OT security szuperprojekt: megteremtjük a hatékony tesztelés alapjait
Bak Bernadett
2021.06.24
Felemelő élmény, amikor az ember egy adott területen tengernyi tapasztalatot szerez. Ennél már csak az tölthet el jobb érzéssel bárkit, amikor e tapasztalatokat megoszthatja másokkal is, hogy segítse őket a munkájukban. Mi is így vagyunk ezzel, nap mint nap igyekszünk átadni a megszerzett tudást megbízóinknak, többek között az IT biztonság terén. Ám ez egy meglehetősen képlékeny és folyamatosan változó terület, így nem elég, ha ülünk a babérjainkon és a megszerzett tudáson: nekünk is fejlődni kell, hogy az átadott tudás naprakész lehessen. Ezúttal egy olyan fejlődési ponthoz érkeztünk, amely valódi mérföldkő lesz majd a hazai IT security területen. Belevágtunk ugyanis egy szuperprojektbe, méghozzá az ipari biztonság területén.
OT security labor: megnövekedett igényekre reagálunk
Az említett szuperprojekt nem más, mint egy valós környezetet szimuláló ipari környezet kialakítása, amelyben a robotkaroktól a SCADA rendszerig minden megtalálható és minden működőképes. S bár elsőre talán furcsának tűnhet, hogy valaki pusztán tesztelési célból építsen ki egy működőképes ipari, gyári környezetet, az ok nagyon is kézzelfogható: az ipari létesítmények elleni támadások megnövekedett száma. Ráadásul egy gyári környezetben nem feltétlenül állják meg a helyüket a hagyományos IT biztonsági megoldások. Az OT security esetében összetett folyamatokat kell modellezni és egyszerre több terület szakértőinek kell hathatós megoldást kidolgoznia, közösen.
Bár mi sem most kezdtünk el foglalkozni az ipari biztonsággal, mostanra rengeteg tapasztalatra tettünk szert, s egyértelművé vált, hogy még olyan ipari szereplőknél is van mit fejleszteni, ahol amúgy már megbízható biztonsági megoldásokat alkalmaznak. Emellett szeretnénk lehetővé tenni, hogy a gyártók által újonnan piacra dobott technológiákat is ki lehessen próbálni, mielőtt azok az ügyfelekhez kerülnek. Erre pedig a legkézenfekvőbb megoldás egy saját labor felállítása.
Tesztelés hiteles monitoring alapanyaggal
Éles környezetben meglehetősen nehéz és kockázatos tesztelni az OT security monitoring megoldásokat. Ez adódik többek között az ipari környezetek feszített munkarendjéből, még akkor is, ha amúgy a cégnél van olyan IT hálózat, amelyen akár tesztelhetne is. Sokkal hatékonyabb egy olyan OT-s minihálózat, amelyen hiteles hálózati adatokkal, megfelelő monitoring alapanyaggal tudunk mindent kipróbálni, majd prezentálni az ügyfél felé.
Egy ilyen környezetben a piacon megjelenő eszközöket hiteles, egységes tesztmetódussal lehet vizsgálni, így láthatóvá válnak a különbségek, előnyök, hátrányok. Be tudjuk azonosítani azt is, melyek azok a funkciók, amelyekre esetleg csak papíron képes az adott rendszer, de a valóságban nem. Emellett egy ilyen ipari hálózaton megfelelő módon lehet szimulálni a támadásokat is, ami fontos, hiszen a támadási módokat is modellezni kell ahhoz, hogy a megfelelő védelmet kialakíthassuk.
Ugyanígy a napi munkát és a kommunikációt is szimulálni kell, hogy lássuk, pontosan mi zajlik az adott ipari hálózaton belül. Reprodukálhatunk a valós környezetben is meglévő módosításokat – például egy programfutás újraindulását, eszközcserét stb. -, s végül az sem elhanyagolható szempont, hogy egy ilyen rendszer oktatási és prezentációs célokra is kiváló. Ráadásul – bár a gyártás önmagában is fontos terület – akár a közműszolgáltatók esetében is hasznosítható ez a megoldás, sőt, tulajdonképpen bárhol, ahol speciális protokollok és architektúrák vannak (géptermek stb.). Éppen ezért az a célunk, hogy gyakorlatilag bármilyen kiberfizikai hálózatot szimulálhassunk.
Csak a példa kedvéért, a felépítés nagyjából úgy néz ki, hogy adott két darab logikai vezérlő, (PLC), irányított robotkarok, érzékelők és visszajelzők, amelyek csatlakoznak egy SCADA rendszerhez. Utóbbi alapja az ipari irányítási, monitoring és felügyeleti szoftver, amely alapelem az ipari szegmensben. Nyilvánvalóan vannak még hálózati eszközök (switch, router a távoli hozzáféréshez stb.), hogy a többi teszt hálózatunktól is elszeparált ipari hálózatot működtethessünk.Fontos, hogy olyan környezetet szeretnénk, ami hordozható, így adtunk hozzá 4G router plusz egy laptop, amelynek segítségével az OT Security Monitoring eszközeinket tudjuk futtatni és monitorozni ezt a mini hálózatot. Emellett szükséges még egy laptop, amivel a támadásokat lehet szimulálni, azaz pentesztelni, offenzív folyamatokat gyakorolni az ipari környezetekre.
A fentiek közül a PLC-k vezérelte robotkarok talán a leglátványosabbak, de akadnak azért még itt kijelzők, érzékelők (fotocella, súlyérzékelő, mágnesérzékelő stb.) is szép számmal, hiszen szükséges alkalmazkodnunk a szabályozási rendszerek sajátosságaihoz is: a legegyszerűbb példa, hogy kell amikor az egyik robotkar olyan helyre tenne át egy tárgyat, ahol érzékelőnk szerint már van egy másik. A leghétköznapibb esetekre is gondolni kell, mert ezek sokszor váratlan negatív események elindítói lehetnek.
A csapat
Végül álljon itt néhány információ arról is, miként épül fel a fentiek mögött álló csapat, amelybe egyébként önkéntes alapon is jelentkezhetnek azok a kollégák, akinek felkeltette az érdeklődését a labor.
A téma gazdája az EURO ONE-on belül Hunyadi Péter, aki egy meglehetősen embert próbáló és összetett szerepkört vállalt ezzel magára, hiszen több „tudományág” összpontosul egy kézben. Természetesen ez nem azt jelenti, hogy innentől mindent ő csinál majd egy személyben, hiszen komoly csapatok állnak mögötte (OT szakértők, security mérnök csapat, SIEM-SOAR mérnök csapat, kibervédelmi tanácsadó (CDA) csapat, GRC csapat, IDM és access management menedzsment csapat), de egy ilyen projekt esetében nagyon fontos, hogy legyen valaki felül, aki az egészet átlátja, irányítja.
Úgy gondoljuk, hogy Péter és az összeállt csapatok erre a feladatra tökéletesen alkalmasak, és a csapatmunkának köszönhetően ez a gigaprojekt egy működőképes és számos cég számára pótolhatatlan megoldássá állhat össze. Peti itt a blogban is beszámol majd ezentúl a labor fejlődéséről, s természetesen a gyakorlati tapasztalatokról is.
Iratkozz fel youtube csatornánkra, hogy elsőként értesülj Hunyadi Péter bemutatkozásáról.
Az InfoSec Akadémián ipari biztonság témakörben is rengeteg tartalmat és újdonságot találsz.
Kapcsolódó bejegyzések
Az ipari biztonság jövője, avagy Zero Trust OT környezetben
Hunyadi Péter
2021.12.09
A Zero Trust megközelítés alapvető az ipari rendszerek biztonságában. Ismerje meg, hogyan csökkenthető a támadási felület OT környezetekben!
Az incidenskezelés fő eszközei: a SIEM és a SOAR rendszerek
Lesku Gergely
2024.07.18
SIEM és SOAR rendszerek segítik az incidensek gyors kezelését, automatizációval támogatva a NIS2 megfelelést és a kiberbiztonsági események elhárítását.
Biztonsági szolgáltatások kiberfizikai rendszerekhez
Hunyadi Péter
2024.08.09
Biztonsági megoldások kiberfizikai rendszerekhez, beleértve az OT védelmet, incidenskezelést és a NIS2 követelmények teljesítésének támogatását.
Laborozunk 1.0: új tesztkörnyezettel az ipari kibertámadások ellen
Hunyadi Péter
2021.09.15
Laborunk ipari kibertámadások ellen nyújt valós szimulációs lehetőséget. OT biztonsági rendszerek, SIEM integráció és Purdue-modell megoldások egy helyen.