Светорезерв - ИТ решения

Данные на грани: обычное слепое пятно в промышленной безопасности

Данные на грани: обычное слепое пятно в промышленной безопасности

Данные все чаще передаются через враждебную территорию или хранятся на границе сети. Важные рабочие данные или интеллектуальная собственность должны быть защищены в промышленных, операционных технологиях и настройках Интернета вещей.

Информация, ранее хранившаяся в проприетарных системах «за брандмауэром», гораздо ценнее, когда она передается и хранится там, где ее можно проанализировать. Часто это означает использование общедоступных облачных сервисов и сетей доставки контента.

Есть распространенные ошибки, которые могут поставить под угрозу безопасность данных во всех этих случаях, но большинства можно избежать.

Помимо паролей

Отчеты об обработке инцидентов показали, что сбор учетных данных - это тактика, часто используемая для злонамеренного получения доступа к корпоративным системам.

Широко распространено мнение, что промышленные среды невосприимчивы к сбору учетных данных из-за межсетевых экранов, воздушных зазоров и проприетарных вычислительных сред. Коммерческие вычислительные системы, широко распространенные в промышленных средах, сложно обновлять, что делает их уязвимыми для атак со сбором учетных данных.

Комбинации имени пользователя и пароля любой надежности не должны считаться безопасными без многофакторной аутентификации (MFA). К сожалению, не все МИД созданы равными. Старые формы, такие как аппаратные токены, трудно подготовить и громоздко использовать в современных средах с несколькими приложениями. Многие организации, в том числе банки, обычно используют текстовые SMS-сообщения для отправки одноразовых кодов доступа только для того, чтобы обнаружить их слабость для пользователей Android, которых обманом заставили загрузить вредоносное ПО, которое перенаправляло SMS-сообщения злоумышленникам. Эти шаги теперь не рекомендуются Национальным институтом стандартов и технологий (NIST) как рекомендуемая методология MFA.

Основные проблемы связаны с использованием стандартной (также известной как статическая) аутентификации по имени пользователя и паролю. Злоумышленники находят легкие цели в камерах видеонаблюдения и других устройствах IoT и используют эти уязвимые устройства для выполнения атак типа «отказ в обслуживании» (DoS) против основных интернет-сервисов. В ответ Калифорния приняла первоначальный закон о безопасности Интернета вещей в качестве прямого ответа на атаку ботнета Mirai в 2016 году.

Урок? Для защиты от атак на слабые статические учетные данные требуется строгая проверка подлинности. Как минимум, должна быть возможность изменить статические учетные данные, такие как имена пользователей / пароли по умолчанию, включенные в устройство IoT в момент покупки. Последние версии мер безопасности IoT, включая предложенный британский законопроект о безопасности IoT и австралийский закон о безопасности IoT, идут намного дальше. Они предлагают механизмы аутентификации, которые более динамичны, чем имена пользователей / пароли, а также другие важные соображения безопасности для поставщиков устройств IoT.

Что касается управления идентификацией и доступом (IAM), необходимым изменением является доступ к VPN в промышленных условиях. VPN со слабыми учетными данными обычно являются «сверхпривилегированными», и доступ к ним волей-неволей предоставляется подрядчикам. Принцип «минимальных привилегий» - важнейшая концепция кибербезопасности.

Не каждый должен иметь полные права администратора или постоянные привилегии; лучше всего создавать роли IAM с минимальными привилегиями, необходимыми для выполнения работы, а затем отзывать их по завершении. Это снижает потенциальный ущерб, который злоумышленник может вызвать в случае кражи учетных данных. Пользователи VPN также должны рассмотреть возможность использования учетных данных только с необходимыми привилегиями, чтобы гарантировать, что эти сети используют сертификаты клиентов для аутентификации, а не просто комбинации имени пользователя и пароля.

Обеспечение безопасности также требует тщательного управления ключами SSH - а это большая редкость. Многие из них не имеют срока годности и часто хранятся в незащищенных местах. Рассмотрите возможность использования коммерческого инструмента управления SSH или Secure Shell, который может заключать ключи в сертификат с политиками, которые могут храниться в безопасных вычислительных средах.

По мере роста популярности общедоступных облачных сервисов дисциплина безопасности должна быть в центре внимания. Ошибочно полагать, что данные и операционные системы защищены по умолчанию. Кроме того, рассмотрите возможность шифрования данных как при хранении, так и при передаче. Используя сертификаты шифрования инфраструктуры открытого ключа, можно безопасно хранить данные. Взаимная аутентификация по протоколу Transport Layer Security обеспечивает безопасность систем и сетей, которые их соединяют, путем создания зашифрованного туннеля, через который проходит обмен данными.

МОЖЕТ и не может

Данные сети контроллеров (CAN) часто перемещаются на многочисленные пограничные серверы для эффективного и быстрого распределения. Этот метод использовался в течение многих лет, повышая безопасность в форме распределенной защиты от отказа в обслуживании. Обратной стороной является меньший контроль над данными.

Сообщается, что Intel пострадала от утечки более 20 ГБ исходного кода и проприетарных данных. Согласно сообщениям, злоумышленники получали данные через CAN, который они использовали для повышения производительности веб-приложений. Данные передаются с серверов на CAN, что делает распределение данных более эффективным. Проблемы конфигурации безопасности могли быть основной причиной взлома Intel.

К сожалению, многие организации могут не осознавать последствия использования CAN для безопасности. Если данные считаются безопасными, потому что они защищены брандмауэром, но реплицируются за пределы корпоративной среды в целях повышения производительности, последствия для безопасности велики. Опять же, ошибочно полагать, что данные и операционные системы защищены по умолчанию. К счастью, эти проблемы можно смягчить за счет лучших конфигураций безопасности и шифрования данных.

IP хранится на почтовых серверах

В 2014 году компания Sony пострадала от взлома, в ходе которого были украдены сотни терабайт данных. В 2016 году серверы Национального комитета Демократической партии были взломаны, и были украдены личные электронные письма, исследования оппозиции и корреспонденция кампании. Оба нарушения привели к тому, что WikiLeaks опубликовал конфиденциальные электронные письма. Генеральный директор Sony был уволен; взлом DNC изменил ход выборов.

Промышленные компании, где передаются операционные данные, также уязвимы. Шифрование электронной почты с использованием сертификатов S / MIME решает множество проблем. Управление сертификатами и автоматизация решают проблемы, ранее связанные с шифрованием электронной почты S / SMIME, включая подготовку устройств и депонирование сертификатов в случае потери сертификата.

Наряду с шифрованием, подпись электронной почты является важным методом аутентификации сообщений, который может иметь большое преимущество в защите от социальной инженерии. Кто-то, выдающий себя за коллегу, у которого нет сертификата S / MIME, легко выделится из правильно подписанного S / MIME электронного письма.

Нулевое доверие

NIST недавно опубликовал окончательную версию своего руководства по архитектуре Zero Trust. Организации, занимающиеся производственными и эксплуатационными технологиями, поставщики Интернета вещей и потребители должны соблюдать принципы руководства. Поскольку использование общедоступного облака растет вместе с перемещением ресурсов за пределы традиционных брандмауэров, лучше всего рассматривать каждый цифровой актив как находящийся во враждебной сети. Это особенно важно при удаленной работе.

Все упомянутые выше утечки данных имеют общую проблему: слишком большое доверие.

Модель Zero Trust предполагает, что каждый цифровой актив должен рассматриваться как его собственная граница сети с собственной идентификационной информацией, которую необходимо защищать. Здесь необходимо сочетание технологий, от современной инфраструктуры IAM и открытых ключей до предоставления и управления идентификационными данными. А затем к механизмам политик, которые делают правила авторизации масштабируемыми.

Zero Trust подчеркивает принцип наименьших привилегий, который жизненно важен для промышленных и операционных технологий. Пришло время отказаться от традиционных представлений о средах, скрытых за брандмауэром.

В оперативной среде атаки показали, что концепции воздушного зазора и «безопасность через неизвестность» являются мифами. Перед злоумышленниками крайне важно определить, доступны ли системы общедоступному Интернету.

Есть ли в вашей операционной сети контроллеры, которые настраиваются через встроенный веб-сервер? Доступен ли этот веб-сервер к общедоступному Интернету со слабым паролем?

В таком случае требуется инвентаризация цифровых активов. Где драгоценности в короне компании и как они защищены? Опять же, не предполагайте, что они защищены по умолчанию. Слабые учетные данные, неправильная конфигурация безопасности и незнание того, что находится под угрозой, - это белые пятна, которые можно исправить.

Поделиться:

Вопросы, отзывы, комментарии (0)

Нет комментариев

Добавить комментарий

Пожалуйста, оцените!

Читайте также:

Светильники UVC от Hubbell

ЭЛЕКТРОПОДРЯДЧИК: ТМ-30 исполняется пять лет

Ассоциация управления освещением предлагает два бесплатных вебинара и издает новый курс

Варианты акустической панели и поверхностный настенный монтаж для A-Light's Atlas

Дэвид Венхаус из Хаббелла о настраиваемом белом освещении

В исследовании Министерства энергетики США изучаются возрастные изменения эффективности и оптических характеристик светодиодных устройств

Кристина Халфпенни из DLC о раскрытии максимальной мощности управления освещением

Что нужно знать о драйверах светодиодов

Новости UV-C SSL: Luminus добавляет светодиоды, дебютирует модуль ProPhotonix

Исследование GFZ показало, что светодиодные уличные фонари мало влияют на свечение неба

Открытый SSL Mulberry Commons преобразует общественное пространство в ночное время

Немецкий супермаркет испытывает очистители воздуха и дезинфекционные боксы с ультрафиолетовым излучением для борьбы с коронавирусом

Получите более четкое представление о 2021 году в календаре

Производитель планшетов использует Li-Fi

Освещение BIOS и Lumileds сотрудничают для освещения, ориентированного на человека

Здания с нулевым потреблением энергии в США

Открытие аэропорта Берлин-Бранденбург

Члены ЕС проголосовали за изменения в правилах экологического дизайна освещения и маркировки энергии

УФ-дезинфекция в Хитроу

Германия запретит прожекторы в сумерках

Новые янтарные светодиодные парковочные / сигнальные огни United Pacific добавляют современный стиль, функциональность для классических бронкосов

Курвано компании Amerlux помещает «арку» в архитектурное освещение

Гибрид: объекты для будущего дома

Новый взгляд на акустические производственные испытания

Партнер по программному обеспечению GuardKnox, NXP и Green Hills разрабатывает передовую безопасную автомобильную платформу для следующего поколения а

Быстрые зарядные устройства с технологией GaN

Алувайн Маньонга назван SLL Young Lighter 2020

Повышение производительности памяти в эпоху DDR5: введение в режимы обучения DDR

В условиях бума критически важных приложений инженерия надежности важнее, чем когда-либо

Рынок автомобильного освещения: среднегодовой темп роста 6,7% с 2019 по 2026 год

Источники света УФ-С от Signify инактивируют вирус, вызывающий COVID-19

Офис Signify по взаимодействию с клиентами помогает предприятиям поддерживать здоровье и безопасность сотрудников

Гуджарат подписал меморандум о взаимопонимании с Индийской корпорацией развития туризма

Производство электроэнергии от дождя до света 100 светодиодных фонарей

Обзор рынка: к 2026 году мировой рынок светодиодов достигнет 82 миллиардов долларов

Исследование AEC: 67% ожидаемого снижения доходов из-за пандемии

Продукты УФ-С от Signify

Квантовые транзисторы: потенциальная альтернатива гибкой электронике?

Проблемы определения характеристик полупроводников с широкой запрещенной зоной

Интегрированная фотоника может решить проблемы мощности и скорости массивных данных

Может ли RFID стать решением безбатарейного Интернета вещей? Рука так думает

Петиция производителей микросхем об изменении языка в законопроекте о финансировании для включения критически важных устройств

Термоэлектрические охладители: маломощный, экологически чистый вариант конструкции для контроля температуры

Рост возможностей мини-светодиодов усиливает конкуренцию за патенты

Медицинские источники питания - особая лига

Общие сведения о клеммных колодках для безопасного подключения

Подробнее о наушниках с шумоподавлением: адаптивные контроллеры в активных системах шумоподавления

Как прошло первое виртуальное шоу Electronica?

Могут ли мировые торговые трения задушить индустрию чипов «лихорадку слияний и поглощений»?

Решения безопасности IC: построить или купить?

Подписка на новости

Светодиодные лампы Е27

Светодиодные лампы Е40

Подшипники

Люки