dets cybersikkerhedsfordele, såsom:

• Styring af trafik fra sårbart eller specifikt udstyr bag uafhængige firewalls.
• Adskillelse af udstyr tilgængeligt for udbydere og eksterne enheder fra resten af ​​netværket med to uafhængige kontrolnetværk.
• Isolering af sikkerhedsudstyr gennem luftspalter.

Det er derfor tilrådeligt at overveje at implementere mikrosegmenteringspraksis, når man designer nye industrielle netværk, eller når man foretager ændringer eller introducerer nyt udstyr i eksisterende netværk.

Kilde: INCIBE (Spaniens nationale institut for cybersikkerhed)