Через свою частоту
кібератаки на критичну інфраструктуру вже не є сенсаційними новинами,
якими були раніше. Однак ці типи кібератак завжди сильно впливають
на громадян та організації, оскільки наша повсякденна життя тісно
пов'язана з критично важливою інфраструктурою, як-от
електропідстанції, інтелектуальний транспорт та очищення води.
Щоб пом’якшити наслідки кібератак, уряди в усьому світі
впроваджують закони та нормативні акти для зміцнення кібербезпеки
критичної інфраструктури. Наприклад, до жовтня 2024 року члени ЄС
повинні включити Директиву NIS2 у свої національні закони для
посилення кібербезпеки критичної інфраструктури. Тому промисловим
організаціям необхідно прийняти комплексну структуру кібербезпеки та
впровадити надійні рішення, щоб відповідати цим стандартам і нормам
кібербезпеки.
Стратегії поглибленої захисту
Зазвичай стандарти та правила промислової кібербезпеки
рекомендують стратегії поглибленого захисту, які передбачають
впровадження кількох рівнів захисту для мінімізації ризиків безпеки
для організацій. Промислові оператори зазвичай зосереджуються на
зміцненні меж мережі та встановленні зон безпеки, щоб мінімізувати
потенційні загрози від зовнішнього доступу. Однак усунення
внутрішніх загроз є не менш важливим, оскільки внутрішні пристрої
без захисту можуть скомпрометувати всю мережу. Наприклад,
підключення портативного пристрою зберігання даних, який містить
зловмисне програмне забезпечення, може поставити під загрозу вашу
мережу та контролювати її іншими. Таким чином, захист вашої мережі
від внутрішніх і зовнішніх загроз є надзвичайно важливим. Промислові
брандмауери ефективно фільтрують трафік, щоб запобігти потенційним
загрозам із внутрішнього та зовнішнього доступу. Однак промислові
оператори зазвичай мають занепокоєння щодо продуктивності мережі під
час розгортання промислових брандмауерів у локальних мережах поблизу
своїх критичних активів.
Ця стаття зосереджена на чотирьох
проблемах, з якими стикаються різні зацікавлені сторони — власники
активів, керівники інформаційної безпеки (CISO), системні
інтегратори, мережеві адміністратори OT та експерти з проектування
промислових мереж — під час впровадження рішень брандмауера. У
статті також висвітлюється, як брандмауери для промислових локальних
мереж наступного покоління долають ці виклики для посилення безпеки
мережі та забезпечення безперебійної роботи мережі.
4 великі проблеми під час впровадження брандмауерів
Хоча впровадження рішень брандмауера підвищує рівень безпеки
ваших промислових операцій, ці зміни можуть вплинути на вашу поточну
роботу. Встановлення балансу між мережевою безпекою та
продуктивністю є складним завданням. Дізнайтеся більше про чотири
проблеми, які спонукають промислових операторів шукати рішення для
більш плавного впровадження.
Проблема 1: додавання нових пристроїв потребує змін у
існуючому дизайні мережі
Розгортання рішень промислового брандмауера в існуючих
мережах може призвести до значних змін топології мережі.
Перепроектування топології та зміна конфігурації IP-підмереж для
інтеграції нового рішення брандмауера в існуючі мережі вимагатиме
від промислових інженерів значних зусиль і часу. Це особливо складно
для критично важливих програм, які не можуть дозволити собі будь-які
простої мережі. Тому промисловим операторам потрібне рішення
брандмауера, яке не змінює поточну конфігурацію мережі.
Проблема 2: додавання нових пристроїв впливає на
продуктивність мережі та служби
Безперебійне функціонування системи залежить від плавного
мережевого зв’язку. Велике занепокоєння при додаванні нових
пристроїв для підвищення кібербезпеки полягає в тому, чи
відповідають вони поточним стандартам продуктивності мережі, таким
як час завантаження, затримка мережі та вимоги операційного
середовища. Крім того, додавання нових пристроїв підвищує
ймовірність простою мережі через технічне обслуговування або
несправності пристрою. Таким чином, рішення брандмауера має надавати
пріоритет продуктивності мережі та зменшувати ризик повного
вимкнення з однієї точки збою.
Проблема 3:
захист багатьох застарілих пристроїв на
польових майданчиках є складним завданням
Такі стандарти, як IEC 62443, і такі фреймворки, як NIS2,
вимагають критичних ресурсів для захисту від DoS-атак і ведення
журналів подій під час інцидентів. Однак багато критично важливих
активів у промислових програмах є застарілими пристроями, які
зазвичай використовують старіші версії операційних систем і не
можуть бути замінені відразу, щоб відповідати вимогам безпеки мережі.
Щоб захистити застарілі пристрої від зростаючих загроз, потрібне
рішення брандмауера, яке не вимагає частого оновлення системи. Крім
того, значна кількість застарілих пристроїв на польових об’єктах
використовують різноманітні промислові протоколи зв’язку для різних
потреб застосування. Для покращення безпеки зв’язку рішення для
брандмауера має підтримувати ці протоколи та проводити детальний
аналіз даних у промислових мережах керування.
Проблема 4:
моніторинг мереж і кіберзагроз не такий простий
Щоб
гарантувати безпеку ваших мереж, постійний моніторинг і керування
мережевою безпекою мають вирішальне значення. Адміністраторам
потрібно багато часу та зусиль, щоб стежити за станом мережі, щоб
переконатися, що вони отримують сповіщення в реальному часі про
помилку мережі або подію безпеки. Відсутність ефективного механізму
моніторингу для рішень брандмауера призводить до затримок
повідомлень про помилки мережі та сповіщень про події безпеки, що
призводить до тривалого простою мережі та погіршення продуктивності.
Збільшіть
безпеку та час безвідмовної роботи промислової мережі за допомогою
міжмережевих LAN нового покоління
З
нашими брандмауерами промислової локальної мережі серії EDF-G1002-BP
промислові оператори можуть подолати проблеми з мережею,
забезпечуючи як мережеву безпеку, так і безперебійну роботу.
Працюючи в прозорому режимі брандмауера, брандмауер локальної мережі
надає пріоритет захисту ваших критично важливих активів і забезпечує
безпечний зв’язок зі сходу на захід у локальній мережі.
Чи знаєте ви, які типи брандмауерів підходять для поточного сценарію
застосування? Завантажте нашу інфографіку, щоб дізнатися, як вибрати
правильні промислові брандмауери для різних сценаріїв застосування.
Спрощена установка
Природа брандмауерів локальної мережі дозволяє розгортати
брандмауери без зміни конфігурації IP-підмереж. Такі конструкції
ідеально підходять для тих критичних програм, які не можуть
дозволити собі змінити існуючу топологію мережі. Для спрощення
мережевих інсталяцій наші 2-портові брандмауери локальної мережі
дозволяють встановлювати за допомогою дротів, щоб інженери могли
просто підключити ці брандмауери локальної мережі перед критично
важливими ресурсами без переналаштування IP-підмереж. Таким чином,
наші брандмауери локальної мережі забезпечують мінімальне порушення
існуючих конфігурацій і підвищують безпеку мережі.
Оптимізований час роботи мережі
Щоб увімкнути брандмауери локальної
мережі, потрібно лише 30 секунд завантаження. Цей швидкий час
завантаження гарантує, що під час відключення електроенергії та
подальшого відновлення механізм виявлення аномалії між центром
керування та термінальним обладнанням ПЛК не спрацює помилково. Крім
того, наші брандмауери локальної мережі мають функцію обходу
локальної мережі, яка запобігає перериванню роботи брандмауером
будь-яких аномалій апаратного чи програмного забезпечення. Обидва
механізми спрямовані на забезпечення безперебійної роботи.
Захист застарілих пристроїв
Спрощення захисту застарілих
пристроїв є основною місією наших мережевих екранів. Ми розробляємо
їх для промислового використання та використовуємо технології IPS і
DPI для підвищення безпеки мережі. Конструкції IPS промислового
рівня забезпечують безпеку ваших застарілих пристроїв, включаючи ПЛК
і HMI. Наші функції IPS захищають ваші застарілі пристрої від
поточних загроз за допомогою віртуальних виправлень і захисту на
основі шаблонів, що дає вам додатковий час для оновлення систем.
Завдяки нашій технології DPI ви маєте більший контроль над безпекою
ваших промислових комунікацій. Щоб підтримувати цілісність даних, ви
можете визначити правила, які обмежують обладнання Modbus доступом
лише для читання, наприклад. Ви можете без особливих зусиль
захистити застарілі пристрої за допомогою різних протоколів і
отримати переваги від підтримки нашої технології DPI для багатьох
промислових протоколів і розширених можливостей фільтрації трафіку.
Спрощене керування мережею
Якщо ви використовуєте наші брандмауери локальної мережі для захисту
вашої мережі та застарілих пристроїв, ви можете спростити моніторинг
мережі та керування безпекою за допомогою програмного забезпечення
для керування мережею MXview One і програмного забезпечення для
керування безпекою мережі MXsecurity. Програмне забезпечення MXview
One забезпечує цілісне уявлення про стан безпеки мережі та сповіщає
вас про помилку мережі. За допомогою нашого програмного забезпечення
MXsecurity ви можете ефективно керувати брандмауерам і відстежувати
події безпеки. Впровадження політик брандмауера на централізованій
платформі зводить до мінімуму помилки вручну в окремих конфігураціях.
Крім того, наше програмне забезпечення сповіщає вас про події
безпеки для швидкого реагування та зменшення ризиків.
Серія EDF-G1002-BP — це вдосконалений міжмережевий екран
локальної мережі, який підвищує промислову кібербезпеку та
забезпечує надійність, необхідну для ваших програм. Відвідайте наш
веб-сайт, щоб дізнатися більше про функції серії EDF-G1002-BP.
(
https://www.ukr.moxa.com.ua/product/Secure_Router/moxa_EDF-1002-BP.htm
)
|