
Dekodering van die NCSC se nuwe leiding vir SCADA wat deur die wolk aangebied word
INHOUDSOPGAWE:
Operasionele Tegnologie (OT) stelsels monitor en beheer outomaties prosesse en toerusting wat alles van kragsentrales tot slim hospitale bestuur. Mislukking of wanfunksionering in OT bied fisiese gevare afwesig van IT-stelsels. Veiligheid, betroubaarheid en beskikbaarheid word in eersgenoemde geprioritiseer.
Dis hoekom nuut Nasionale Kuberveiligheidsentrum (NCSC) leiding is wyd verwelkom. Dit is ontwerp om OT-organisasies te help om die geskiktheid van verskeie wolkplatforms te bepaal om hul toesighoudende beheer- en dataverkrygingstelsels (SCADA) te huisves.
Waarom SCADA-sekuriteit saak maak
Sekuriteitsoortredings in OT-stelsels soos SCADA kan lei tot die onbeskikbaarheid van die stelsel en die blootstelling van sensitiewe data. Inbrake op industriële aanlegte het gelei tot kragonderbrekings in Oekraïne, gestremde veiligheidstelsels by 'n petrochemiese aanleg, en vrygelaat onbehandelde riool in parke en riviere. Nie een van hierdie aanvalle het staatgemaak op inbraak in wolkgebaseerde kontroles nie. Maar deur hierdie stelsels na die wolk te migreer, kan organisasies onbewustelik hul teëstanders 'n ander pad gee om 'n kompromie aan te gaan.
Tog is wolkmigrasie toenemend wat OT-organisasies doen. Wolkgebaseerde SCADA-kontroles bied verskeie voordele, insluitend skaalbaarheid om aan veranderende behoeftes te voldoen, gesentraliseerde verifikasie vir verbeterde sekuriteit, DDoS-beskerming teen minder gesofistikeerde diensweieraanvalle en laer voorafkoste.
'n Voorlopige verwelkoming
Dit is waar die NCSC se leiding inkom. Dit beklemtoon 'n risiko-ingeligte benadering, met erkenning van die unieke sekuriteitsbehoeftes en nalatenskapbeperkings van verskillende organisasies. Die advies gee 'n uiteensetting van opsies wat wissel van 'n eenvoudige bystand/herstelopstelling om bestaande toepassings te koppel aan nuwe stelsels wat in die wolk loop, tot volle vervanging van daardie bestaande toepassings met wolkgebaseerde alternatiewe. Sodoende bied dit 'n hoëvlakoorsig van wat gedoen moet word om 'n wolk- of SaaS-oplossing veilig te gebruik.
Onafhanklike sekuriteitskundiges wat deur ISMS.online ondervra is, het die leiding geprys vir die aanbied van 'n nuttige padkaart, terwyl hulle aangevoer het dat verdere besonderhede oor spesifieke veiligheidsmaatreëls die raamwerk kan versterk.
"Die uitbreiding van die beste praktyke vir sekuriteitsargitektuur sal voordelig wees," sê Mayur Upadhyaya, uitvoerende hoof van APIContext, aan ISMS.online. "Dit kan leiding insluit oor netwerksegmenteringstrategieë wat vir SCADA-stelsels aangepas is, saam met robuuste identiteits- en toegangsbestuur (IAM) protokolle wat spesifiek ontwerp is vir hierdie kritieke beheeromgewings."
Upadhyaya voeg by: "Boonop kan 'n meer gedetailleerde ontleding van die kuberbedreiging-landskap spesifiek vir wolkgebaseerde SCADA risikobeoordelings verfyn en versagtingstrategieë inlig."
Bedryfsrisiko's
Die skuif van SCADA-gebaseerde toepassings na die wolk beloof om die infrastruktuur makliker te maak om te bestuur, terwyl die bokoste vir interne IT-spanne verminder word. Maar dit moet saam met sekuriteits- en operasionele bestuursrisiko's oorweeg word. Dit sluit in verhoogde risiko van data-oortredings, ongemagtigde toegang, uitbuiting van kwesbaarhede en ontkenning-van-diens-aanvalle, volgens GuidePoint Security se hoof van OT-sekuriteit, Pat Gillespie.
"Wolkoplossings sal latensie byvoeg wanneer toegang tot die toepassings, databasisse en dienste verkry word," vertel hy aan ISMS.online. Dit is 'n groot probleem omdat SCADA-kontroles en industriële toepassings op intydse data staatmaak.
Met veiligheid en beskikbaarheid as die hoogste prioriteite vir enige SCADA-stelsel, sal onbeplande onderbrekings in die wolkoplossing, die plaaslike ISP of enige ISP tussenin veroorsaak dat hierdie veiligheidstelsels misluk.
Sommige risiko's kan ten minste versag of bestuur word, volgens Gillespie.
"Daar is gebruiksgevalle waar SCADA-data in die wolk besighede kan help om beter besluite te neem deur SCADA-kontroles, IIoT-toestelle of industriële toepassings data na die wolk te laat stoot vir data-analise," verduidelik hy. "In die geval van hoë latensie of 'n onderbreking, moet die SCADA-kontroles egter hul prosesse en funksies kan uitvoer om veiligheid en beskikbaarheid te verseker."
Ander opsies sluit in AWS Buitepos, waar organisasies 'n AWS-instansie by 'n plaaslike fasiliteit kan aanbied, voeg Gillespie by.
'n Veilige migrasiepad
“Organisasies moet versigtig wees, hoewel hulle nie net hul huidige kwessies op die perseel na die wolk skuif nie. Hulle moet asemhaal en seker maak dat hulle die nuwe bedryfsmodel ten volle omhels,” sê Qualys EMEA-MD, Mat Middleton-Leal, aan ISMS.online.
’n Aantal uitdagings wat inherent is aan die wolk-gebaseerde migrasies van OT-kontroles kan ook die onoplettendes ontwrig, voeg Chris Doman, Cado Security CTO, by.
"Eerstens verskil wolkkundigheid van SCADA-kundigheid, so 'n saamgevoegde benadering is nodig," sê hy aan ISMS.online. "Tweedens, nalatenskap van SCADA-stelsels kan nie naatloos met wolk-inheemse oplossings integreer nie. Laastens kan die implementering van granulêre toegangskontroles moeilik wees in verouderde omgewings.”
Byvoorbeeld, tradisionele SCADA-stelsels word tipies op die perseel bedryf en beskerm deur tegnieke soos interne brandmure en luggaping te gebruik. Soos hierdie stelsels na die wolk beweeg, moet hulle van die begin af geïmplementeer word met volledige wolk-inheemse sekuriteitsmodelle.
"Dit kan problematies wees wanneer daardie toepassings en stelsels in omgewings loop wat nie dieselfde sekuriteitsmodelle benodig wat rondom wolkontplooiings in plek is nie," verduidelik Qualys se Middleton-Leal.
Om kritieke infrastruktuur na die wolk te verskuif verg ook noukeurige beplanning vanweë die gedeelde verantwoordelikheidsmodel tussen wolkverskaffers en kliënte. Terwyl die wolkverskaffer die infrastruktuur beveilig, is kliënte verantwoordelik vir datasekuriteit en -konfigurasie.
Die beveiliging van kritieke infrastruktuur in die wolk vereis 'n veelsydige benadering, volgens Cado Security se Doman.
Samewerking tussen wolkverskaffers, regeringsagentskappe en kritieke infrastruktuuroperateurs, investering in wolkkundigheid binne kritieke infrastruktuurorganisasies, en modernisering van verouderde SCADA-stelsels om integrasie met wolkoplossings te verbeter, word alles vereis, voer hy aan.
Voldoen aan Standaarde
ISO-standaarde soos ISO 27001 (Inligtingsekuriteitsbestuur) en IEC 62443 (Sekuriteit vir industriële outomatisering en beheerstelsels) bied waardevolle raamwerke vir die bestuur van OT-risiko in die wolk, volgens APIContext se Upadhyaya.
"Hierdie standaarde bied gestruktureerde benaderings tot sekuriteit, wat riglyne uiteensit vir die vestiging en instandhouding van 'n robuuste sekuriteitsbestuurstelsel," verduidelik Upadhyaya.
“Dit sluit risikobepaling en versagtingstrategieë in wat spesifiek aanpasbaar is vir beide wolk- en OT-omgewings. Organisasies moet egter onthou dat ISO-standaarde aanpasbare raamwerke bied, nie 'n een-grootte-pas-almal-oplossing nie.”
Die sukses van organisasies om hul SCADA-oplossings veilig na die wolk te migreer, kan moontlik afhang van hul vermoë om sulke riglyne aan te pas by hul unieke vereistes.