Із зростаючими вимогами до інтеграції OT/IT,
безпека даних є на першому місці наших проблем як ніколи. Фактично,
згідно з опитуванням IDC, безпека вважається головною перешкодою для
інтеграції OT/IT. У той же час він також вважається мотиватором до
п’ятірки найкращих, тобто покращена безпека OT є одним із засобів
досягнення успішної інтеграції OT/IT. Однак при інтеграції OT та
IT-систем із традиційно закритих систем даних у відкриті системи
даних може бути надано небажаний доступ до приватних операційних
даних організації.
«Якщо ми придивимося ближче до того,
чому безпека є найбільшою перешкодою, ми виявимо, що в середовищі OT
одним із головних проблем безпеки є безпечна та надійна підтримка
застарілих систем», — сказала Хелен Чіанг, генеральний менеджер IDC
Taiwan, у бесідах із питань безпеки . Показати . «На сайті OT ви
знайдете багато застарілих систем і програм. Вони не тільки
ізольовані, але й не мають агентів, тобто актив має обмежені ресурси
для запуску рішення безпеки, яке ми зазвичай виконуємо в
ІТ-середовищі».
Щоб підключити непідключені застарілі
системи, можна зробити кілька кроків, щоб підвищити безпеку
підключення та зменшити проблеми безпеки для ваших проектів
інтеграції OT/IT.
Порада 1. Змініть паролі за умовчанням для мережевих пристроїв
- Оскільки ваші застарілі системи підключаються через мережеві пристрої,
перше, що ви можете зробити, щоб підвищити безпеку підключення, це
замінити паролі за замовчуванням. Надійність стандартних паролів
зазвичай низька, і їх легко знайти в загальнодоступному посібнику
користувача. Не ризикуйте, якщо можете легко цьому запобігти.
Порада 2. Вимкніть невикористані,
але підключені порти та служби
- Коли ви розгортаєте мережевий пристрій, деякі невикористовувані
порти або непотрібні служби можуть відкрити двері для кіберзагроз у
вашій програмі. Ви можете вимкнути ці порти та служби, щоб
заблокувати доступні шляхи небажаного доступу.
Порада 3: перевірте джерело мікропрограми перед оновленням
- Якщо ваші мережеві пристрої потребують оновлення мікропрограми,
переконайтеся, що у вас є механізм для перевірки джерела
мікропрограми. Перевірка коду CRC є одним із способів переконатися,
що вбудоване програмне забезпечення, яке ви збираєтеся
використовувати, походить із оригінального джерела. Ще один спосіб
перевірити джерело мікропрограми – це безпечне завантаження. Це
функція, яка забезпечує цілісність вбудованого програмного
забезпечення, що працює на вашій платформі.
Порада 4. Використовуйте безпечні протоколи зв’язку
- Важливо використовувати захищений протокол (тобто підтримку TLS 1.2 у
HTTPS і SNMPv3) для підключених застарілих систем. Це може зменшити
ймовірність небажаного доступу під час керування мережевими
пристроями та покращити цілісність даних під час передачі даних.
Крім того, коли ви розгортаєте свої мережеві пристрої, вимкніть
незахищені протоколи, щоб мінімізувати ймовірність помилки вручну.
Порада 5: дозволяйте лише авторизованим користувачам доступ до
ваших пристроїв і мережі
- Розставте пріоритети для своїх важливих активів і перевірте
сегментацію мережі. Тоді ви матимете більш чітке уявлення про те,
які повноваження можна надати якому конкретному сегменту. Крім того,
розгорніть довірений список, наприклад лише дозволені IP-адреси, щоб
уникнути небажаного доступу до ваших застарілих систем. Інші
додаткові функції також доступні для обмеження небажаного доступу.
Наприклад, ви можете визначити певний формат протоколу або команду,
яка матиме доступ до ваших пристроїв і мережі.
Порада 6: Шифруйте важливі дані перед передачею
- У середовищах OT критичний витік даних може спричинити простой у роботі,
що вплине на ефективність роботи. Для підключених застарілих систем
ви можете шифрувати критично важливі дані під час передачі, щоб
підвищити конфіденційність даних і зменшити ймовірність негативного
впливу на вашу щоденну роботу.
Порада 7. Постійно контролюйте, чи ваші мережеві пристрої мають
бажаний рівень безпеки
- Коли ви підключаєте свої застарілі системи, вам слід визначити
заходи безпеки на основі вимог вашої програми, щоб ви могли легко
контролювати та керувати своїми мережевими пристроями. Коли системні
мережі запущені та працюють, постійно контролюйте, чи відповідає
стан безпеки ваших пристроїв вимогам, які ви визначили з самого
початку.
Порада 8. Періодично скануйте вразливі місця на наявність
потенційних загроз
- Важливо знати, з якими
потенційними загрозами стикаються ваші старі системи. Планування
періодичного сканування вразливостей дає вам краще уявлення про стан
безпеки всієї системи, допомагаючи вам у разі потреби вжити
необхідних заходів.
Порада 9. Виконайте
виправлення безпеки для ваших мережевих пристроїв, щоб зменшити
вразливість
- Ми всі знаємо, що оновлення
безпеки є важливим. Однак на польових майданчиках це не завжди так
просто. З точки зору бізнесу призупинення операцій для тестування та
виконання виправлень може призвести до величезних витрат. З іншого
боку, ризики та витрати також пов’язані з тим, що ви нічого не
робите. Більш стійкий підхід полягає в пошуку балансу посередині
шляхом виконання прийнятних пакетів виправлень безпеки для критично
важливих польових систем.
Порада 10. Використовуйте
віртуальні виправлення для відомої вразливості ваших застарілих
систем
- У певних ситуаціях
виправлення безпеки не завжди доступне. Крім того, деякі застарілі
системи не можуть виконувати виправлення. Для таких ситуацій
ефективним варіантом є віртуальне виправлення. Ви можете розгорнути
віртуальний патч у мережі, підключеній до ваших застарілих систем,
щоб усунути відомі вразливості та захистити пристрої від певних
експлойтів. Віртуальне виправлення також є хорошим способом
зарезервувати час буфера, поки система чекає наступного періоду
обслуговування для виправлення.
Візьміть до уваги наведені вище 10 порад під час підключення
застарілих систем — це може допомогти вам підвищити безпеку
підключення та мінімізувати загрози безпеці для ваших застарілих
систем. Moxa надає комплексний портфель продуктів безпеки для
безпеки вашого периферійного підключення. Відвідайте наш веб-сайт,
щоб дізнатися більше.
- Шукаєте безпечні рішення для з’єднання із захищеними краями,
відвідайте тут.
- Шукаєте промислові рішення IPS,
відвідайте тут.
|