Zabezpieczenie przemysłowych systemów sterowania za pomocą rozwiązań Fortinet Kompleksowe mechanizmy zabezpieczeń zgodne z normą IEC-62443

Podobne dokumenty
OMÓWIENIE ROZWIĄZANIA. Zapora ISFW. Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

OMÓWIENIE ROZWIĄZANIA. Connect & Secure. Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

Wewnętrzna ochrona sieci. Zapora ISFW OPRACOWANIE

OMÓWIENIE ROZWIĄZANIA. Tworzenie naturalnej aktywnej odporności na zaawansowane zagrożenia

SIŁA PROSTOTY. Business Suite

OMÓWIENIE ROZWIĄZANIA. Secure Access Architecture. W pełni bezpieczny dostęp do sieci

Małe i średnie firmy Rozwój, konsolidacja i oszczędności

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

ZAPEWNIENIE NOWOCZESNYCH MECHANIZMÓW OCHRONY DANYCH NA POTRZEBY RODO

OMÓWIENIE ROZWIĄZANIA. Secure Access Architecture. W pełni zabezpieczony dostęp do sieci przedsiębiorstwa

Znak sprawy: KZp

Nowa koncepcja ochrony sieci korporacyjnej OPRACOWANIE

InPro BMS InPro BMS SIEMENS

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Ochrona biznesu w cyfrowej transformacji

Włącz autopilota w zabezpieczeniach IT

Fortinet: Infrastruktura Advanced Threat Protection

Podstawy bezpieczeństwa

OPRACOWANIE. Zwiększanie dynamiki i bezpieczeństwa dzięki konsolidacji centrum danych

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

Wyższy poziom bezpieczeństwa

RAPORT Z ANKIETY. Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku

Reforma ochrony danych osobowych RODO/GDPR

Zabezpieczenia sieci sterowanych programowo w środowiskach centrów danych VMware

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Produkty. MKS Produkty

OMÓWIENIE ROZWIĄZANIA. Utrzymanie ciągłości działalności biznesowej i zwalczanie najnowszych zaawansowanych ataków

Rodzina produktów Arctic do komunikacji bezprzewodowej Bezpieczne połączenie bezprzewodowe

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Zabezpieczanie centrum danych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Rzut oka na środowisko sandbox

POLITYKA E-BEZPIECZEŃSTWA

Skuteczna ochrona dla sieci i centrów danych sterowanych programowo.

Droga do Industry 4.0. siemens.com/tia

FortiSandbox. Główne zalety. Proaktywne wykrywanie i ochrona. Obserwacja podejrzanych elementów. Łatwość wdrożenia

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

INTERNET i INTRANET. SUPPORT ONLINE SP. z o.o. Poleczki 23, Warszawa tel support@so.com.pl

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Zaawansowane zagrożenia, zaawansowane rozwiązania Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

Szczegółowy opis przedmiotu zamówienia

Marek Damaszek. TAURON Polska Energia S.A.

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

OCHRONA SIECI DLA KAŻDEJ CHMURY

Projektowanie i implementacja infrastruktury serwerów

Monitorowanie Bezpieczeństwa Sieci Technologicznej

InPro SIEMENS AX wsparcie dla Systemów Telewizji Przemysłowej

FortiDDoS. Urządzenia zabezpieczające przed atakami DDoS. Zabezpieczanie firmowych centrów danych przed zaawansowanymi atakami.

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

FortiSandbox. Wielowarstwowa proaktywna ochrona przed zagrożeniami

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Możliwość wdrożenia rozwiązań sprzętowej lub maszyn wirtualnych, w trybie transparentnym, bramki (gateway) lub serwera.

Symantec Enterprise Security. Andrzej Kontkiewicz

Arkanet s.c. Produkty. Norman Produkty

STRATEGIE OBRONY SIECI BEZPRZEWODOWYCH W ERZE INTERNETU RZECZY

SiR_13 Systemy SCADA: sterowanie nadrzędne; wizualizacja procesów. MES - Manufacturing Execution System System Realizacji Produkcji

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Kompleksowe Przygotowanie do Egzaminu CISMP

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

7 głównych warunków dobrego działania sieci Wi-Fi w chmurze

PRZYGOTOWANIE DO WDROŻENIA OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (GDPR)

Kompleksowa oferta zabezpieczeń sieciowych

Zdalne logowanie do serwerów

sprawdzonych porad z bezpieczeństwa

Katalog handlowy e-production

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Wprowadzenie do Kaspersky Value Added Services for xsps

Opis systemu CitectFacilities. (nadrzędny system sterowania i kontroli procesu technologicznego)

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

bezpieczeństwo na wszystkich poziomach

PARAMETRY TECHNICZNE I FUNKCJONALNE

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Tunelowanie OPC. Eliminacja ograniczeń związanych z DCOM

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Wdrożenia w Polsce NASK. 1. NASK 2. Warmia i Mazury 3. Politechnika Krakowska 4. Totalizator sportowy 5. Uniwersytet Szczeciński

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

9:45 Powitanie. 12:30 13:00 Lunch

System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

<Nazwa firmy> <Nazwa projektu> Specyfikacja dodatkowa. Wersja <1.0>

Transkrypt:

OMÓWIENIE ROZWIĄZANIA Zabezpieczenie przemysłowych systemów sterowania za pomocą rozwiązań Fortinet Kompleksowe mechanizmy zabezpieczeń zgodne z normą IEC-62443

Streszczenie W ostatnich latach przemysłowe systemy sterowania (ICS), od których zależy działanie naszej najważniejszej infrastruktury i zakładów z sektora produkcji przemysłowej, stały się celem coraz częstszych i coraz bardziej zaawansowanych cyberataków. Częściowo jest to skutek nieuchronnej integracji technologii operacyjnej z technologią informatyczną. Jak zawsze zalety większych możliwości podłączania do sieci (uzyskane dzięki zastosowaniu otwartych standardów takich jak Ethernet i TCP/IP) oraz oszczędności uzyskane w wyniku zastąpienia własnej infrastruktury gotowym do wdrożenia sprzętem i oprogramowaniem wiążą się ze zwiększonym stopniem narażenia na atak. O ile jednak skutki naruszenia bezpieczeństwa w większości systemów IT są ograniczone do strat finansowych, o tyle skutki ataków na przemysłowe systemy sterowania mogą potencjalnie obejmować zniszczenie sprzętu, zagrożenie dla bezpieczeństwa państwa, a nawet narażenie na szwank życia ludzkiego. Ta istotna różnica wiąże się również z różnicą w zakresie profilu i motywacji potencjalnych sprawców ataków. Za zdecydowaną większością nowoczesnych cyberataków stoją motywacje finansowe, przemysłowe systemy sterowania stały się jednak ostatnio atrakcyjnymi celami w kontekście terroryzmu i wojny cybernetycznej. W efekcie zasoby finansowe i ludzkie dostępne sprawcom takich ataków mogą być o rząd wielkości większe niż zasoby dostępne zwykłym cyberprzestępcom. Potwierdza się to zwłaszcza w przypadku punktowych ataków przeprowadzanych przez wywiad niektórych państw, których najbardziej zaawansowanym przykładem jest użycie wirusa STUXNET (pierwsze wystąpienie w 2010 r.). Celem niniejszego omówienia jest przedstawienie sposobów, w jakie rozwiązania Fortinet mogą zapewnić bezpieczeństwo i dobre działanie przemysłowych systemów sterowania, zwłaszcza systemów korzystających z mechanizmu SCADA (ang. Supervisory Control and Data Acquisition), przez zastosowanie zgodnych ze standardami wielowarstwowych zabezpieczeń sieciowych. 2 www.fortinet.com

Potencjalne luki w zabezpieczeniach Ze względu na swoją specyfikę, odrębną od specyfiki systemów informatycznych, bezpieczeństwo przemysłowych systemów sterowania wiąże się z wieloma niestandardowymi wyzwaniami. ntkwiący w istocie przemysłowych systemów sterowania brak zabezpieczeń. Większość technologii stosowanych w przemysłowych systemach sterowania, mimo swojego zaawansowania i swojej niezawodności, nigdy nie była projektowana pod kątem obsługi dostępu z sieci zdalnych. Bezpieczeństwo było zapewniane przez ograniczenie dostępu fizycznego do systemu oraz stosunkowy brak znajomości przez potencjalnego atakującego składników tego systemu (takich jak moduły RTU lub sterowniki PLC) oraz stosowanych w nim protokołów łączności (takich jak Modbus, RP-570, Profibus lub Conitel). nbłędne przekonanie o możliwości odizolowania przemysłowych systemów sterowania. Na pierwszy rzut oka kusząca idea odizolowania przemysłowych systemów sterowania od pozostałych sieci nie jest już realistyczna ze względu na rzeczywiste zastosowania takich systemów. Wraz ze zwiększającą się liczbą ich składników, które wymagają aktualizacji oprogramowania i okresowego instalowania poprawek, uniknięcie nawet sporadycznego przesyłu danych do tych systemów jest obecnie praktycznie niemożliwe. Nawet w przypadku braku trwałych połączeń z siecią (lub w przypadku występowania jedynie połączeń z urządzeniami obsługującymi tylko jednokierunkowy przesył danych takimi jak diody optyczne) odizolowane w ten sposób systemy są nadal narażone na połączenie z zainfekowanymi komputerami lub urządzeniami magazynującymi dane takimi jak pamięci USB (jedna z dróg ataku wirusa STUXNET). ncoraz większy obszar narażony na atak. W miarę zastępowania własnej infrastruktury gotowym do wdrożenia sprzętem i oprogramowaniem, które korzysta z otwartych standardów takich jak Ethernet, TCP/IP i Wi-Fi, liczba potencjalnych luk w zabezpieczeniach zwiększa się w postępie geometrycznym. Masowe upowszechnienie się urządzeń przenośnych, któremu towarzyszą różne tendencje, na przykład korzystanie do celów służbowych z urządzeń prywatnych, jedynie pogłębia ten problem. nkorzystanie z przestarzałego sprzętu i przestarzałych systemów operacyjnych (niekiedy powstałych w czasach, kiedy jeszcze nie wyobrażano sobie cyberprzestępczości), które mogą nie być zgodne ze standardowymi nowoczesnymi mechanizmami zabezpieczeń takimi jak oprogramowanie antywirusowe. nnieczęste aktualizacje i wdrażanie poprawek wynikające ze złożoności i kosztochłonności tego procesu oraz z potencjalnego zakłócenia działania systemu. Nie zawsze jest praktyczne na przykład przerwanie działania zakładu ze względu na konieczność zainstalowania poprawki na jednym z serwerów operacyjnych. nduża liczba prostych, niezabezpieczonych urządzeń telemetrycznych takich jak czujniki i ciśnieniomierze, z których dane, jeśli zostaną zmanipulowane, mogą w bardzo poważny sposób narazić na szwank bezpieczeństwo i niezawodność całego systemu. nkorzystanie z wbudowanego oprogramowania napisanego w sposób niezgodny z najlepszymi praktykami w zakresie zabezpieczeń stosowanymi w nowoczesnym kodowaniu. nniewystarczająca regulacja procesów produkcyjnych i zaopatrzeniowych umożliwiająca nieuprawnioną ingerencję w sprzęt, nawet przed jego instalacją. nniewystarczające zarządzanie uprawnieniami/kontrolą dostępu. Po połączeniu wcześniej od siebie odizolowanych (zamkniętych) systemów zastosowane mechanizmy kontroli dostępu nie zawsze były zgodne z najlepszymi praktykami w zakresie zabezpieczania infrastruktury informatycznej. nsłaba segmentacja sieci. Standardowa praktyka bezpieczeństwa polegająca na podziale sieci na połączone ze sobą segmenty funkcjonalne, które ograniczają dostęp do danych i aplikacji w sieci wewnętrznej, jest nadal w niewystarczającym stopniu stosowana w przemysłowych systemach sterowania jako całości. nbrak doświadczenia w zakresie zabezpieczeń obserwowany wśród inżynierów zajmujących się projektowaniem i utrzymaniem przemysłowych systemów sterowania. 3

Rozwiązanie problemu Dobra wiadomość jest taka, że w ciągu ostatnich lat problemy i luki w zabezpieczeniach przemysłowych systemów sterowania stały się coraz lepiej rozpoznawane i podjęto już pierwsze działania zmierzające do ich usunięcia. Jednym z tych działań jest powołanie do życia specjalnych jednostek administracji rządowej, takich jak Zespół ds. Przeciwdziałania Cyberatakom Na Przemysłowe Systemy Sterowania ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) w Stanach Zjednoczonych lub Centrum Ochrony Infrastruktury Narodowej CPNI (Centre for Protection of National Infrastructure) w Zjednoczonym Królestwie. Ośrodki te publikują porady i wskazówki dotyczące odpowiedniego zabezpieczenia przemysłowych systemów sterowania. Innym działaniem jest określenie wspólnych standardów takich jak ISA/IEC-62443 (poprzednio ISA-99). Standardy te opracowane przez Międzynarodowe Stowarzyszenie Przedstawicieli Branży Automatyki Przemysłowej (ang. International Society for Automation, ISA) jako ISA 99, a następnie przemianowane na ISA/IEC-62443 w celu zapewnienia zgodności z odpowiednimi standardami ustanowionymi przez Międzynarodową Komisję Elektrotechniczną (International Electro-Technical Commission, IEC) określają kompleksowe ramy dotyczące projektowania, planowania i integracji przemysłowych systemów sterowania oraz zarządzania nimi. Mimo że nadal jest opracowywany i nie dotyczy jeszcze wszystkich luk w zabezpieczeniach na ich podstawowym poziomie, standard ten określa praktyczne wskazówki (na przykład w odniesieniu do modelu stref, kanałów, granic i poziomów zabezpieczeń), na podstawie których można eliminować największe niedoskonałości związane z zabezpieczeniami sieci przemysłowych systemów sterowania. Zalecana przez ICS-CERT i CPNI implementacja modelu stref i kanałów może znacznie zmniejszyć ryzyko włamań oraz potencjalne skutki takich włamań, jeśli już do nich dojdzie. Podstawowa strategia opisana w tym standardzie polega na podzieleniu (segmentacji) sieci na strefy funkcjonalne (w tym ewentualnie podstrefy) oraz na wyraźnym zdefiniowaniu kanałów przepływu danych między tymi strefami. Każdej takiej strefie jest następnie przypisywany poziom zabezpieczeń od 0 do 5, gdzie 0 oznacza najwyższy, a 5 najniższy poziom zabezpieczeń. Następnie można wdrożyć mechanizmy ścisłej kontroli dostępu do każdej strefy i kanału na podstawie uwierzytelnionej tożsamości użytkownika lub urządzenia. Wspomniana strategia jest idealnie realizowana w ramach funkcji udostępnianych przez rozwiązania Fortinet dla przedsiębiorstw, a zwłaszcza zaporę ISFW (ang. Internal Segmentation Firewall). 4 www.fortinet.com

Zabezpieczenie przemysłowych systemów sterowania/systemu SCADA za pomocą rozwiązań Fortinet Podobnie jak w przypadku innych efektywnych implementacji mechanizmów zabezpieczeń, najpierw należy w pełni ocenić ryzyko biznesowo-operacyjne oraz wybrać strategię proporcjonalną do tego ryzyka. Najważniejsze działania w tym zakresie polegają m.in. na zdefiniowaniu stref, kanałów, granic i poziomów zabezpieczeń określonych w standardzie IEC-62443. W efekcie powstanie sieć podobna do sieci zilustrowanej na rys. 1. FortiAuthenticator FortiManager użytkownik zdalny dostawca zdalny FortiAnalyzer FortiSandbox Poziom 5 Strefa DMZ dla dostępu do Internetu Serwery WWW Serwery poczty e-mail FortiMail FortiWeb Zapora FortiGate Poziom 4 Sieć lokalna aplikacji przedsiębiorstwa Serwery uwierzytelniania Komputery w przedsiębiorstwie Serwery biznesowe Zapora FortiGate Poziom 3 Warstwa DMZ dla funkcji zarządzania środowiskiem operacyjnym Wewnętrzna baza danych Kontroler domeny Serwer antywirusowy Serwery WWW i aplikacje osób trzecich FortiWeb Zapora FortiGate Rugged Zapora FortiGate Rugged Zapora FortiGate Rugged SCADA, DCS lub EMS #1 Lokalny interfejs HMI SCADA, DCS lub EMS #2 Lokalny interfejs HMI SCADA, DCS lub EMS #3 Lokalny interfejs HMI Poziom 2 Warstwa funkcji obsługi systemu sterowania w sieci lokalnej Zapora FortiGate Rugged Poziom 1 Warstwa funkcji środowiska operacyjnego w sieci lokalnej Poziom 0 Warstwa oprzyrządowania fizycznego Rys. 1. Poziomy zabezpieczeń według standardu ISA S99. 5

Kompleksowe, wielowarstwowe zabezpieczenia Urządzenia FortiGate cechują się konstrukcją (opcjonalnie wzmacnianą) o wysokiej dostępności i zapewniają wielowarstwowe zabezpieczenia. W efekcie idealnie nadają się do wdrożenia w ramach modelu stref i kanałów zarówno w trudnych warunkach środowiskowych, jak i w odniesieniu do najistotniejszej infrastruktury przemysłowych systemów sterowania. W ramach trybu wdrożenia udostępnianego przez zaporę ISFW, który łączy ze sobą segmentację funkcjonalną i fizyczną, rozwiązanie FortiGate zapewnia nie tylko zaawansowane i wydajne funkcje zapory z silnym uwierzytelnianiem dwuetapowym, ale również funkcje ochrony przed wirusami i włamaniami, filtrowania adresów URL i kontroli aplikacji. Dzięki dużemu wyborowi szybkich interfejsów sieci lokalnej i przyspieszeniu sprzętowemu wynikającemu z niestandardowej architektury ASIC rozwiązanie FortiGate zapewnia również międzystrefową przepustowość przekraczającą 100 Gb/s. Za pomocą szczegółowych zasad zabezpieczeń dostępnych w trybie wdrożenia zapory ISFW FortiGate model stref i kanałów w przemysłowych systemach sterowania można realizować na podstawie takich kryteriów, jak tożsamość użytkownika, zastosowanie, lokalizacja i typ urządzenia. W efekcie rozwiązanie FortiGate może efektywnie zablokować granice stref tak, aby między nimi dozwolony był wyłącznie wymagany przesył danych pochodzących ze zweryfikowanych punktów końcowych. W odniesieniu do alternatywnej implementacji podstref urządzenia FortiGate i FortiSwitch obsługują również funkcję znakowania ruchu w bezprzewodowej sieci lokalnej opartej na protokole 802.1Q, mimo że w najbardziej istotnych wdrożeniach tryb zapory ISFW zapewnia większą izolację i ochronę, wskutek czego jego zastosowanie jest zalecane w przypadku wirtualnych sieci lokalnych. Mechanizmy zabezpieczeń wbudowane w te elastyczne i skalowalne produkty są oparte na systemie operacyjnym FortiOS, narzędziach uwierzytelniania FortiAuthenticator i FortiToken oraz zautomatyzowanych, samouczących się mechanizmach stałego przeciwdziałania zagrożeniom FortiGuard. Centralne zarządzanie, rejestrowanie i raportowanie Zarządzanie infrastrukturą, skonsolidowane za pomocą rozwiązania FortiGate, odbywa się za pomocą narzędzi FortiManager i FortiAnalyzer, które oferują funkcję centralnego zarządzania połączoną z funkcjami raportowania, zapewnienia widoczności, rejestrowania i analizy. W efekcie powstaje kompleksowe centrum pozwalające na kontrolę i monitorowanie sieci w czasie rzeczywistym. Obsługa protokołów przemysłowych systemów sterowania/systemu SCADA Za pomocą wstępnie zdefiniowanych i stale aktualizowanych sygnatur rozwiązanie FortiGate może identyfikować i nadzorować większość typowych protokołów przemysłowych systemów sterowania/systemu SCADA (zob. listę poniżej) w celu definiowania kanałów. Bacnet DLMS/COSEM DNP3 EtherCAT ICCP IEC-60870.5.104 Modbus/TCP OPC Profinet Następuje to w drodze konfiguracji zasad zabezpieczeń, w ramach których wiele usług, w tym usługi ochrony przed wirusami i włamaniami oraz usługi kontroli aplikacji, może być zmapowanych do poszczególnych protokołów. Równocześnie ze wspomnianą obsługą protokołów zapewniana jest dodatkowa ochrona przed zagrożeniami dla aplikacji i urządzeń dużych producentów przemysłowych systemów sterowania (zob. listę poniżej) w ramach uzupełniającego zestawu sygnatur. ABB Advantech Elcom GE Rockwell Schneider Electric Siemens Vedeer Root Yokogawa Pozwala to na bardziej szczegółową kontrolę (na poziomie aplikacji) przepływu danych między strefami i umożliwia rozwiązaniu FortiGate wykrywanie prób wykorzystywania znanych luk w zabezpieczeniach obsługiwanych rozwiązań dostawców zewnętrznych. 6 www.fortinet.com

Kontrola dostępu do strefy za pomocą narzędzi FortiAuthenticator i FortiToken Zastosowanie szczegółowej kontroli dostępu do każdej strefy i każdego kanału na podstawie zarówno identyfikacji użytkownika, jak i urządzenia jest efektem integracji urządzeń FortiGate z usługami FortiAuthenticator i usługami katalogowymi. Służące do zarządzania tożsamością użytkownika narzędzia FortiAuthenticator zapewniają funkcje uwierzytelniania dwuetapowego, RADIUS i LDAP, uwierzytelniania w sieci bezprzewodowej 802.1X, zarządzania certyfikatami oraz jednokrotnego logowania w rozwiązaniach Fortinet. Rozwiązanie FortiAuthenticator jest zgodne i komplementarne z tokenami uwierzytelniania dwuetapowego FortiToken stosowanymi w ramach różnych sieciowych urządzeń zabezpieczających FortiGate i urządzeniach innych producentów. Stosowane razem, rozwiązania FortiAuthenticator i FortiToken zapewniają skalowalne, opłacalne i bezpieczne funkcje uwierzytelniania w ramach całej infrastruktury sieciowej. Zabezpieczanie wewnętrznej bazy danych za pomocą rozwiązania FortiDB Wszystkie centralne bazy danych stanowią atrakcyjny cel dla cyberprzestępców, ale bazy danych przemysłowych systemów sterowania mogą być szczególnie narażone na ataki, ponieważ przy ich tworzeniu i wdrażaniu kwestie bezpieczeństwa nie były w centrum uwagi. Aby łatwiej ocenić bieżący poziom zabezpieczeń, wyeliminować luki w zabezpieczeniach i monitorować dostęp pod kątem podejrzanej aktywności, FortiDB zapewnia elastyczny zestaw zasad, na podstawie których można zabezpieczyć najważniejsze zasoby. Zabezpieczenie internetowych interfejsów HMI za pomocą rozwiązań FortiWeb O ile koszty i korzyści użytkowe wynikające z kontrolowania przemysłowych systemów sterowania z poziomu konsoli internetowej są oczywiste, o tyle skutki włamań lub naruszenia bezpieczeństwa sieci wewnętrznej przy wykorzystaniu takiej konsoli są znacznie dotkliwsze niż w przypadku użycia innych serwerów sieciowych. FortiWeb stanowi zatem ważną dodatkową warstwę ochrony przemysłowych systemów sterowania, ponieważ w ramach zaawansowanych rozwiązań zapewnia dwukierunkową ochronę przed złośliwym oprogramowaniem, atakami DDoS w warstwie aplikacji i zaawansowanymi zagrożeniami takimi jak zastrzyki SQL i ataki XSS (ang. cross-site scripting). Zabezpieczenie za pomocą rozwiązania FortiMail najważniejszej ścieżki ataku Mimo że nie jest to typowa dla przemysłowych systemów sterowania i ich składników ścieżka ataku, niezabezpieczone serwery poczty e-mail, zwłaszcza w kontekście stosowania zasad inżynierii społecznej, stanowią najważniejszą ścieżkę ataku dla większości cyberprzestępców. FortiMail zabezpiecza przed takimi atakami z zewnątrz, w tym przed zaawansowanym złośliwym oprogramowaniem, oraz przed zagrożeniami z wewnątrz i utratą danych, ponieważ łączy w sobie funkcje ochrony przed spamem, phishingiem, wirusami i wyciekiem danych z funkcjami bezpiecznego środowiska testowego (ang. sandbox), szyfrowania opartego na tożsamości i archiwizowania komunikatów. Przeciwdziałanie zagrożeniom APT Obecnie prowadzona dyskusja skupia się na kwestiach wykrywania i blokowania ataków przy wykorzystaniu sygnatur, ale podejście to jest skuteczne tylko wówczas, gdy miało się już wcześniej do czynienia z podobnym zagrożeniem. Rozwiązania Fortinet na bieżąco monitorują tysiące eksploatowanych sieci, w związku z czym wykrycie podobnych zagrożeń może okazać się łatwe. Ze względu jednak na bardzo wysokie prawdopodobieństwo ataku na przemysłowe systemy sterowania należy być również przygotowanym na nowe, nieznane do tej pory ataki. W takim przypadku istotne jest jak najszybsze wykrycie włamania, ograniczenie jego zasięgu i zminimalizowanie negatywnych skutków. Służy do tego rozwiązanie FortiSandbox, ważny element oferowanej przez Fortinet infrastruktury ATP służący do wykrywania i analizowania zaawansowanych ataków, które mogą zostać zignorowane przez tradycyjne zabezpieczenia oparte na sygnaturach. Zgodność ze standardami krajowymi Zgodne z określonym przez administrację Stanów Zjednoczonych standardem FIPS 140-2 (poziom 2) dla modułów kryptograficznych oraz z certyfikacją EAL 4+ w ramach międzynarodowych norm Common Criteria rozwiązania Fortinet zapewniają zaawansowaną ochronę kompleksowo sprawdzoną w praktyce przez wiele zewnętrznych firm i instytucji. 7

Podsumowanie Odpowiednie zabezpieczenie przemysłowych systemów sterowania wymaga rozwiązania wielu problemów, z których niektóre wykraczają poza zakres niniejszego dokumentu. Przestrzeganie najlepszych praktyk określonych przez zespoły ICS-CERT i CPNI oraz wdrażanie certyfikowanych przez administrację rządową rozwiązań takich jak wspomniany powyżej pakiet programów Fortinet sprawia jednak, że prawdopodobieństwo udanych cyberataków oraz ich ewentualne następstwa mogą zostać w znacznym stopniu ograniczone. Rozwiązania Fortinet zostały specjalnie zaprojektowane pod kątem obsługi przemysłowych systemów sterowania/systemu SCADA oraz zapewniają sprawdzone wielowarstwowe zabezpieczenia zasobów korporacyjnych. Z tego względu idealnie nadają się do ochrony najważniejszych usług i elementów infrastruktury naszych klientów z sektora przemysłu. Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) 00-120 Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1 408 235 7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: +33 4 8987 0510 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P. 01219 Del. Alvaro Obregón México D.F. Tel.: 011-52-(55) 5524 8480 Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania,przenoszenialubinnegokorygowanianiniejszejpublikacjibezpowiadomienia (zastosowaniemanajnowszawersjapublikacji).17gru2015 5:05PMMacintoshHD:Users:djarzabek:Documents:projekty:Fortinet:P-11327:04_final_DTP:PL:SG_Securing-Industrial-Control_A4_PL:SG_Securing-Industrial-Control_A4_RevA_PL www.fortinet.com

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres