Voir la traduction automatique
Ceci est une traduction automatique. Pour voir le texte original en anglais cliquez ici
#Actualités du secteur
{{{sourceTextContent.title}}}
Cybersecurity de SCADA dans l'âge de l'Internet des choses
{{{sourceTextContent.subTitle}}}
Le contrôle de surveillance et le rôle traditionnel des systèmes (SCADA) par acquisition de données change comme Internet industriel des choses (IIoT) continue à jouer un plus grand rôle.
{{{sourceTextContent.description}}}
Le contrôle de surveillance et le rôle traditionnel des systèmes (SCADA) par acquisition de données change comme Internet industriel des choses (IIoT) continue à jouer un plus grand rôle. Des systèmes de SCADA n'ont pas été à l'origine conçus pour le cybersecurity et les usines doivent s'ajuster sur cette nouvelle réalité.
Le contrôle de surveillance et les systèmes (SCADA) par acquisition de données, et les systèmes de contrôle industriels plus larges (ICS) comprenant SCADA, interfaces homme-machine (HMIs), systèmes de gestion d'immeubles (BMS), systèmes de fabrication d'exécution (MES), et systèmes de gestion de la maintenance d'ordinateur (CMMS) ont des racines dans la technologie de propriété industrielle qui a été traditionnellement isolée dans l'infrastructure (informatique) de technologie de l'information d'entreprise. Ces plates-formes n'ont pas été à l'origine conçues pour le cybersecurity.
Le rôle traditionnel De l'ICS du contrôle et de la sécurité a augmenté pour inclure fournir l'usine et les informations sur le processus ou la réponse à la direction de l'ERP et d'autres systèmes d'entreprise. Ceci, cependant, a exposé l'ICS aux menaces potentielles de cyber, selon la « sécurité le mouvement aux réseaux basés sur IP de SCADA/PLC » par le centre pour la protection de l'infrastructure nationale. Le foyer actuel sur la connectivité sous la bannière de l'Internet des choses (IoT), et l'Internet industriel étroitement relatif des choses (IIoT) ou de l'Industrie 4,0, a un avantage potentiel énorme à la stratégie d'agrégation de données et à la conscience situationnelle. Cependant, les dispositifs d'IIoT emploient les protocoles d'Internet (IP), qui accroissement plus ultérieur l'exposition aux menaces de cyber.
La transformation d'IIoT perturbe le rôle de la salle de commande traditionnelle avec une tendance vers les périphériques mobiles qui sont utilisés pour le contrôle (Nugent, Bailliencourt, et Kaltenbacher, 2015). Le composant contextuel naissant de HMI de l'ICS IIoT-permis fournit de grands gains de productivité aux organismes de fonctionnements et entretiens, tout en augmentant le périmètre de l'ICS. Cependant, il ajoute à la portée de la gestion de menace de cyber.
Piliers de Cybersecurity
Le vendeur moderne de plate-forme d'ICS incorpore la gestion de risque et de résilience du Cyber de l'institut de technologie de la programmation au procédé de qualité d'OIN 9001 pour le développement et la production. Le but est d'être transparent concernant intérieurement ou extérieurement a rapporté des vulnérabilités et d'agir rapidement de réduire au minimum le risque pour des clients.
La participation aux organismes de normalisation, tels que l'institut des ingénieurs électriques et électroniciens (IEEE) et de la Commission Electrotechnique Internationale (le CEI), sont conçues pour aider à atteindre le but du transparent par la discussion et le retour ouverts. La participation est critique à l'exécution rapide des recommandations venant de ces organismes.
Le National Institute of Standards and Technology (NIST) a fourni un cadre qui est inestimable pour identifier systématiquement les capitaux critiques d'une organisation, identifiant des menaces, et fixant les capitaux critiques (Nugent et Hoske, cybersecurity de SCADA, 2015). Le cadre a quatre éléments : Identifiez, protégez, détectez, et réagissez.
Identifiez et identifiez le comportement méfiant
Avant le marathon 2016 de Boston, l'administration nucléaire nationale de sécurité (NNSA) a exécuté une évaluation de rayonnement de fond utilisant de bas hélicoptères volants. La mesure du rayonnement naturel pour établir des niveaux de ligne de base est une partie normale d'état de préparation de sécurité et de secours (administration nucléaire nationale de sécurité, 2016).
Il est important d'avoir un inventaire des capitaux et des flux de données pour établir une ligne de base du comportement normal pour l'ICS. Les réseaux industriels peuvent être grands et complexes, et les protocoles industriels sont différents que ceux des réseaux informatiques d'entreprise. Les outils automatisés qui tracent et surveillent l'équipement du réseau utilisant les protocoles simples de gestion du réseau (SNMP) améliore l'efficacité et l'exactitude de l'inventaire.
L'inventaire et les outils de surveillance qui sont système de contrôle averti sont un facteur important en établissant une ligne de base fiable d'ICS. Surveillant l'ICS avec la technologie qui est capable de produire un calibre de ligne de base de la communication entre l'ICS, le PLC, et d'autres éléments de contrôle est critique. Dans le meilleur des cas, de tels systèmes pourront à :
Méta-données d'extrait du flux de réseau utilisant les capteurs passifs
Dynamiquement établir un inventaire visuel des composants et d'une carte des connexions
Apprenez l'ICS et fournissez les descriptions statistiques et comportementales des fonctionnements normaux
Recommandez les actions préventives
Réponse d'incident de déclencheur sur des preuves de compromis.
Les dispositifs d'IIoT communiquent souvent utilisant des technologies du sans fil. Une différence entre les réseaux informatiques généraux et les réseaux d'ICS est l'utilisation de l'IP statique. Pendant que les réseaux industriels deviennent reliés à l'Internet plus large, les systèmes de contrôle de santé recherchent le changement ou les adresses en double d'IP et de MAC, le mouvement de dispositif ou de câble, et les connexions non autorisées. Cet environnement est considérablement compliqué en plus des capteurs mobiles reliés par les points d'accès sans fil aux connexions dynamiques d'IP (Robles et Kim, 2010).
Protégez le périmètre de dissolution
À un sommet récent d'entretiens de technologie dans le Massachusetts, Mike Ratte a discuté le paysage informatique d'aujourd'hui de sécurité (Centrify, 2016). Il a dit, la « identité est le nouveau périmètre, » et ses arguments pour cela incluez :
Presque la moitié des infractions sont provoquées par les qualifications compromises
Les pirates informatiques visent toutes les classes des utilisateurs comprenant les utilisateurs privilégiés
La sécurité basée sur périmètre traditionnelle n'est pas assez
La sécurité devrait être basée sur des politiques basées sur contexte.
Cette stratégie équipe bien du périmètre de dissolution de l'ICS, qui a embrassé les avantages de la connectivité ouverte et donc également tirera bénéfice des professionnels de sécurité d'entreprise.
Avec 63% d'impliquer confirmé d'infractions de données faible, de défaut, ou de mots de passe volés (Verizon, 2016), rangs de créance de gestion hauts sur la liste de menaces de cyber d'ICS. La possibilité d'accès physique par les composés volés ou perdus de périphériques mobiles le besoin de gestion de créance forte.
Les réseaux industriels fournissent au premier niveau de la défense des pare-feu, des réseaux privés virtuels (VPN), et des commutateurs. Le vendeur d'ICS doit chiffrer des fichiers de configuration, fournit la surveillance des tentatives peu communes de connexion, emploie des protocoles sûrs tels que HTTPS, et fournit à des droits des utilisateurs avancés intégrés l'annuaire actif de Microsoft.
Avec ces capacités en place, l'ICS peut s'insérer à un monde fort de gestion d'identité. Avec l'annuaire actif comme dépôt de gestion d'identité de noyau, il est maintenant possible d'employer un pour se connecter pour toutes les applications liées à un utilisateur d'ICS.
les politiques basées sur contexte sont la pierre angulaire de la gestion des travailleurs mobiles. Les droites exigées des travailleurs de fonctionnements et entretiens varient par domaine d'activités. Un serveur de mobilité d'ICS qui contrôle l'accès aux ressources basées sur la zone géographique, et est synchronisé avec l'annuaire actif, s'assure que des politiques contextuelles serrées sont imposées.
Un dernier point doit faire avec le manque de contrôler onboarding et -embarquement des utilisateurs et des comptes. Par exemple, un entrepreneur entrant dans une installation peut avoir une installation provisoire de compte qui est à gauche ouverte au cas où l'entrepreneur devrait retourner à une autre heure. Ceci peut être fait parce qu'il est difficile à bord et à hors carte quand il y a des « îles d'identité. » La gestion centrale d'identité élimine des comptes perdus ses parents, élimine la nécessité d'employer des mots de passe de racine, et élimine des îles d'identité. Ceci rend onboarding et -embarquement plus maniables et intégrés avec des politiques de créance d'entreprise.
Détectez le comportement anormal et méfiant
Avec un inventaire clair des capitaux et de la ligne de base des calibres représentant le comportement de réseau et d'application, le système de contrôle de réseau industriel est préparé pour identifier quand les choses semblent méfiantes. Quand des calibres de ligne de base sont comparés en temps réel à l'opération d'ICS, le système peut donner des alarmes et agir rapidement sur la menace du compromis.
Il y a un autre aspect de la détection qui fait partie de la tendance vers la mobilité. La gestion de périphérique mobile (MDM) est employée par des entreprises pour déployer des politiques compatibles aux droites du travailleur mobile. Un exemple serait d'avoir une politique pour arrêter la caméra de dispositif quand au travail mais pour la permettre quand -site.
Les solutions classe meilleure avoir le titre de placement actif de sorte que le dispositif puisse répondre aux menaces même lorsque démonté du réseau. Ces systèmes activement détectent enraciné et jailbroken des dispositifs. Ils détectent également des attaques homme-dans-le-moyennes, des conditions silencieusement compromises, des dispositifs perdus ou volés, et des attaques de réseau (ViaSat, 2016).
Réduisez au minimum les dommages, assurez la récupération
Pour le périphérique mobile, la réponse automatisée inclut fermer à clef ou essuyer le dispositif, rechargeant à un état sûr, ou l'accès au réseau de neutralisation. les systèmes classe meilleure informent également le personnel de sécurité et d'opérations quand une menace est détectée.
Il est important d'avoir le contrôle de version fort de sorte qu'il soit possible de reconstituer à un point de référence sûr après un incident. Le contrôle de version déployé sur un serveur sûr aide à maintenir l'intégrité de la configuration et fournit la traçabilité pour toutes les modifications apportées aux fichiers de configuration.
Malheureusement, la reconstitution à une version préalable peut, selon où les données opérationnelles sont stockées, résultat dans une perte de données historiques. Les contrôleurs, les réseaux, les historiens, et les serveurs de communications superflus ont longtemps été les cachets de SCADA classe meilleure. Ce, cependant, n'est pas suffisant contre les menaces de cyber, qui compromettent les éléments primaires et de secours.
L'utilisation des virtual machine (VM) pour accueillir l'ICS est conçue pour atténuer le risque de perte de données. Par recouvrement des pertes se déployant comme service (DRaaS) sur la VM, le temps à la récupération peut être aussi court que 15 minutes (Veeam, 2016). Puisque le temps entre l'intrusion et la détection tend dans la mauvaise direction (Verizon, 2016) ceci peut encore avoir comme conséquence la perte de données.
S'arrêtant les mauvais garçons par la protection de créance forte de gestion et d'intrusion sont toujours les meilleures manières de fixer SCADA dans l'âge d'IoT.
Ed Nugent, Directeur des Opérations, PcVue Inc. ; Mike Ratte, directeur régional, Centrify Corp. a édité par Chris Vavra, rédacteur de production, automatique, milieu de CFE, cvavra@cfemedia.com.
Automatique
Références
Centre pour la protection de l'infrastructure nationale. Fixation du mouvement aux réseaux basés sur IP de SCADA/PLC. Londres : Centre pour la protection de l'infrastructure nationale, 2011.
Centrify. Centrify Overview et stratégie de Company, 2016.
Administration nucléaire nationale de sécurité. NNSA pour mener l'enquête aérienne d'évaluation de rayonnement au-dessus de la région de Boston, le 31 mars 2016. Recherché du communiqué de presse nucléaire national d'administration de sécurité.
Nugent, E., et Mark T. Hoske. « Sécurité de cyber de SCADA. » Automatique, 42-43, juillet 2015.
Nugent, E., P. Bailliencourt, et A. Kaltenbacher. L'architecture de l'infrastructure de mobilité de SCADA, le 28 juillet 2015. Automation.com.
Robles, R.J., et T.H. Kim. « Architecture pour SCADA avec les composants à distance mobiles. » Démarches de la 12ème Conférence Internationale de WSEAS sur le contrôle automatique, modeler et la simulation, 346, 2010.
Veeam. Toujours sur l'entreprise, 2016. Recherché de Veeam :
Verizon. 2016 investigations d'infraction de données rapportent, 2016.
ViaSat. Cybersecurity mobile pour les mains d'oeuvre à distance, 2016. Recherché de ViaSat.