Under de senare åren har det varit mycket tal om Zero Trust och hur vi ska skydda informationen som en organisation skapar. Fokus har legat på vem som kommer åt information, hur information skyddas under transport och vid lagring. I ett IT-nätverk så finns det möjligheter att titta på den typen av säkerhet men vad gör vi om vi pratar om ett industrinätverk? Läs mer om IIoT och nätverkssäkerhet inför Industri 4.0 här.
Industrinätverk – IIoT och Industri 4.0
Alla företag har ett eller annat beroende till industrinätverk och industriella informations- och styrsystem (Industrial control systems, ICS), antingen är man producenten som tillhandahåller en vara eller så är man konsument som behöver varan i den dagliga verksamheten. Till exempel så är IT-bolaget beroende av att elbolaget kan producera el, eller sjukhuset av att reningsverket fungerar och man kan få fram rinnande vatten till lokalerna. Hur vi än vrider och vänder på frågan så är vi extremt beroende av våra industrinätverk oavsett bransch, blir det en incident som stoppar leveransen i något led så är det ofta dyrt för den som blir drabbad.
Historiskt sätt så har industrinätverken till viss del varit separerade från övrig IT då det inte har funnits ett behov att integrera systemen. Detta är något som har ändrats med tiden genom att det finns både ekonomiska och praktiska fördelar med att koppla samman industrisystemen med vissa IT-system. Sammankopplingen av system för att dra nytta av gemensamt resurser har fram till för några år sen vanligtvis gjorts lokalt i fabriken, eller mot centralt system i företagets datacenter.
Det vi ser nu nu är nästa steg av sammankoppling där företag börjar gå mot molntjänster, det man kallar Industrial Internet of Things (IIoT), som är en del av Industri 4.0-konceptet. Denna sammankoppling påverkar såklart säkerheten i hög grad och det är viktigt att IT- och OT-tekniker har förståelse för varandras områden då de idag går samman mer än tidigare.
Industrial Internet of Things – IIoT – Industri 4.0 (Cisco)
ICS-system är ofta utvecklade för att utföra enkla uppgifter under längre tid utan avbrott. Säkerheten runt systemen fokuserar mer på hög tillgänglighet än på konfidentialitet och riktighet i data. Ska man stänga ett ICS-systemen så är det för att förhindra fara för människor och utrustning vilket alltid har högsta prioritet.
I tillägg så använder industrinätverken också till högre grad gammal utrustning än inom IT, utrustning där man har en utbytestakt på runt 20-30 år. Det betyder att en del av den utrustningen som används hos företag idag införskaffades innan vi fick förståelse för säkerhetsproblemen och saknar adekvata skyddsmekanismer.
Om man ser till de attacker som har drabbat industrinätverk de sista 5-6 åren så kommer alla dessa via IT-sidan. Det handlar om attacker mot framförallt gamla Windows-maskiner som kör de kontrollprogrammen som behövs för att sköta de olika systemen. Ett exempel på en incident som inte var direkt riktat mot industrin men som fick långt gående verkningar för bland annat transportbolag, tillverknings industrin och samhället i stort är NotPetya attacken mot Ukraina 2017. NotPetya är tills idag den dyraste attacken mot företag och organisationer som är registrerad och man tror att kostnaden landade någonstans mellan 8 och 10 miljarder dollar men mörkertalet är stort.
Hur höjer man sin nätverkssäkerhet?
Det finns tre områden som är en bra start när man ska påbörja en resa mot att skapa sitt säkrare industrinätverk i Industri 4.0.
Arkitektur och Risk: nätverkssäkerhet med Purdue Reference Model
För att kunna upprätthålla en god nätverkssäkerhet behöver man identifiera sina ICS-system och försöka analysera vilka hot samt risker som finns för systemen. Identifieringen av system gör man för att kunna utföra rätt åtgärd på rätt plats i infrastrukturen. En bra start för att ta reda på vad av säkerhet som behövs var är att använda en referens arkitektur som till exempel Purdue Reference Model. Modellen gör det lättar att klassificera system in i olika nivåer av nätverket som sen kan matchas mot funktioner och system. När sen man har fått den övergripande bild över systemen så kan man lättare se vilka skyddsmekanismer som behövs för de olika nivåerna i modellen.
Purdue Reference Model för nätverkssäkerhet (Cisco)
En utmaning med Purdue Reference Model är IIoT-revolutionen där ICS-system pratar med andra system och även molnbaserade tjänster. Purdue-modellen skapades i början på 1990-talet och tar inte hänsyn till den hybrida infrastruktur vi har idag. Det kan innebära att man kan behöva se över Purdue Reference Model och anpassa den efter de behov som just ditt företag har. IIoT och industry 4.0 innebär också att hotbilden ser annorlunda ut än mot det traditionella industrinätverket och man behöver utöka riskanalysen till att innefatta alla tjänster som ICS-systemen är beroende av.
Nätverkssäkerhet: segmentering med brandväggar
När man tänker segmentering för ett industrinätverk för IIoT så är det övergripande i två delar.
Cisco Firepower brandvägg – Den första är att separera IT-nätverket från industrinätverket, detta görs normalt med en brandvägg som kan inspektera och filtrera trafiken mellan de olika nivåerna i Purdue-modellen. Här bygger man också en egen zon för att kunna bryta det direkta trafikflödet mellan nätverken, en industrial DMZ (IDMZ), där man ställer stödsystemen till de funktioner som finns Purdue nivå 3. I IDMZ kan det vara system för antivirus uppdateringar, patchning och hoppserverar för vidare access med mera.
Den andra är att separera industriceller från varandra genom segmentering, man delar av nätverket och tillåter inte trafik att flyta mellan segmenten utan att passera en kontrollpunkt, till exempel en brandvägg som kan filtrera och inspektera trafiken. För segmentering så är rekommendationen att använda moderna teknologier som TrustSec med Secure Group Tags som möjliggör segmentering av trafik utan att vi behöver ändra i underliggande infrastruktur. Det vill säga att du inte behöver tänka på att ändra IP adresser i ICS-system som inte är så dynamiska.
Cisco Firepower NGFW brandvägg(Cisco)
Cisco Identity Service Engine (ISE) används för att kunna göra avancerad segmentering med TrustSec och är motorn i nätverket genom att den autentiserar, profilerar och taggar enheter som är ansluts. ISE kan också anslutas till andra produkter genom pxGrid för att utbyta information, det kan vara andra säkerhetslösningar eller till exempel Cisco Industrial Network Director (IND) för asset management.
Cisco Identity Service Engine, ISE (Cisco)
Cisco TrustSec är en teknologi som tillåter segmentering genom nätverket baserat på till exempel roller istället för IP adresser, det gör att man bättre kan skala lösningen och inte blir beroende av tusentals accesslistor i nätverksutrustningen. ISE styr över vilka enheter som får kommunicera med varandra i nätverket genom en matris och skapar på så sätt segmentering. Nätverksenheter så som switchar, routrar och brandväggar kopplas sen samman med ISE och får information om hur de ska hantera den taggad trafik som går i nätverket.
Cisco TrustSec
Visibilitet i industriella nätverk
Visibilitet i nätverket är A och O idag, om vi inte vet vad det är för trafik som går igenom nätverket så är det svårare att få en god nätverkssäkerhet. Här kan Ciscos system för visibilitet och säkerhetsövervakning hjälpa till, Cisco Cyber Vision som analyserar flöden i öst-västlig riktning mellan ICS-system, i nivå 0-2 av Purdue modellen, och Cisco Stealthwatch som kan titta på flöden som går nord-sydlig riktning, från nivå 2-3 och hela vägen ut till molntjänsterna om det behövs.
Cisco Cyber Vision använder sensorer i industrinätverket för att lyssna på kommunikationen och analysera industriprotokollen med Deep Packet Inspection (DPI). Cyber Vision använder information den har samlat in och bygger en dynamisk karta över ICS-systemen och kan på så sätt hitta och larma på anomaliteter i realtid.
Cisco Cyber Vision (Cisco)
Cisco Stealthwatch tar in metadata från nätverkskomponenterna och använder den informationen till att bygga en baseline över hur trafiken och flödena normalt ser ut. Baserat på den informationen som nätverket skapar över tid så kan Stealthwatch hitta förändringar i trafikmönstret och genom att analyser dessa förändringar hitta pågående säkerhetsincidenter.
Genom att titta på data och metadata passivt så fungerar dessa system bra i ett industrinätverk där man vill ha hög tillgänglighet och där det finns utrustning som inte klarar av aktiv sårbarhetsanalys.
För att få en bra säkerhet på alla plan inom ett industrinätverk så är min rekommendationen är att arbeta mot en industristandard som till exempel IEC 62443 eller NIST SP 800-82. Jag rekommenderar också att integrera de olika säkerhetssystemen där det är möjligt. Integration mellan olika system gör att man får en mer komplett säkerhetsinfrastruktur och de olika systemen har möjlighet att använd den informationen de får från andra system till att göra en bättre analys av en incident. I och med pxGrid så fungerar integration inte bara mellan Cisco’s system utan även med andra tillverkare om de ingår i ekosystemet.
Integration av Ciscos säkerhetsprodukter för ICS / IIoT nätverkssäkerhet i Industri 4.0
Har ni frågor om nätverkssäkerhet i industriella nät?
Hör gärna av er till oss!
Rekommenderad läsning
För den som vill läsa mer:
- Crash Override’: The Malware That Took Down a Power Grid
- NIST-SP 800-82r2 – Guide to Industrial Control Systems (ICS) Security
- Enisa – Baseline Security Recommendations for IoT
- Mitre ATT&CK® for Industrial Control Systems
- SANS Reading Room on Industrial Control Systems
- Cisco Design Zone for Manufacturing
- Inspelat webinar – Conscia Sårbarhetsanalys: En sårbarhet räcker – så patchar Du rätt del