Корпоративните и технологичните мрежи са по-тънки, отколкото си мислите
Тази интеграция обаче въвежда и нови предизвикателства пред индустриалните мрежи, с които специалистите на ICS не са се сблъсквали досега. Появяват се различни нови заплахи, премахването на които понякога е много трудно.
Индустриалните мрежи работят напълно различно от корпоративните. Следователно на пръв поглед прости мерки за сигурност, които се използват постоянно в корпоративните мрежи, не винаги могат да се прилагат в индустрията.
Например инсталирането на актуализации в корпоративна среда се извършва автоматично и практически не поражда въпроси. В индустриалните мрежи инсталирането на актуализация може да доведе до спиране на производствения процес. Поради тази причина специалистите на ICS много често предпочитат изобщо да не актуализират софтуера. Простото сканиране за уязвимости разкрива много интересни неща: от стандартни потребителски имена и пароли до липсващи актуализации на операционната система. Съответно вирусът или нападателят ще имат много повече възможности за проникване, разпространение и т.н.
Човешкият фактор е друга сериозна заплаха. Често индустриалната мрежа може да използва същите сървъри и мрежово оборудване като корпоративната. Цялото това оборудване изисква поддръжка и настройка. Предвид факта, че промишлените цехове на дадено предприятие могат да бъдат разпръснати на голяма площ и е много трудно да ги заобиколите пеша, системните и мрежовите администратори активно използват отдалечен достъп.
Ако корпоративната и индустриалната мрежи са разделени, тогава се създават пасажи в настройките на защитната стена, за да се позволи на софтуера за отдалечено администриране да работи безпроблемно.
Тъй като администраторите в повечето случаи са в корпоративната мрежа и активно използват Интернет (включително електронна поща) от своите компютри, се създава сериозна заплаха за индустриалната мрежа. Например, нападател, който прониква в корпоративна мрежа и установи нейната топология, може да компрометира компютъра на администратора и да го използва като шлюз за достъп до индустриалната мрежа. Този сценарий беше потвърден от нашия одит.
В края на 2015 г. ръководството на нашата компания си постави задачата да извърши одит на сигурността на информацията, включително тест за проникване на корпоративни и индустриални мрежи. Одиторите използваха техниките BlackBox и GreyBox, за да се опитат да проникнат в корпоративната мрежа от Интернет, а след това и към технологичната. Одитът разкри недостатъци в организацията на мрежовата защита, което доведе до естествен и печален резултат: одиторите успяха да навлязат в корпоративния и технологичния сегмент.
Основните открити заплахи се дължат на факта, че корпоративните и индустриалните мрежи не са имали ясно разделение. Идентифицирани са различни варианти за разделяне на мрежата. Това може да са някои комуникационни станции с две мрежови карти ...
