ICS/OT kiberbiztonsági portfólió

ICS cybersecurity Whitepapers Kockázatfelmérés és értékelés ICS Ethical hacking ICS/OT biztonsági megoldásaink Menedzselt szolgáltatások ICS/OT kiberbiztonsági portfólió

Kockázatfelmérés és értékelés

NIST-alapú kockázatfelmérés

Az ICS/OT rendszerek kiberbiztonsági megfelelésének vizsgálatához kevés jó ajánlás áll rendelkezésre, de az egyik legkiválóbb módszertan a NIST 800-82 ajánlás, amely az ipari irányító rendszerek biztonsági útmutatója.
A NIST módszertan számos olyan tényezőre felhívja a figyelmet az ICS/OT rendszerek biztonságának kialakításánál (a teljesség igénye nélkül), mint a szegmentáció, port kezelés, fizikai és egyéb kockázatok, üzleti szempontok figyelembevétele a biztonság kialakítása során.
Az ICS/OT architektúra felépítésének lehetőségei, és annak biztonsági jó tanácsai is megjelennek a módszertanban, illetve a különböző felépítésű rendszerek kockázatainak bemutatására is nagy hangsúlyt fektet az ajánlás.
Az ICS/OT rendszerek világában is folyamatosan változnak a körülmények, akár technológiai- akár szabályozási kérdésekről van szó, ezért az ajánlás is ennek megfelelően kerül változtatásra. Jelenleg a második verzió érhető el.
A módszertan kontrollpontjain végig haladva biztosítható az ICS/OT rendszerek nem megfelelőségeinek azonosítása, illetve érettségének felmérése.
Az eredmények alkalmasak a nem megfelelőségek megszüntetéséhez egy cselekvési terv felállítására, és a kockázatok mérsékléséhez megfelelő inputtal szolgál.
A NIST 800-82-es audit ajánlott minden ICS/OT rendszert üzemeltető szervezet részére, akik jogszabályi-, vagy szabvány megfelelőséget kívánnak elérni ezen a területen, vagy fel szeretnék tárni a technológiai és szabályozási kockázatokat és kitettségeket.

Crown Jewels Analysis

Crown Jewels Analysis

A Crown Jewels Analysis, vagyis a „koronaékszerek” elemzése segít az ICS/OT rendszereket üzemeltető szervezetek számára azonosítani azokat a működés szempontjából kritikus rendszer-elemeket, amelyek kiesése az üzleti célok elérését ellehetetleníthetik.
A szervezet céljainak feltérképezését követően azonosításra kerülnek azok a feladatok és folyamatok, melyek támogatják a célok megvalósulását, ICS/OT rendszerek esetében a magas fokú rendelkezésre állást, illetve az adat és rendszer integritást.
A feladatok alfeladatai szintén feltérképeződnek a módszertan végrehajtásával, illetve az ezeket támogató ICS/OT elemek.
A függőségek megállapítását követően azok mentén minden egyes hatás számszerűsítésre kerül, így az elemzés végére meghatározhatók azok az ICS rendszerelemek, amelyek kritikusak a szervezet működése szempontjából, és kiesésük veszélyezteti a működést.
A matematikai alapokon nyugvó módszertan segítségével a koronaékszerek megállapítását követően koncentrálni lehet a védelmi megoldások implementálását.
A módszertan a függőségek mentén feltérképezi a folyamatokat, és a hatások elemzése során megállapíthatók a működési hiányosságok, és nem megfelelőségek.
A Crown Jewels Analysis azon kritikus infrastruktúra-, vagy ICS/OT rendszer üzemeltetőknek ajánlott, ahol számos ICS rendszerelem segíti a tevékenység végzését, és a rendkívüli események, valamint a biztonsági események negatív hatásainak lehetőségét a minimális szintre kívánja csökkenteni, a kritikus rendszerelemek védelmének kialakításával.

IEC 62443-alapú kockázatfelmérés

Az ipari automatizáció és vezérlő rendszerek biztonságáról kiadott szabványnak való megfelelőség biztosítékot nyújt az ICS üzemeltető szervezeteknek.
Az IACS (Industrial Automation and Control System) közösség által – amely számos ICS területen tapasztalattal rendelkező szervezetek és szakemberek csoportja – összeállított kontrol követelmények követik a ICS biztonsági trendeket.
A szabvány az alábbiakra összpontosít: személyi biztonság veszélyeztetése, közbizalom elvesztése, a jogi- és egyéb szabályozási követelmények megsértése, védett vagy bizalmas adatok és információk elvesztése, gazdasági veszteségek, valamint a nemzetbiztonságra gyakorolt hatás.
A gyártásban érdekelt szervezetek vonatkozásában a kontrollok a hardver és szoftver (például: DCS, PLC, SCADA), ICS hálózatok, monitoring és észlelés vonatkozásában is biztosítja a megfelelőséget.
A technikai biztonságon túl a fizikai biztonság is középpontban van, ahogy a dokumentációkra vonatkozó adminisztratív védelmi intézkedések is kiemelt szerepet kapnak a szabványban és megfelelőségben.
A szabványnak való megfelelőség biztosításával javítható a gyártáshoz és a gyártás folyamatainak ellenőrzéséhez használt rendszerek bizalmassága, sértetlensége és rendelkezésre állása, egyszerűbb és hatékonyabb lehet a sérülékenységek azonosítása és a kockázatok csökkentése, valamint a nem várt események száma minimális szintre csökkenthető.
A szabványnak való megfelelést azon szervezeteknek ajánljuk, akik a gyártásban, a vezérlő rendszerek tervezésében és bevezetésében, valamint irányításában érdekeltek.

IEC-62443
PCAP-alapú kockázatfelmérés

PCAP-alapú kockázatfelmérés

A technikai-jellegű vizsgálat során passzív monitorozó eszköz segítségével rögzítésre kerül a vizsgált hálózati szegmens vagy ICS/OT zóna (például Level2, Level3, stb.), és a rögzített hálózati adatforgalom kerül elemzésre.
A feltárt adatkapcsolatok térképe kétirányúan tartalmazza a kommunikáló eszközöket, a protokoll jellemzőket és protokoll adatokat, a passzív device fingerprinting részletes információit, titkosított csomagokat vagy titkosítatlan adatokat, amelyek alapján elvégezzük a kockázatfelmérést.
Ez a kockázatfelmérés jellemzően a hálózati kommunikációra fókuszál, azonban olyan ipari protokollok esetén, amelyek elemeit a csomagintegritás megsértése nélkül fel tudja dolgozni a monitorozó rendszer (pl. Modbus, Pcom, BACNet, stb.) további kockázatfelmérésre is lehetőség van, mert ilyen esetekben akár a regiszterek vagy egyéb objektumok adatait is rögzíteni tudjuk, illetve az elvártakhoz hasonlítva meg tudjuk határozni azokat a pontokat, amelyeken az adott ICS/OT kommunikáció sebezhető.
Az elkészült riport tartalmazni fogja a felmérés során tapasztaltakat, a hálózati kommunikációs térképet (például milyen ICS/OT eszköz, kivel, milyen módon és hogyan kommunikál), a forgalomanalízisből meghatározott kockázatokat és az azok csillapítását vagy megszüntetését célzó védelmi intézkedési javaslatokat.

ICS Ethical hacking

Sérülékenység-vizsgálat

Az ICS/OT környezetének sérülékenységvizsgálata során a rendelkezésre álló idő alatt a lehető legtöbb sérülékenység kerül feltárásra.
A speciális környezet és az érintett eszközök érzékenysége miatt az ICS/OT sérülékenység-vizsgálat kevésbé intruzív, mint az IT környezetek vizsgálata.
A blackbox, graybox és whitebox módszertanok a hagyományos IT környezethez hasonlóan kerülnek alkalmazásra, a tevékenységek azonban jobban támaszkodnak a manuális vizsgálatokra mint az automata eszközök használatára.
Az ICS/OT környezetek sérülékenység-vizsgálata tartalmazza:
• A hálózat és csatolt eszközök felderítését
• A hálózati szeparáció kialakításának, határvédelmi megoldásainak elemzését, esetleges sérülékenységeik azonosítását
• Az egyes eszközök által használt szolgáltatások, protokollok és a kommunikáció irányainak vizsgálatát
• Az ipari routerek és switchek vizsgálatát
• PLC-k, IED, RTU eszközök vizsgálatát,
• Device Server és egyéb átjárók vizsgálatát
• SCADA és HMI eszközök vizsgálatát (OS és applikációs réteg, pl. web felület).
A sérülékenység-vizsgálattal visszajelzés kapható az ipari vezérlők és környezetük OT biztonsági helyzetéről.
Az elkészült riport tartalmazza a fellelt sérülékenységeket, azok besorolását és prioritását, a sérülékenységek kockázatait, valamint a sérülékenységek javításának, és a kockázatok csillapításának lehetőségeit.

Sérülékenység felmérés
Red Teaming

Red/Purple Teaming

Red Teaming A read teaming egy valós szimuláció, amely során a támadók (piros csapat / red team) a lehető legrealisztikusabb módszerekkel és eszközökkel igyekszik megtámadni a kék csapat (blue team) által védett hálózatot és eszközöket.
A red teaming speciális abból a szempontból, hogy a megbízó a hagyományosabb sérülékenység-vizsgálathoz vagy penetrációs teszteléshez képest jóval kevesebb megkötéssel él, vagy egyáltalán nem zár ki semmilyen módszert vagy eszközt.
Ez azt jelenti, hogy a támadók gyakorlatilag bármilyen támadási formát vagy eszközt alkalmazhatnak, nem szükséges az intruzivitással, vagy az esetleges szolgáltatás-kiesésekre tekintettel lenniük, a szimuláció célja a valóságos helyzetek és események észlelésének és elhárításának valósághű gyakorlása.
A megbízó szakemberei alkotják a kék csapatot, míg a Black Cell munkatársai a támadó piros csapatot.
A read teaming kiváló módszer arra, hogy felkészítse a szervezet humán és technológiai védelmét, növelje a detektációs és elhárító képességet, valamint a menedzsment számára komplex értékelést adjon a humán és technológiai védelem állapotáról.

Menedzselt szolgáltatások

Incidens- és eseménykezelés

A Black Cell biztonsági műveleti központja (SOC) képes az esetlegesen bekövetkező biztonsági incidensek kezelésére, felszámolására és a káros hatások csillapítására.
Meg kell különböztetni a biztonsági eseményt és a biztonsági incidenst.
A biztonsági esemény nem minden esetben jelent incidenst, például egy érkező adathalász email egészen addig csak esemény, amíg arra valaki nem kattint rá és nem ad ki adatokat az adathalász oldalon.
Biztonsági eseményből tehát nem minden esetben eszkalálódik incidens, azonban, ha a szervezet nem tudja megfelelően azonosítani a tapasztalt jelenséget, nem tudja megfelelő prioritással és erőforrásokkal kezelni a cselekményt.
A biztonsági incidens már azonnali beavatkozást és reagálást igényel.
Az incidenskezelési szolgáltatásban a Black Cell SOC divíziója alatt képzett eseménykezelők, etikus hackerek és digitális nyomelemzési (forensic) specialisták működnek együtt annak érdekében, hogy az ügyfeleinknél bekövetkező biztonsági események kivizsgálásra kerüljenek, és megállapítható legyen, incidens következett-e be, és amennyiben incidens következett be, azonnali szakértő reagálás induljon.
A különféle megfelelőségek (például ISO 27001, IBTV, stb.) elvárhatják, hogy a szervezet rendelkezzen pontos és részletes esemény- és incidenskezelési tervvel.
Tanácsadó-szakértőink ezért segítenek kidolgozni a szervezeteknek a szükséges incidenskezelési eljárásrendeket és vonatkozó szabályzatokat, illetve segítenek azok gyakorlásában és naprakészen tartásában.

soc
Forensic

Digitális nyomelemzés, forensic

A digitális nyomelemzés egy bekövetkezett biztonsági incidenst (legyen az malware fertőzés, behatolás, adatszivárgás, stb.) követően meglehetősen összetett és bonyolult kérdéssorra igyekezik választ találni:
Mi történt pontosan, ki követte el, mikor és hogyan, illetve milyen eszközök vagy személyek voltak érintettek a bekövetkezett incidens során?
A Black Cell Biztonsági Műveleti Központjának forenisc specialistái feltárják és rögzítik a biztonsági incidens bekövetkeztekor létrejött és fellelhető nyomokat, azokat kiértékelik és elemzik annak érdekében, hogy a lehető legtöbb kérdés kerüljön megválaszolásra.
A különféle begyűjtött naplóállományok (tűzfal, IPS, szerver, AD, DLP, stb) a SOC divízió forensic SIEM rendszerében kerülnek feldolgozásra és korrelálásra, ezáltal nagyban meggyorsul a naplóesemények kiértékelése.
Természetesen a naplóállományok mellett a különféle egyéb, nyomokat tartalmazó információk (memóriakép, MFT, prefetch, shellbags, simcache, stb.) is begyűjtésre és vizsgálatra kerülnek.
A forensic során átvizsgálásra kerülnek a határvédelmi és végpontvédelmi eszközök annak érdekében, hogy a szabályrendszer-anomáliák vagy az esetleges rossz konfiguráció is feltárható legyen.

ICS sérülékenységi intelligencia

Az ICS/OT sérülékenységi intelligencia szolgáltatás olyan sérülékenységi vészcsengőt jelent, amely a heterogén ipari infrastruktúrákban, több gyártótól származó, eltérő verziójú és állapotú eszközök esetén is megbízható riasztásokat ad.
Legyen szó Siemens, Omron, Lantronix, Moxa, Honeywell vagy más ipari eszközökről, az üzemeltető és biztonsági személyzet egyetlen riasztási forrástól kap értesítést az eszközöket és firmwareket érintő új sérülékenységekről.
Az ICS sérülékenységi intelligencia szolgáltatáshoz nincsen szükség eszköz telepítésre vagy más integrációra.
A felhős rendszerbe egyszerűen felrögzíthetők a különféle gyártók és eszközök, meghatározhatók a működtetett pontos firmware verziók.
Amennyiben az adott eszközt és különösen a futtatott firmware-t vagy alkalmazást érintő új sérülékenység jelenik meg, a rendszer azonnal értesíti az eszközhöz vagy eszközcsoporthoz rendelt üzemeltetőt.
Sok esetben olyan sérülékenységekről is kapható értesítés, amelyről még CVE bejegyzés sem született, így a nyilvános forrásokhoz képes is hamarabb értesülhet az üzemeltető a megjelenő sérülékenységekről, és több idő fog rendelkezésre állni a sérülékenység kockázatának csillapítására.
A nyilvánosan elérhető CVE bejegyzésekhez képest a sérülékenységi intelligencia kumulatív és részletező jelentéseket tartalmaz a sérülékenységekkel kapcsolatban, azaz részletesen értelmezi az adott sérülékenységet és az okozott hatást, valamint mitigációs információkkal is segíti az üzemeltetőket.

Moxa-security

ICS Threat Intelligence

A Cyber Threat Intelligence (CTI) az ellenséges vagy veszélyesnek tekintett elemekről, illetve az általuk végzett műveletekből és tevékenységekből származó, a kibertérben fellelhető információk gyűjtését, feldolgozását, integrálását, értékelését, elemzését jelenti.
A CTI fontos jellemzője, hogy az információk mindig kontextusba helyezve jelennek meg, mechanizmusokat, indikátorokat, következtetéseket, valamint különféle védelmi tanácsokat is tartalmaznak.
Az előállított információ célja, hogy támogassa a különböző döntéshozatali szinteket, beleértve a különféle operatív vezetőket, biztonsági személyzetet, eseménykezelőket, azonban a humán szerepkörök mellett gépi feldolgozhatóságú védelmi információkkal (threat feed) képes támogatni a különféle biztonsági eszközöket is (például a tűzfalak, web- és email szűrők, behatolásvédelmi eszközök, SIEM és logelemző eszközök).
A CTI a begyűjtött adatokból feldolgozással, elemzéssel, következtetéssel állítja elő a különféle ICS threat feedeket, indikátorokkal látja el, majd valamilyen formában (pl. CybOX, STIX, TAXI, csv, stb.) elérhetővé teszi a védelmi eszközök számára.

CTI
SOC IT

Biztonsági Műveleti Központ (ICS/OT SOC)

A biztonsági műveleti központ vagy SOC (Security Operations Center) egy olyan csapatot jelent, amely 7/24, éjjel-nappali műszakban működik, és amelynek egyaránt feladata a megelőzés, a felderítés és a kiberbiztonsági fenyegetésekre, eseményekre adható válaszok kidolgozása, valamint a szervezet vagy létesítmény biztonsági előírásainak vizsgálata és értékelése.
A Black Cell a KKV-k részére olyan menedzselt SOC szolgáltatást nyújt, amelyet kifejezetten a kis- és középvállalatok részére alakított ki.
Segítségével teljes biztonságban tudhatja vállalata információs értékeit, mivel megoldásunk olyan komplex szolgáltatáscsomagot biztosít, ami egészében fedi le napjaink IT biztonsági szükségleteit.
Éjjel-nappal, 24/7-es, élő monitoring és riasztási rendszert működtetünk az év minden napján hazai és külföldi ügyfeleink részére.
A CERT (Computer Emergency Response Team) csapatunkat a Carnegie Mellon University minősítette.
Az incidenskezelő csapatunk összeállítása négy különböző IT biztonsági szakterület mérnökeiből épül fel, akik egyidőben teljesítenek a SOC-ban szolgálatot.
Ezen szakterületek az offenzív biztonság (ethical hacking), defenzív biztonság (naplóelemzés), threat hunting és kiberhírszerzés (CTI).
Emellett hálózatbiztonsági és termékspecifikus támogató munkatársaink is rendelkezésre állnak.
A SOC funkcionalitás alapját a különféle forgatókönyvek és eljárásrendek (use case, playbook) képezik, amelyek az ICS/OT területen meglehetősen speciálisak lehetnek.
A Black Cell ICS/OT SOC forgatókönyvei a MITRE ATT&CK for Industrial Control Systems mátrixon alapulnak és a nemzetközi standardok alapján kerültek kidolgozásra, így a terület-specifikus SOC sokkal hatékonyabban működtethető és hatékonyabb védelmet jelent.

ICS/OT biztonsági megoldásaink

Fidelis

Fidelis Deception

A Deception a Fidelis Security kiberbiztonsági platformjának önállóan is alkalmazható modulja, amely honeypot és fejlett megtévesztésen alapuló szenzorhálózatok létrehozására alkalmas.
A honeypot egy speciális csapda eszköz, amely megtéveszti a támadót és olyan célpontnak mutatja magát, amelyet érdemes letapogatni és érdemes kihasználni sérülékenységeit.
Mivel a honeypot eszközre felhasználói kapcsolatok nem indulnak, így bármely kapcsolat, amely a honeypot eszközre irányul, már olyan forgalom, amelyről a rendszer riasztást küld(het) az üzemeltetőknek.
A honeypot eszközöket sokféleképpen lehet felhasználni, de általában a riasztás mellett valamilyen automatizmussal van összekapcsolva, azaz, ha interakció érkezik az eszközre, a támadó tevékenységének adatait (pl. forrás IP cím) átadja valamilyen védelmi eszköznek, amely így tudni fogja, hogy az adott IP cím olyan tevékenységet végzett egy csapda eszközön, amely miatt a valós rendszerekhez történő hozzáférését meg kell akadályoznia.
A honeypot eszközök ICS környezetekben történő felhasználása egy jelentős védelmi hiányosságot tud betölteni.
Az ipari hálózatokban, ahol a klasszikus IT biztonsági eszközök működtetése meglehetősen problémás (vírusvédelem a legtöbb esetben nem alkalmazható, a védelmi rendszerek nem lassíthatják a forgalmat vagy magát az eszközt, nem blokkolhatnak, nem változtathatják meg a csomagokat, nem lehetnek intruzívak, stb.), a honeypot eszközök a védelem utolsó bástyáját jelenthetik, észlelhetnek olyan eseményeket és műveleteket, amelyeket az aktív eszközök korlátozott felhasználhatósága miatt nem lehet észlelni.
A Fidelis Deception eszközzel az ICS/OT hálózatokban létrehozhatók konkrét ICS vezérlők, web kiszolgálók vagy akár HMI felületek.
A megtévesztő eszközök bármely interakciója kiválthat riasztást, hiszen ezekre az eszközökre egyébként felhasználói forgalom nem érkezhet.
A megtévesztés magas interakciójú honeypot eszközökkel történik, azaz ezekre az eszközökre akár be is tud jelentkezni a támadó.
A magas interakció biztosítja, hogy nem csak a kapcsolat ténye válthat majd ki riasztást, hanem a megtévesztő eszközre bejelentkezés vagy azon végzett műveletek esetében is érkezhet riasztás, ezáltal nullára csökken a téves riasztások száma.

OPSWAT

Biztonságos adatbeléptetés ICS/OT hálózatokba Az ipari környezetek a legtöbb esetben már nem zárt és szeparált hálózatokban működnek.
Az ICS/OT eszközök adatokat fogadnak más hálózatokból és eszközökből, illetve maguk is adatokat küldenek különféle alkalmazások vagy adatbázis eszközök felé, például ERP és termelésirányító eszközök, elszámoló vagy leltárrendszerek, export alkalmazások vagy BI adatfeldolgozók felé.
A Stuxnet, IRONGATE, BlackEnergy, CRASHOVERRIDE, Havex, Triton és egyéb, ipari rendszerekre célzott malware támadások rámutattak arra, hogy az ipari hálózatokat és eszközöket fokozottan kell védeni a malware támadásoktól és fertőzésektől.
Az ICS/OT környezetek egyik nagy problémája, hogy sérülékeny eszközökként nagyon érzékenyek a kártékony kódokkal történő támadásokkal szemben.
Mivel adatokat, fájlokat kell bevinni az eszközökre, ezért feltétlenül szükséges, hogy csak tiszta és kártékony kód nélküli állományok kerülhessenek be az ipari hálózatokba.
OPSWAT sokmotoros malware-észlelés Az OPSWAT Metadefender integráltan akár 20 vírus- és malware-védelmi motorral képes ellenőrizni az ipari hálózatok felé küldött, az ICS/OT eszközökre betöltött állományokat.
A vizsgálat helyben történik, kialakítható akár teljesen offline ellenőrző környezet is.
Szanitizáció, CDR A zero-day és más, ismeretlen fertőzések észlelhetetlenek a hagyományos vírusvédelmi motorokkal, ezért az OPSWAT Metadefender Content Disarm and Reconstruction (CDR) szétbontja az állományokat, kitöröli belőlük az akár veszélyes funkciókra is használható fájlformátum elemeket (pl. DDE, macro, metaadatok, egyéb aktív kódok, stb.), majd újraépíti a megtisztított fájlokat.
Adatbeléptetető és adathordozó-ellenőrző terminál Az OPSWAT Metadefender KIOSK egy olyan alkalmazás, amelyen keresztül a felhasználó automatikusan tud a beviendő állományokon vagy adathordozókon ellenőrzéseket és szanitizációt végezni, majd a tiszta fájlokat a rendszer automatikusan továbbítja a zárt vagy ipari hálózatba, annak megfelelő megosztásába.
Az OT hálózat operátora már csak a tiszta állományokhoz fog hozzáférni, így nem szükséges adathordozót bevinni az OT hálózatba és nem szükséges azokat csatlakoztatni valamely OT eszközhöz.

OPSWAT
Indegy

Tenable.OT (Indegy)

Az Indegy felvásárlásával a Tenable létrehozta az első, dedikált ICS/OT kibervédelmi platformot.
Korábban is léteztek biztonsági megoldások az ICS eszközök védelmére, vagy az ICS eszközök sérülékenység-menedzsmentjére, azonban a Tenable.OT megoldás az első, amely a két funkcionalitást integráltan tartalmazza:

  • az adatforgalom passzív monitorozásával valamint ICS threat intelligence-el történő támadás- és anomália észlelést,
  • és az aktív, periodikus vagy azonnali szkennelésen alapuló ICS/OT sérülékenység-vizsgálat és sérülékenység menedzsment funkciókat.

A Tenable.OT váltja fel a Tenable korábbi, Nessus Industrial Security megoldását, azaz a csak szkennelésen alapuló sérülékenység-vizsgálat helyett egy sokkal bővebb védelmi funkciókkal rendelkező védelmi platform jött létre.
A Tenable.OT egy (vagy több) fizikai appliance eszközből áll, amelyek az egyes nagyobb hálózati szegmensek adatforgalmát monitorozzák, valamint több kisebb szenzor eszközből állhatnak, amelyek dedikáltan egy-egy szegmens (jellemzően a leválasztott OT zónák mögöttes eszközeinek) forgalmát képesek monitorozni.
Funkciók, képességek:
• Aktív threat defense
• Incident response támogatás
• Teljes átláthatóság, asset kezelés
• Aktív és passzív detektálás
• Change monitoring, eszközintegritás
• Sérülékenység-vizsgálat, risk assesment
• Szignatúra- és viselkedés alapú észlelések, stb.

Nessus

Nessus Industrial Security

A Nessus a sérülékenység-vizsgálat és sérülékenység-menedzsment terület vezető gyártója.
A Nessus Industrial Security megoldás kifejezetten az ipari infrastruktúrák sérülékenység-vizsgálatára fejlesztett eszköz.
A Nessus Industrial Security ismeri a specifikus ICS protokollokat, például BACnet/IP, CIP, DNP3, Ethernet/IP, ICCP, IEC 60870-5-104, IEC 60850, IEEE C37.118, Modbus/TCP, OPC, openSCADA, PROFINET, Siemens S7, TPKT, OPC, Profinet és képes az eszközök és kommunikációs kapcsolatok vizsgálatára.
A Nessus Industrial Security támogatja a legelterjedtebb gyártók eszközeit, például a Siemens, ABB, Emerson, GE, Honeywell, Rockwell/Allen- Bradley, Schneider Electric eszközöket, felismeri és elemzi az eszközökön talált sérülékenységeket.
A vizsgálatok során a Nessus Industrial Security olyan beállításokkal ellenőrzi az eszközöket, amelyek kevésbé intruzívak, így a vizsgálat nem okoz problémát az eszközök működésében.
A Nessus Industrial Security másik fontos funkciója a sérülékenységek felderítése mellett az ICS/OT eszközök leltárának elkészítése és naprakészen tartása.
A passzív monitoring, az asset management és az aktív sérülékenységvizsgálat együttesen képes biztosítani az ICS/OT hálózat átláthatóságát és a sérülékenység-menedzsmentet.

Tofino ipari tűzfalak

A Belden portfóliójába tartozó Tofino ipari tűzfalak funkciója kettős, egyrészt szeparálják a mögöttes ICS/OT eszközöket a termelési vagy IT hálózattól, másrészt pedig képesek értelmezni a specifikus ipari protokollokat, mint például Modbus, OPC, Ethernet/IP, ABB RemSys, S7Comm, GE, DNP3, Omron FINS, ProfiNet, stb.
Az ipari protokollok értelmezése lehetőséget biztosít arra, hogy a kommunikáció engedélyezése mellett a Tofino eszközök képesek azt is szabályozni, hogy milyen funkciók legyenek használhatóak és engedélyezettek a specifikus ipari protokollokon belül.
Erre a jó példa lehet a Modbus, ahol a Tofino eszközben konfigurálhatók a használható funkciókódok, írható vagy csak olvasható regiszterek, stb.
A protokol enforcement tehát képes arra, hogy az átengedett protokollon belül csak az üzemi működéshez szükséges funkciókat engedje elérni a mögöttes PLC vagy egyéb eszközön.
A Tofino eszközök kifejezetten ipari felhasználásra lettek kifejlesztve, ezért a hagyományos IT tűzfalakkal szemben a Tofino tűzfalak kezelése sokkal könnyebben tanulható az OT üzemeltetők számára.
Az OT környezet rendelkezésre állási igénye miatt a Tofino tűzfalak rendelkeznek bypass funkcióval, amelyet a teszteléskor lehet a leginkább kihasználni.
A teszt/bypass üzemmód során az eszköz minden forgalmat átenged, csupán a felkonfigurált szabályrendszer kerül tesztelésre, azaz az OT munkatárs ellenőrizni tudja, hogy a beállított szabályrendszer valóban az elvárt működést fogja eredményezni és esetleg nem blokkol el olyan forgalmat, amelyek feltétlen szükséges az üzemi működéshez.

Tofino Tűzfal
Ewon

EWON biztonságos ipari távelérés

Az EWON az ipari távelérés és biztonságos VPN csatlakozás szakértője. Az EWON eszközök egyrészt ipari tűzfalként elválasztják a csatlakoztatott PLC és egyéb ICS/OT eszközöket a termelési és az IT hálózattól, és az izoláció mellett képesek automatikus VPN kapcsolaton keresztül elérhetővé tenni a csatlakoztatott PLC és egyéb eszközöket.
Az EWON eszközök a vállalati hálózaton vagy direkt GSM, 4G/LTE vagy kábeles csatlakozáson keresztül kiépítenek egy automatikus machine-to-machine (M2M) kapcsolatot az EWON Talk2M VPN felhőjével.
A távelérés során a távoli operátor vagy üzemeltető egy kliens alkalmazáson vagy akár csak egy webes felületen keresztül kapcsolatot épít ki az EWON Talk2M VPN felhőjével, és ezen a kapcsolaton keresztül éri el az EWON eszköz mögé csatlakoztatott PLC vagy egyéb ICS/OT eszközt.
A megoldás előnye, hogy a VPN kapcsolat teljesen független a szervezet IT hálózatától, a csatlakozott felhasználó az IT hálózatból semmilyen eszközt nem képes elérni, csak és kizárólag az EWON eszközre csatlakoztatott berendezéseket.
Szabályrendszerekkel az is meghatározható, hogy a csatlakozott felhasználó melyik PLC eszközt érheti el, tehát személyre szabhatók az üzemeltetői elérések.
A webes felületek (HMI, SCADA) vagy egyéb kontroll- és vizualizációs eszközök akár kliens alkalmazás nélkül is elérhetővé tehetők.
A Talk2M felhőbe böngészőbe bejelentkezve lehetőség van az EWON eszközre csatlakoztatott berendezések web- és RDP-alapú eléréseire.
Rendelkezésre áll speciális mobilkliens is, amelyen keresztül egy tabletről vagy telefonról is elérhetőek az eszközök, így az operátorok és karbantartók gyakorlatilag bárhonnan képesek elérni az üzemeltetett vagy támogatott eszközöket.
A termelési vagy IT hálózatból az EWON eszközön keresztül port forward segítségével lehetőség van elérni az eszközhöz csatlakoztatott berendezéseket, illetve a tűzfal funkció miatt akár NAT és NAT 1:1 is megvalósítható.

ewon2-adat

EWON adatgyűjtés és vizualizáció

Az EWON Flexy eszközök nem csak izolációra és biztonságos, ipari távelérés kialakítására alkalmas eszközök, hanem komplex adatgyűjtő és adatvizualizációs funkciókkal is rendelkeznek.
Az EWON Flexy keszülékek képesek a PLC és egyéb OT eszközöket lekérdezni és az összegyűjtött adatokat tárolni, illetve megosztani.
Képesek OPC UA és PLC átjáróként működni, támogatják a legelterjedtebb és legjelentősebb ipari protokollokat.
Saját tárolóján a Felxy eszközök képesek egymillió időbélyegzett adatrekordot tárolni, illetve ezeket megosztani más ipari eszközök és feldolgozók felé.
Beépített webszervere HMI-ként képes funkcionálni, így a begyűjtött adatokat saját megjelenítő alkalmazásokkal képes folyamatosan megjeleníteni.
Rendelkezésre áll egy saját script és JAVA SE programozási nyel, amellyel gyakorlatilag bármilyen vizualizációs alkalmazás létrehozható az eszközön.
Az adatgyűjtésre és adattovábbításra további lehetőségek is rendelkezésre állnak.
A gyűjtött adatokat a Flexy képes a Talk2M felhő felé továbbítani, ahol akár távoli SCADA vagy HMI alkalmazás is létrehozható.
Lehetőség van arra is, hogy a gyűjtött adatokat a szervezet helyi szinten szinkronizálja egy MySQL adatbázisba, ahonnan már bármilyen vizualizációs rendszer fel tudja dolgozni az adatokat.
Az EWON Felxy tehát nem csak biztonsági eszköz, de jelentősen hozzájárul az Ipar 4.0 adatfeldolgozó és vizualizációs igényeinek kielégítéséhez.
H az Ipar 4.0 kerül szóba, az EWON az elsőszámú interfész az OT eszközök és a különféle adatfeldolgozó eszközök között.

Waterfall ICS/OT adatdióda

A Waterfall ipari adatdióda a hagyományos dióda működési elvére épül, ezért csak és kizárólag egyirányú adatáramlást és adatkommunikációt tesz lehetővé.
A Waterfall ICS/OT adatdióda a NIST SP-800-53 ajánlásban szereplő szegregáció megvalósítására alkalmas eszköz, amely lehetővé teszi a magasabb védettségi elvárással rendelkező ICS/OT hálózat és egy alacsonyabb biztonsági besorolású hálózat (például IT/OFFICE hálózat) közötti egyirányú, biztonságos és ellenőrzött adatkommunikációt és adatcserét.
Mivel a hagyományos TCP/IP kommunikációk bi-directional módúak, azaz a kapcsolatok kiépüléséhez mindkét szereplő kommunikációjára szükség van, ezért a Waterfall ICS/OT adatdióda nem pusztán csak hardver elemekből áll, hanem olyan szoftverkomponensekből, amelyek lehetővé teszik a 2-way protokollok működését az egyutas csatornán.
A Waterfall ICS/OT adatdióda hardveres kapcsolatot biztosít a két hálózati szegmens között, azonban nem réz, hanem optikai átvivő közegen, amelyben egyszerre, egy időben csak egyirányú kommunikáció tud megvalósulni (vagy csak RX, vagy csak TX).
A hardveres szegregáció előnye, hogy semmilyen módszerrel nem megkerülhető és nem kijátszható.
A hagyományos, tűzfal-alapú védelemmel szemben itt nincs lehetőség olyan rosszindulatú tevékenységre, amelyek esetleg szoftveres módon kétirányúvá tenné a kommunikációt: a fizika törvényei még a legjobb képességű támadók által sem megváltoztathatók.
Mivel egy speciális szegregációról van szó, és a védelmi funkciók alapját maga az L1-L2 réteg adja, ezért a rendszer működése eltér a megszokott védelmi rendszerekétől és hagyományos hálózati kommunikációktól.
Ebből következhet a rendszer hátránya, az elérhető szolgáltatások köre kisebb, mint a hagyományos területeken, azonban ez csak akkor jelent hátrányt, ha a hagyományos védelmi eljárásokat kívánjuk használni a hagyományos módokon.
A hagyományos hálózatvédelem azonban nem elegendő a kiemelten védett hálózatok esetében, ezért kijelenthető, hogy a Waterfall ICS/OT adatdióda használata nem hátrányt jelent, hanem olyan előnyöket, amelyek egyébként nem elérhetőek a klasszikus eszközökkel megvalósított védelemben.
Bár az elérhető szolgáltatások köre limitált, azonban a Waterfall ICS/OT adatdióda képes a legfontosabb kommunikációs szolgáltatásokat megvalósítani a szegregáció és az egyirányú kommunikáció mellett.
Ilyenek lehetnek (kiépítéstől függően):
• Fájl átvitel (SMB, FTP, SFTP, NFS, CIFS, stb.)
• HTTPS/HTTPS tükrözés
• Adatbázis tükrözés vagy streaming
• Nyomtatás
• Levelezés
• Vírusvédelem
• Patch és frissítés
• Remote monitoring
•Egyéb speciális kapcsolatok (pl. ICS/OT protokollok, modbus, historian, SIMATIC/S7Comm, Omron FINS, WinCC, stb.)

Waterfall

Whitepapers

ICS Hazai körkép Whitepaper letöltés

A dokumentum tartalma:

    Jelen dokumentum a Black Cell Magyarország Kft. OT Security üzletága által 2019 december 10-én megkezdett felmérés tapasztalatait és eredményeit foglalja össze. A felmérés azzal a céllal indult, hogy megállapítsa a hazai, internetről elérhető ICS/OT eszközök számosságát, az eszközök típusait, felhasználásuk jellemzőit és általános biztonsági állapotukat.

*A BC01-68-01-HU adatkezelési tájékoztató 2. pontját megismertem és elfogadom, továbbá önkéntes és kifejezett hozzájárulásomat adom a személyes adataim kapcsolatfelvételi célból történő kezeléséhez.
Adatkezelési tájékoztató

A BC01-68-01-HU adatkezelési tájékoztató 1. pontját megismertem és elfogadom, továbbá önkéntes és kifejezett hozzájárulásomat adom a személyes adataim hírlevelek küldése céljából történő kezeléséhez.
Adatkezelési tájékoztató

Miért válasszon minket?

A Black Cell 2010-ben került megalapításra Magyarországon. A csapat bizonyítottan rendelkezik a megfelelő képességekkel, kompetenciákkal és tudásalappal ahhoz, hogy sikeresen építsen vagy üzemeltessen egy Kibervédelmi Műveleti Központot, melyet hazai és nemzetközi referenciáink támasztanak alá. Szigorú szolgáltatásiszint-megállapodás (SLA) szabályozza működésünket és egymillió dolláros felelősségbiztosítással rendelkezünk. Éjjel-nappal, 24/7-es, élő monitoring és riasztási rendszert működtetünk az év minden napján hazai és külföldi ügyfeleink részére.

A CERT (Computer Emergency Response Team) csapatunkat a Carnegie Mellon University minősítette. Az incidenskezelő csapatunk összeállítása négy különböző IT biztonsági szakterület mérnökeiből épül fel, akik egyidőben teljesítenek a SOC-ban szolgálatot. Ezen szakterületek az offenzív biztonság (ethical hacking), defenzív biztonság (naplóelemzés), threat hunting és kiberhírszerzés (CTI). Emellett hálózatbiztonsági és termékspecifikus támogató munkatársaink is rendelkezésre állnak.

Tanúsítványaink

Top