Tři chyby v zabezpečení průmyslových sítí

Hlavní téma


	Tři chyby v zabezpečení průmyslových sítí

Zařízení v průmyslové automatizaci mají vliv na velmi důležitý a cenný majetek, přesto se až příliš často zapomíná na zabezpečení průmyslových sítí. V minulosti se provozovatelé průmyslových systémů často spoléhali na fyzické zabezpečení svých zařízení, izolaci od jiných sítí pomocí "vzduchové mezery", nebo na relativní nesrozumitelnost svých protokolů. Nyní v měnícím se a více propojeném světě si již provozovatelé automatizačních sítí začínají uvědomovat, že musí čelit jedinečným hrozbám v zabezpečení. V nedávné zprávě vypracované pro americké ministerstvo pro vnitřní bezpečnost nalezla bezpečnostní konzultační společnost InfraCritical 500 000 nezabezpečených SCADA zařízení jen pomocí vyhledávače. 7 200 takto nalezených přístrojů sloužilo pro řízení kritické infrastruktury, jako jsou vodovody, energetika a další služby. Není divu, že bezpečnostní výzkumníci charakterizovali stav ICS zabezpečení jako "směšný".

Mnohé průmyslové podniky si ani nejsou vědomy rizika, kterému jsou vystaveny jejich systémy na Internetu. Prvním a nejdůležitějším krokem pro uzavření bezpečnostní mezery je uznat existenci rizika. Ale stejně důležitý je i druhý krok: zranitelnost sítě musí být vyřešena úplně a automatizační sítě mají tři jedinečné způsoby zranitelnosti.

Zabezpečení průmyslového Modbus TCP protokolu je obtížné

Dokonce i průmyslové sítě, které přešly na moderní TCP/IP a ethernetovou infrastrukturu na transportní, síťové a spojové vrstvě jejich komunikace často používají průmyslové protokoly na vrstvě aplikační. Nejpoužívanější z nich Modbus TCP je také velmi zranitelný, přestože je široce používán v průmyslových komunikacích bez jakéhokoli zabezpečení.

To znamená, že paket, který se zdá být zcela legitimní při inspekci TCP/IP paketů, například při kontrole zdrojové IP adresy, může ve skutečnosti obsahovat škodlivou Modbus TCP komunikaci, která by byla odhalena, pokud by síť byla schopna filtrovat pakety podle zdrojového ID Modbus zařízení, funkčního kódu nebo jiného parametru Modbus protokolu. Vzhledem k tomu, že průmyslová zařízení mívají jen zřídka možnost zabezpečit aplikační vrstvu, jsou pro zajištění této důležité chybějící ochrany potřeba zabezpečovací zařízení, jako jsou hardwarové firewally. Bohužel tradiční firewallové řešení jsou zřídkakdy vybaveny technologií pro skenování průmyslových protokolů jako je Modbus TCP.

Průmyslové aplikace jsou časově kritické a netolerují přenosové zpoždění

SCADA systémy a průmyslové řídicí systémy přímo řídí reálné stroje způsobem, který je časově velmi kritický. Například na montážní lince musí všechny stroje pracovat v dokonalé koordinaci, aby mohla být linka v neustálém pohybu. Provoz elektrických rozvoden je ještě citlivější na časování, protože zpoždění při spouštění obvodu přepínače může způsobit kolísání výkonu nebo dokonce výpadek.

Časově velmi kritický charakter průmyslových provozů znamená, že průmyslové sítě nemohou tolerovat významnější zpoždění. Nicméně běžné útoky používané v kybernetických systémech způsobují přetížení sítě záplavou požadavků a mohou mít vliv na zpoždění sítě, pokud není firewall schopen blokovat neoprávněné požadavky. Nedostatečná šířka pásma v kritických okamžicích může také nastat ve chvílích kdy nemá firewall dostatečný výkon pro zpracování paketů bez zpoždění komunikace.

Problémy se zpožděním a požadavky na průmyslovou bezpečnosti budou v průmyslových sítích narůstat s tím, jak se tyto sítě stávají vyspělejšími a integrují více systémů včetně přenosů videa, hlasu a dat. Přenos dat z IP kamer zabírá velkou šířku přenosového pásma a síťová zabezpečovací zařízení musí mít dostatečnou šířku pásma a propustnost pro podporu těchto pokročilých aplikací, aniž by byla ohrožena bezpečnost sítě nebo zpoždění některých průmyslových provozů.

Nároky průmyslových prostředí mohou překračovat možnosti zabezpečovacích zařízení

Průmyslová zařízení a řídicí systémy jsou umístěny v extrémnějších provozních podmínkách než většina běžných IT síťových zařízení. To může být potenciálním zdrojem neshody mezi odolnosti průmyslových zařízení a zařízení pro zabezpečení sítě, které je chrání. Zařízení pro zabezpečení sítě mohou mít potíže s provozem v intenzivních průmyslových podmínkách, ve kterých jsou provozovány automatizační systémy. Nepříznivé vlivy prostředí jako jsou extrémní teploty, EMC a EMI mohou být pro síťová zařízení ještě nebezpečnější než samotný útočník. Pokud není k dispozici zařízení pro zabezpečení sítě, které by odolávalo těmto vlivům, bude síť vystavena a náchylná působení kybernetických útoků.

Moxa řešení Gigabitového výkonu a kybernetické bezpečnosti pro automatizační sítě

Moxa zkombinovala své zkušenosti v oblasti průmyslové automatizace se svými odbornými znalostmi v oblasti sítí a vytvořila řešení pro kybernetickou bezpečnost, které bylo navrženo pro jedinečné potřeby a požadavky automatizačních sítí. Moxa EDR-810 je průmyslový víceportový zabezpečovací router, který obsahuje bezpečnostní funkce a je specificky optimalizován pro řešení chyb při zabezpečení průmyslových sítí. Kromě funkce VPN, která vytváří šifrovaný datový tunel pro vzdálený přístup, NAT pro skrytí IP adres lokálních zařízení a firewall pro filtraci paketů přidává EDR-810 funkce šité na míru průmyslové automatizaci jako jsou:

Hloubková inspekce Modbus TCP paketů: PacketGuard™ je první vestavěná inspekce Modbus TCP paketů. EDR-810 používá funkci PacketGuard pro kontrolu síťových paketů na všech úrovních až po aplikační vrstvu protokolu Modbus. To je mnohem hlubší kontrola než pouze na transportní vrstvě kam jsou schopny dosáhnout běžné síťové firewally.

Malé zpoždění a Gigabitový výkon: EDR-810 slučuje několik portů do jedné Gigabitové linky s extrémně malým zpožděním které je akceptovatelné i pro průmyslové provozy a to i v aplikacích extrémně náročných na šířku pásma jako je například IP video.

Integrovaný víceportový zabezpečovací router s funkcí přepínače: EDR-810 kombinuje zabezpečení, směrování a funkci Layer 2 přepínače do jediného zařízení, což je velmi pohodlné a cenově efektivní řešení pro ochranu velkého počtu zařízení.

EDR-810 je nejnovějším členem rodiny Moxa EDR zabezpečovacích síťových zařízení přizpůsobených pro průmyslové subjekty. Široký rozsah provozních teplot, odolný kovový kryt a velká EMI/EMS odolnost umožňuje zabezpečovacím zařízením Moxa EDR odolávat drsným podmínkám a držet krok s ostatními robustními zařízeními v průmyslových sítích. Více informací o celé řadě pokročilých zařízení pro zabezpečení sítí naleznete na stránce http://www.moxa.com/product/Industrial_Secure_Routers.htm.

Zpět na zpravodaj

Naší snahou je Vás informovat o zajímavých a cenově výhodných akcích naší firmy. E-maily jsou Vám rozesílány na základě kontaktů s naší firmou v minulosti. V případě, že si nepřejete nadále zasílat tyto informace, prosím, odpovězte na tento email a do předmětu napište NEZASÍLAT ELVAC NEWS. Děkujeme.