Przejdź do głównej zawartości

Dlaczego sieci offshore potrzebują szczegółowej inspekcji pakietów

Belden

Konferencja Offshore Technology Conference (OTC) ruszyła z pełną mocą, a stoisko Belden (7236) jest bardzo pracowite. Współpracując z personelem naszego stoiska, słyszałem, że bezpieczeństwo to gorący temat wśród uczestników w tym roku. Cóż, istnieje temat, o którym powinni wiedzieć, to znaczy - dlaczego sieci offshore potrzebują bezpieczeństwa SCADA ze szczegółową inspekcją pakietów (DPI).


Pozwól, że podam ci jakiś kontekst. Krytyczne systemy zarządzania produkcją i bezpieczeństwem na platformach morskich są w dużej mierze oparte na starszych produktach i protokołach SCADA i Industrial Control System (ICS). Wiele z tych produktów działa od wielu dekad i nigdy nie były zaprojektowane z myślą o bezpieczeństwie. W dzisiejszych czasach są one połączone z innymi systemami wykorzystującymi Ethernet i TCP/IP. Było to świetne ze względu na wydajność, ale naraża krytyczne systemy produkcyjne na złośliwe oprogramowanie.

Uczestnicy dowiadują się o produktach Belden dla sieci offshore o wysokiej dostępności podczas OTC 2013.
Biorąc pod uwagę 20-letni cykl życia wspólny dla systemów przemysłowych, minie wiele lat, zanim bezpieczniejsze urządzenia i protokoły SCADA i ICS będą w powszechnym użyciu. Dzięki temu tysiące starszych systemów sterowania platformami jest niezabezpieczonych przed atakiem nawet najbardziej niedoświadczonego hakera, który może następnie wyłączyć lub zniszczyć większość sterowników przemysłowych. Zabezpieczenie tych systemów wymaga zastosowania zaawansowanej technologii, która kompensuje ich ograniczenia.
Problem: Protokoły SCADA/ICS nie są rozdrobione
Trudność ze starszymi protokołami SCADA/ICS polega na tym, że są one rozdrobione. Komunikat odczytu danych wygląda DOKŁADNIE jak komunikat aktualizacji oprogramowania układowego.
Tak więc, jeśli zezwalasz na przesyłanie komunikatów odczytu danych z interfejsu HMI do sterownika PLC, aby przejść przez tradycyjną zaporę sieciową, pozwalasz również na przemieszczanie się wiadomości programowych. To poważny problem dla bezpieczeństwa.
Masz do czynienia z niemożliwym wyborem - utrzymuj komunikaty, które sprawiają, że system działa, ale narażaj go na złośliwe oprogramowanie lub blokuj wszystko. Ponieważ zamykanie systemów nie wchodzi w grę, przyjmowanie wysokiego ryzyka zostało podjęte przez wielu. W świecie po Macondo (Deepwater Horizon) jest to niedopuszczalne.
Więc co inżynier może z tym zrobić? Cóż, na szczęście istnieje rozwiązanie.
Rozwiązanie: szczegółowa inspekcja pakietów
Rozwiązaniem jest zapora sieciowa, która może wniknąć głęboko w protokoły przemysłowe, aby zrozumieć, do czego jest wykorzystywana wiadomość. Jest to poza możliwościami zapór sieciowych IT i nazywa się Deep Packet Inspection (szczegółowa inspekcja pakietów).
Oto jak to działa; po zastosowaniu tradycyjnych reguł zapory sieciowej DPI sprawdza zawartość wiadomości i stosuje bardziej szczegółowe reguły. Na przykład określa, czy wiadomość Modbus jest komunikatem odczytu czy zapisu, a następnie odrzuca wszystkie komunikaty zapisu.
Ponadto, dobre zapory sieciowe DPI mogą również sprawdzić poprawność działania systemu ruchu w przypadku dziwnie sformatowanych wiadomości lub nietypowych zachowań (takich jak 10 000 wiadomości zwrotnych w odpowiedzi na pojedynczy komunikat żądania). Tego rodzaju nieprawidłowe komunikaty mogą wskazywać na ruch generowany przez hakera próbującego zniszczyć PLC i wymagają zablokowania.
Przykładem zapory sieciowej Modbus DPI jest EAGLE Tofino Modbus TCP Enforcer, produkt wykorzystujący opatentowaną technologię naszej marki Tofino Security dla DPI. Dokument szczegółowo opisujący DPI i dostarczający studium przypadku jego zastosowania, jest dostępny TUTAJ.

Tofino Security przeprowadza szczegółową inspekcję pakietów dla protokołów przemysłowych i przełączników zero-failover RSP firmy Hirschmann, które są wystawiane podczas OTC 2013. Produkty te współpracują w celu zapewnienia wysokiej dostępności sieci offshore.
Dlaczego DPI jest potrzebny teraz
Według naszego eksperta ds. bezpieczeństwa cybernetycznego, Eric'a Byresa, pięć lat temu powiedziałby, że DPI ma po prostu niezły potencjał. Teraz jednak, dzisiejsza generacja robaków komputerowych czyni ją niezastąpioną technologią, jeśli chcesz mieć bezpieczny system ICS lub SCADA.
Powodem jest to, że dzisiejsi projektanci szkodliwego oprogramowania wiedzą, że zapory sieciowe i systemy wykrywania włamań natychmiast zauważą użycie nietypowego protokołu. Wiedzą, że jeśli protokoły w sieci to zwykle HTTP (np. przeglądanie stron internetowych), Modbus i MS-SQL (np. zapytania bazy danych), to nagłe pojawienie się nowego protokołu spowoduje, że administrator inteligentnego systemu będzie zaalarmowany.
W ten sposób twórcy robaków pracują nad tym, aby pozostać poza radarem, ukrywając swój ruch sieciowy w protokołach, które są już powszechne w atakowanej sieci. Na przykład wiele robaków ukrywa komunikację wychodzącą w czymś, co wydaje się być zwykłą wiadomością HTTP.
Nawet jeśli podejrzewałbyś, że coś jest nie tak, nie mógłbyś nic zrobić, gdybyś miał tylko zwykłą zaporę sieciową. Proste blokowanie całego ruchu Modbus wpłynie na produkcję. Bez narzędzi do sprawdzania treści wiadomości i blokowania podejrzanego ruchu (np. szczegółowej inspekcji pakietów), miałbyś związane ręce.
Technologia DPI to bardzo potężne narzędzie w arsenale narzędzi bezpieczeństwa. Umożliwia to inżynierowi blokowanie złych rzeczy, a jednocześnie pozwala uniknąć niepotrzebnego wpływu na system sterowania. Bez tego projektanci nowoczesnych robaków mają wyraźnie przewagę.
Bezpieczne i niezawodne sieci offshore
W ubiegłym tygodniu omówiłem, jak nasze produkty cyberbezpieczeństwa działają ręka w rękę z naszymi przełącznikami zero-failover w celu zapewnienia wysokiej dostępności sieci. Osoby odwiedzające OTC zachęcam do odwiedzenia Belden na stoisku 7236 i przekonania się, jak nasze kable, złącza, przełączniki i produkty bezpieczeństwa cybernetycznego współpracują ze sobą, aby zapewnić bezpieczną i niezawodną produkcję offshore.
Aby wyprzedzić hakerów, DPI stał się niezbędnym elementem w przemysłowych zaporach sieciowych.
W jaki sposób wpływa to na Twoje plany bezpieczeństwa ICS?
Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

Jak wybrać odpowiedni kabel VFD?

Peter Cox
W części 1 mojego wpisu na temat żywotności kabla i silnika VFD wyjaśniłem, w jaki sposób użycie kabla THHN lub innego niespecjalistycznego kabla do połączenia VFD z silnikami prowadzi do przedwczesnej awarii silnika i szumu elektronicznego, który sieje spustoszenie w czujnikach procesowych i obniża bezpieczeństwo na hali produkcyjnej. Specyfikacja wyspecjalizowanego kabla VFD może pomóc w uniknięciu tych problemów, ale niestety nie ma żadnych standardów dla funkcji i konstrukcji kabla VFD, więc na pewno weryfikacja pozostaje w interesie kupującego. Tutaj, w części 2, omówimy, czego szukać w kablu VFD, abyś mógł podjąć bardziej świadomą decyzję.
Unikaj awarii i nie tylko - lista kontrolna W wielu zakładach niemal „spodziewano się” częstych wyłączeń napędów i/lub awarii silnika podłączonego do VFD co kilka lat, szczególnie w wyniku uszkodzenia łożyska lub izolacji. Jeśli tak się dzieje, specyfikacja dobrze zaprojektowanego kabla VFD może wyeliminować awarie i znacznie wydłużyć c…

Nowa parametryzacja - „IO-Link bez skomplikowanej części”

Artjom Bil
Co to jest IO-Link? Technologia IO-Link, oparta na standardzie IEC 61131-9 dla sterowników programowalnych, umożliwia komunikację między inteligentnymi czujnikami, siłownikami i sterownikami PLC wszelkiego rodzaju. Odegrała ważną rolę w praktycznym gromadzeniu i monitorowaniu danych produkcyjnych. Ten nieoceniony przepływ informacji daje producentom możliwość ciągłego dostrajania swojej działalności, optymalizacji jakości i wydajności oraz minimalizacji przestojów. Jako taka jest podstawową potrzebą komunikacji na poziomie lokalnym i umożliwia przejrzystość danych w ramach Przemysłowego Internetu Rzeczy.

Można by pomyśleć, że operatorzy przemysłowi pokochaliby technologię IO-Link. Niestety, w rzeczywistości jest to stosunek miłość/nienawiść.
Wielu użytkowników uważa, że ​​technologia IO-Link jest świetna, dopóki nie będą musieli zarządzać bibliotekami parametrów urządzeń IO-Link w sieci. Może to stać się bardzo skomplikowane, a użytkownicy lub nabywcy zbyt późno rozpoznają wyso…

MPLS-TP: MPLS wychodzi naprzeciw Twoim oczekiwaniom

Howard Linton
W ostatnich latach wielu przemysłowych użytkowników sieci szkieletowej znalazło się w sytuacji bez wyjścia. Dobrze znane sieci SONET i SDH z komutacją łączy, z których korzystają od dziesięcioleci, gwałtownie przestają nadążać z zaspokajaniem rosnącego zapotrzebowania na wideo, dane i inne zastosowania wymagające dużej przepustowości. Jednak najczęstszą praktyczną alternatywą - dla wielu, IP/MPLS - jest protokół wyraźnie przeznaczony dla bardziej złożonych operatorów sieci. Okazuje się, że jest to zbyt kosztowne, skomplikowane i mało funkcjonalne dla konkretnych potrzeb przedsiębiorstw użyteczności publicznej, transportu, rurociągów i innych użytkowników przemysłowych działających we własnej sieci szkieletowej.

No cóż, są też dobre wieści, ponieważ na szczęście istnieje mniej znany aspekt MPLS, który jest faktycznie przeznaczony do zaspokojenia potrzeb tej dużej bazy użytkowników. Nazywa się MultiProtocol Label Switching-Transport Profile lub MPLS-TP i może pomóc użytkowni…