Завод Светорезерв - производство светотехники, электротехники и металлоконструкций в России

Данные на грани: обычное слепое пятно в промышленной безопасности

Данные на грани: обычное слепое пятно в промышленной безопасности

Данные все чаще передаются через враждебную территорию или хранятся на границе сети. Важные рабочие данные или интеллектуальная собственность должны быть защищены в промышленных, операционных технологиях и настройках Интернета вещей.

Информация, ранее хранившаяся в проприетарных системах «за брандмауэром», гораздо ценнее, когда она передается и хранится там, где ее можно проанализировать. Часто это означает использование общедоступных облачных сервисов и сетей доставки контента.

Есть распространенные ошибки, которые могут поставить под угрозу безопасность данных во всех этих случаях, но большинства можно избежать.

Помимо паролей

Отчеты об обработке инцидентов показали, что сбор учетных данных - это тактика, часто используемая для злонамеренного получения доступа к корпоративным системам.

Широко распространено мнение, что промышленные среды невосприимчивы к сбору учетных данных из-за межсетевых экранов, воздушных зазоров и проприетарных вычислительных сред. Коммерческие вычислительные системы, широко распространенные в промышленных средах, сложно обновлять, что делает их уязвимыми для атак со сбором учетных данных.

Комбинации имени пользователя и пароля любой надежности не должны считаться безопасными без многофакторной аутентификации (MFA). К сожалению, не все МИД созданы равными. Старые формы, такие как аппаратные токены, трудно подготовить и громоздко использовать в современных средах с несколькими приложениями. Многие организации, в том числе банки, обычно используют текстовые SMS-сообщения для отправки одноразовых кодов доступа только для того, чтобы обнаружить их слабость для пользователей Android, которых обманом заставили загрузить вредоносное ПО, которое перенаправляло SMS-сообщения злоумышленникам. Эти шаги теперь не рекомендуются Национальным институтом стандартов и технологий (NIST) как рекомендуемая методология MFA.

Основные проблемы связаны с использованием стандартной (также известной как статическая) аутентификации по имени пользователя и паролю. Злоумышленники находят легкие цели в камерах видеонаблюдения и других устройствах IoT и используют эти уязвимые устройства для выполнения атак типа «отказ в обслуживании» (DoS) против основных интернет-сервисов. В ответ Калифорния приняла первоначальный закон о безопасности Интернета вещей в качестве прямого ответа на атаку ботнета Mirai в 2016 году.

Урок? Для защиты от атак на слабые статические учетные данные требуется строгая проверка подлинности. Как минимум, должна быть возможность изменить статические учетные данные, такие как имена пользователей / пароли по умолчанию, включенные в устройство IoT в момент покупки. Последние версии мер безопасности IoT, включая предложенный британский законопроект о безопасности IoT и австралийский закон о безопасности IoT, идут намного дальше. Они предлагают механизмы аутентификации, которые более динамичны, чем имена пользователей / пароли, а также другие важные соображения безопасности для поставщиков устройств IoT.

Что касается управления идентификацией и доступом (IAM), необходимым изменением является доступ к VPN в промышленных условиях. VPN со слабыми учетными данными обычно являются «сверхпривилегированными», и доступ к ним волей-неволей предоставляется подрядчикам. Принцип «минимальных привилегий» - важнейшая концепция кибербезопасности.

Не каждый должен иметь полные права администратора или постоянные привилегии; лучше всего создавать роли IAM с минимальными привилегиями, необходимыми для выполнения работы, а затем отзывать их по завершении. Это снижает потенциальный ущерб, который злоумышленник может вызвать в случае кражи учетных данных. Пользователи VPN также должны рассмотреть возможность использования учетных данных только с необходимыми привилегиями, чтобы гарантировать, что эти сети используют сертификаты клиентов для аутентификации, а не просто комбинации имени пользователя и пароля.

Обеспечение безопасности также требует тщательного управления ключами SSH - а это большая редкость. Многие из них не имеют срока годности и часто хранятся в незащищенных местах. Рассмотрите возможность использования коммерческого инструмента управления SSH или Secure Shell, который может заключать ключи в сертификат с политиками, которые могут храниться в безопасных вычислительных средах.

По мере роста популярности общедоступных облачных сервисов дисциплина безопасности должна быть в центре внимания. Ошибочно полагать, что данные и операционные системы защищены по умолчанию. Кроме того, рассмотрите возможность шифрования данных как при хранении, так и при передаче. Используя сертификаты шифрования инфраструктуры открытого ключа, можно безопасно хранить данные. Взаимная аутентификация по протоколу Transport Layer Security обеспечивает безопасность систем и сетей, которые их соединяют, путем создания зашифрованного туннеля, через который проходит обмен данными.

МОЖЕТ и не может

Данные сети контроллеров (CAN) часто перемещаются на многочисленные пограничные серверы для эффективного и быстрого распределения. Этот метод использовался в течение многих лет, повышая безопасность в форме распределенной защиты от отказа в обслуживании. Обратной стороной является меньший контроль над данными.

Сообщается, что Intel пострадала от утечки более 20 ГБ исходного кода и проприетарных данных. Согласно сообщениям, злоумышленники получали данные через CAN, который они использовали для повышения производительности веб-приложений. Данные передаются с серверов на CAN, что делает распределение данных более эффективным. Проблемы конфигурации безопасности могли быть основной причиной взлома Intel.

К сожалению, многие организации могут не осознавать последствия использования CAN для безопасности. Если данные считаются безопасными, потому что они защищены брандмауэром, но реплицируются за пределы корпоративной среды в целях повышения производительности, последствия для безопасности велики. Опять же, ошибочно полагать, что данные и операционные системы защищены по умолчанию. К счастью, эти проблемы можно смягчить за счет лучших конфигураций безопасности и шифрования данных.

IP хранится на почтовых серверах

В 2014 году компания Sony пострадала от взлома, в ходе которого были украдены сотни терабайт данных. В 2016 году серверы Национального комитета Демократической партии были взломаны, и были украдены личные электронные письма, исследования оппозиции и корреспонденция кампании. Оба нарушения привели к тому, что WikiLeaks опубликовал конфиденциальные электронные письма. Генеральный директор Sony был уволен; взлом DNC изменил ход выборов.

Промышленные компании, где передаются операционные данные, также уязвимы. Шифрование электронной почты с использованием сертификатов S / MIME решает множество проблем. Управление сертификатами и автоматизация решают проблемы, ранее связанные с шифрованием электронной почты S / SMIME, включая подготовку устройств и депонирование сертификатов в случае потери сертификата.

Наряду с шифрованием, подпись электронной почты является важным методом аутентификации сообщений, который может иметь большое преимущество в защите от социальной инженерии. Кто-то, выдающий себя за коллегу, у которого нет сертификата S / MIME, легко выделится из правильно подписанного S / MIME электронного письма.

Нулевое доверие

NIST недавно опубликовал окончательную версию своего руководства по архитектуре Zero Trust. Организации, занимающиеся производственными и эксплуатационными технологиями, поставщики Интернета вещей и потребители должны соблюдать принципы руководства. Поскольку использование общедоступного облака растет вместе с перемещением ресурсов за пределы традиционных брандмауэров, лучше всего рассматривать каждый цифровой актив как находящийся во враждебной сети. Это особенно важно при удаленной работе.

Все упомянутые выше утечки данных имеют общую проблему: слишком большое доверие.

Модель Zero Trust предполагает, что каждый цифровой актив должен рассматриваться как его собственная граница сети с собственной идентификационной информацией, которую необходимо защищать. Здесь необходимо сочетание технологий, от современной инфраструктуры IAM и открытых ключей до предоставления и управления идентификационными данными. А затем к механизмам политик, которые делают правила авторизации масштабируемыми.

Zero Trust подчеркивает принцип наименьших привилегий, который жизненно важен для промышленных и операционных технологий. Пришло время отказаться от традиционных представлений о средах, скрытых за брандмауэром.

В оперативной среде атаки показали, что концепции воздушного зазора и «безопасность через неизвестность» являются мифами. Перед злоумышленниками крайне важно определить, доступны ли системы общедоступному Интернету.

Есть ли в вашей операционной сети контроллеры, которые настраиваются через встроенный веб-сервер? Доступен ли этот веб-сервер к общедоступному Интернету со слабым паролем?

В таком случае требуется инвентаризация цифровых активов. Где драгоценности в короне компании и как они защищены? Опять же, не предполагайте, что они защищены по умолчанию. Слабые учетные данные, неправильная конфигурация безопасности и незнание того, что находится под угрозой, - это белые пятна, которые можно исправить.

Поделиться:

Видео о Заводе Светорезерв:


Вопросы, отзывы, комментарии (0)

Нет комментариев

Добавить комментарий

Пожалуйста, оцените!

Читайте также:

Встречайте первого в мире производителя осветительных приборов с нейтральным выбросом углерода

Отрасль "должна обосновать экономию" циркулярной экономики

Почему нужно срочно переосмыслить дизайн светильников

Крупные бренды возвращают LuxLive 2020, когда начинается регистрация

Премия светового дизайна перенесена на май 2021 года

Recolight празднует переработку 1/3 миллиарда ламп

Схема обратного выкупа, чтобы свет оставался в использовании «вечно»

Промышленность обсуждает возврат сменных ламп

LuxLive представит демонстрации последних инноваций

Как финансировать Интернет вещей

Лос-Анджелес связывает свои светодиодные уличные фонари в сети

Связано ли приобретение Dyson LED с Интернетом вещей?

Запрет на использование ламп накаливания на картах в Катаре

2300 профессионалов в области освещения посетили фестиваль LuxLive Digital

Правительство спрашивает: Кому нужны сменные лампы и оборудование?

BCIA Awards 2021 уже открыта для приема заявок - подайте заявку онлайн сегодня!

Second Sight инвестирует в CPL для мероприятия VW

Роуз Ревитт становится лучшим дизайнером-дебютантом вместе с Robe на церемонии вручения премии Stage Debut Awards 2020

Liverpool ONE встречает Рождество в обществе

Белый свет освещает фестиваль памяти BBC

Алувайн Маньонга назван SLL Young Lighter 2020

EDEKA Clausen устанавливает UV-C освещение от Signify

Teatro Galia становится полностью светодиодным театром с CHAUVET Professional

NI представляет новую визуальную идентичность в рамках глобальной кампании бренда

Быстрые зарядные устройства с технологией GaN

Партнер по программному обеспечению GuardKnox, NXP и Green Hills разрабатывает передовую безопасную автомобильную платформу для следующего поколения а

Новый взгляд на акустические производственные испытания

Alloy представляет решение для лучевого освещения для повышения производительности и повышения производительности видеозвонков

Graypants дебютирует с фитилем при свечах

Гибрид: объекты для будущего дома

Курвано компании Amerlux помещает «арку» в архитектурное освещение

Новые янтарные светодиодные парковочные / сигнальные огни United Pacific добавляют современный стиль, функциональность для классических бронкосов

PLDC закрывает весь бизнес

Luger Research присоединяется к Good Light Group

Eaton уходит из Европы, Ближнего Востока и Африки

Германия запретит прожекторы в сумерках

УФ-дезинфекция в Хитроу

TRILUX Launch Pay Per Использование

Члены ЕС проголосовали за изменения в правилах экологического дизайна освещения и маркировки энергии

Открытие аэропорта Берлин-Бранденбург

Здания с нулевым потреблением энергии в США

Освещение BIOS и Lumileds сотрудничают для освещения, ориентированного на человека

Zumtobel собирается открыть форум New Light

Производитель планшетов использует Li-Fi

Lumileds повышает производительность линейки цветных светодиодов Luxeon C и CZ

Получите более четкое представление о 2021 году в календаре

Немецкий супермаркет испытывает очистители воздуха и дезинфекционные боксы с ультрафиолетовым излучением для борьбы с коронавирусом

Открытый SSL Mulberry Commons преобразует общественное пространство в ночное время

Исследование GFZ показало, что светодиодные уличные фонари мало влияют на свечение неба

Новости UV-C SSL: Luminus добавляет светодиоды, дебютирует модуль ProPhotonix

Подписка на новости

Контактная информация - Светотехнический Завод Светорезерв.

    ООО "Светорезерв" 2003-2021 - Светодиодные лампы, светильники и опоры и мачты освещения. Веб-сайт не является основанием для предъявления претензий и рекламаций, информация является ознакомительной. Технические характеристики товаров могут отличаться от указанных на сайте. Производитель и(или) продавец оставляет за собой право в любой момент, без обязательного извещения, вносить изменения в комплектацию, дизайн и характеристики, не ухудшающие качество товара. Все данные, в том числе цвет, форма, функции товара приведены для справки. Фактические характеристики продукта могут отличаться и будут указаны в счете на оплату.
Заказное производство

Комплектация

Поставщикам:

Полезные ссылки: