Как защитить промышленные сети от огромного количества различных кибератак?

Мало того, что очень сложно получить полный контроль над трафиком промышленной сети, еще труднее вычислить момент, когда что-то может пойти не так и нанести потенциальный вред всей системе. Понимание этого механизма абсолютно необходимо для предотвращения беспрепятственного распространения «червей» и вирусов по всей сети.

Промышленные коммутаторы 3 уровня производства Westermo оснащены эффективными средствами защиты критически важных активов в системе промышленной автоматизации посредством сегрегации сети в соответствии с концепцией зоны безопасности IEC-62443.

IEC-62443 — стандарт кибербезопасности, разработанный специально для промышленных сетей. Операционная система WeOS Westermo позволяет легко поднять управление трафиком сети на совершенно новый уровень. Так, с помощью децентрализации фильтрации нежелательный трафик выявляется и блокируется гораздо раньше, чем при централизованном сценарии фильтрации. Благодаря WeOS можно не только вести журнал логов, но и получать мгновенные уведомления об опасной активности с возможностью автоматической отправки в центр управления для принятия превентирующих действий.

Обнаружение вторжений (или IDS) — это целая методика для обеспечения безопасности сети. В отличие от сетевой системы обнаружения вторжений (NIDS), которая контролирует только ограниченный набор индикаторов, IDS интегрируется в общую архитектуру системы обнаружения.

Важным компонентом в архитектуре системы обнаружения является централизованный мониторинг, который собирает и анализирует информацию о возможных вторжениях — управление информационной безопасностью (SIM) и управление событиями безопасности (SEM).

Промышленные коммутаторы на базе WeOS встраиваются в архитектуру обнаружения вторжений путем перенаправления событий, которые указывают на вторжение в SEM, например;

• Потеря неизвестных пакетов или пакетов из черного списка;

• Неудачные попытки входа в систему.

В крупных корпоративных сетях практикуют создание нескольких подсетей, отделяющих рабочую сеть от важных серверов, или даже создают сегменты сети для разных географических объектов, чтобы снизить затраты на обслуживание, увеличить доступность и ускорить устранение неполадок. Вместе с тем, внутреннюю сеть рассматривают как единую доверенную зону, где все компоненты свободно обмениваются информацией друг с другом. Чтобы снизить риск распространения «инфекции», сетевые фильтры часто настраивают на хостах, а не фильтруют трафик между сетевыми сегментами.

Благодаря маршрутизаторам с WeOS, Вы можете настроить сетевые фильтры на границах сегментов сети, создавая зоны безопасности с дополнительными уровнями защиты и обнаружения.

Защита от кибератак немыслима без логических и физических границ безопасности. Если злоумышленник получает доступ к кибер-активам, эти активы следует рассматривать как скомпрометированные, поэтому их защита очень важна. Если два устройства в разных физических зонах безопасности обмениваются информацией, такая связь должна быть надежно защищена.

Защита может носить как физический характер: защита средств коммуникации (кабелей, оптоволокна) стальными оплетками, так и логический: создание VPN с использованием криптографического шифрования.

С помощью промышленного оборудования связи на базе WeOS можно создавать VPN для безопасной передачи данных между двумя точками, которые могут быть либо двумя устройствами WeOS либо одним устройством WeOS и другим устройством или компьютером.

Идентификация и защита внешних логических и физических границ сети очень важна для безопасности. Чтобы удостовериться в том, что доступ дан только авторизованному персоналу, используют следующие ограничители физического доступа: кодовые замки и ключи. Аналогичным образом используют брандмауэр, соединяющий локальную сеть с внешней сетью (офисная сеть и выход в Интернет) или другой офисной сетью.

Такие элементы управления называются защитой периметра потому, что они создают физические и логические оболочки, которые защищают то, что находится в их границах.

Защита периметра обычно достаточно проста в реализации для большинства организаций, поскольку поток данных, получаемых извне, ограничен.

Маскировка устройств злоумышленника под устройства, которые уже существуют в сети, называется спуфингом. Самая распространенная спуфинг-атака – это «злоумышленник в середине», она заключается в том, что злоумышленнику удается перехватить трафик между двумя или более устройствами в сети и остаться незамеченным. Такое нарушение безопасности становится возможным из-за внутренних недостатков в спецификациях стека IP.

Одни из способов борьбы со спуфинг-атаками на устройствах WeOS является включение аутентификации для портов, поддерживающих стандарт 802.1x на основе протокола RADIUS.

Компания 2TEST является официальным дистрибьютором WESTERMO и осуществляет поставки и работы по настройке и установке всего промышленного сетевого оборудования производителя на объектах заказчика, с обучением и технической поддержкой пользователей. Вы можете заказать в 2TEST промышленные коммутаторы, маршрутизаторы и консольные серверы, работающие под управлением ОС WeOS, чтобы обеспечить сетевую безопасность Вашей организации на высшем уровне.

---

Westermo — один из мировых лидеров по производству защищенных управляемых и неуправляемых коммутаторов Ethernet, маршрутизаторов, оптических модемов и медиаконвертеров, SHDSL-модемов и другого сетевого оборудования для построения высоконадежных промышленных систем связи в жестких условиях эксплуатации. Решения Westermo применяются по всему миру на железнодорожном транспорте, в газовой и нефтяной промышленности, энергетических предприятиях, в системах безопасности, на водных объектах, и многих других секторах экономики.

2TEST — российский производитель и поставщик решений в области ИТ, телекоммуникаций и промышленной автоматизации, более 25 лет работы на рынке. Компания 2TEST выпускает и поставляет промышленное оборудование связи, устойчивое к жестким условиям эксплуатации, для построения высоконадежных промышленных систем связи.

2TEST уже многие годы является официальным дистрибьютором Westermo на территории России и стран СНГ по поставке промышленного сетевого оборудования: Ethernet-модемов, роутеров, PoE-коммутаторов, медиаконвертеров и преобразователей протоколов.