Automatische Übersetzung anzeigen
Dies ist eine automatisch generierte Übersetzung. Wenn Sie auf den englischen Originaltext zugreifen möchten, klicken Sie hier
#Neues aus der Industrie
{{{sourceTextContent.title}}}
SCADA-cybersecurity im Alter des Internets von Sachen
{{{sourceTextContent.subTitle}}}
Die traditionelle Rolle der Systeme der Fernwirktechnik (SCADA) ändert als das industrielle Internet von Sachen (IIoT) fortfährt, eine größere Rolle zu übernehmen.
{{{sourceTextContent.description}}}
Die traditionelle Rolle der Systeme der Fernwirktechnik (SCADA) ändert als das industrielle Internet von Sachen (IIoT) fortfährt, eine größere Rolle zu übernehmen. SCADA-Systeme waren nicht ursprünglich für cybersecurity bestimmt und Anlagen müssen auf diese neue Wirklichkeit justieren.
Systeme der Fernwirktechnik (SCADA) und die breiteren industriellen Kontrollsysteme (ICS) einschließlich SCADA, Mensch-Maschine-Schnittstellen (HMIs), Gebäudeverwaltungssysteme (BMS), Herstellungsdurchführungssysteme (MES) und Computerwartungsmanagementsysteme (CMMS) haben Wurzeln in der eigenen Technologie, die traditionsgemäß von der Infrastruktur der UnternehmensInformationstechnologie (IT) lokalisiert wurde. Diese Plattformen waren nicht ursprünglich für cybersecurity bestimmt.
Die traditionelle Rolle Des ICS der Steuerung und der Sicherheit hat erweitert, um die Lieferung der Anlage und der Prozessinformationen oder die Reaktion auf Richtung von ERP und von anderen Unternehmenssystemen zu umfassen. Dieses jedoch hat den ICS möglichen Cyberdrohungen, entsprechend „Sicherheit die Bewegung zu IP-ansässigen SCADA-/PLCnetzen“ durch die Mitte für den Schutz der nationalen Infrastruktur ausgesetzt. Der gegenwärtige Fokus auf Zusammenhang unter dem Banner des Internets von Sachen (IoT) und das eng verwandte industrielle Internet von Sachen (IIoT) oder von Industrie 4,0, hat einen enormen möglichen Nutzen zur Datenanhäufungsstrategie und zum situationsbezogenen Bewusstsein. Jedoch verwenden IIoT-Geräte Internet-Protokolle (IP), das weiterer die Aussetzung zu den Cyberdrohungen Zunahme.
Die IIoT-Umwandlung stört die Rolle der traditionellen Leitstelle mit einer Tendenz in Richtung zu den tragbaren Geräten, die für Überwachung und Kontrolle benutzt werden (Nugent, Bailliencourt und Kaltenbacher, 2015). Die auftauchende kontextabhängige HMI-Komponente IIoT-ermöglichten ICS stellt große Produktivitätsgewinne zu zu den Betriebstechnikorganisationen, bei der Erweiterung des Umkreises des ICS zur Verfügung. Jedoch fügt sie dem Bereich des Cyberdrohungsmanagements hinzu.
Cybersecurity-Säulen
Der moderne ICS-Plattformverkäufer enthält das des Softwaretechnik-der Cyber-Risiko-und Beweglichkeits-Management Instituts in den Qualitäts-Prozess ISO 9001 für Entwicklung und Produktion. Das Ziel ist, zu sein transparent betreffend innerlich oder berichtete außen über Verwundbarkeit und schnell zu fungieren, um Risiko für Kunden herabzusetzen.
Teilnahme an den Standardorganisationen, wie dem Institut von elektrischem und Elektronik-Ingenieure (IEEE) und die internationale elektrotechnische Kommission (Iec), sind entworfen, um im Erzielen des Ziels der Transparenz durch offene Diskussion und Feedback zu unterstützen. Teilnahme ist zur schnellen Durchführung der Empfehlungen kritisch, die von diesen Organisationen kommen.
Das National Institute of Standards and Technology (NIST) hat einen Rahmen geliefert, der für die kritischen Anlagegüter einer Organisation systematisch identifizieren unschätzbar ist, Drohungen identifiziert und kritische Anlagegüter gesichert (Nugent und Hoske, SCADA-cybersecurity, 2015). Der Rahmen hat vier Elemente: Identifizieren Sie, schützen Sie sich, ermitteln Sie und reagieren Sie.
Erkennen Sie und identifizieren Sie misstrauisches Verhalten
Vor dem Boston-Marathon 2016 führte die nationale Kernsicherheits-Verwaltung (NNSA) eine Hintergrundstrahlungseinschätzung unter Verwendung der Tiefflughubschrauber durch. Das Maß der natürlich vorkommenden Strahlung, zum von Grundlinienniveaus herzustellen ist ein normales Teil der Sicherheits- und Notbereitschaft (nationale Kernsicherheits-Verwaltung, 2016).
Es ist wichtig, ein Inventar von Anlagegütern und von Datenflüssen zu haben, zum einer Grundlinie des normalen Verhaltens für ICS herzustellen. Industrielle Netze können groß und komplex sein, und industrielle Protokolle sind unterschiedlich als die der Netze des Unternehmens IT. Automatisierte Werkzeuge, die aufzeichnen und überwachen, die Netzwerkausrüstung unter Verwendung der einfachen Netzführungsprotokolle (SNMP) verbessert die Leistungsfähigkeit und die Genauigkeit des Inventars.
Inventar und Überwachungswerkzeuge, die das Kontrollsystem sind, das bewusst ist, sind ein wichtiger Faktor, wenn sie eine zuverlässige ICS-Grundlinie herstellen. Den ICS mit Technologie überwachend, die zum Produzieren einer Grundlinienschablone der Kommunikation zwischen dem ICS fähig ist, ist der PLC und andere Regler kritisch. Ideal sind solche Systeme zu in der Lage:
Auszugmetadaten vom Netzfluß unter Verwendung der passiven Sensoren
Dynamisch ein Sichtinventar von Komponenten und von Karte von Verbindungen aufbauen
Lernen Sie den ICS und stellen Sie die statistischen und Verhaltensbeschreibungen von Normalbetrieben zur Verfügung
Empfehlen Sie vorbeugende Aktionen
Triggervorfallantwort nach Beweis des Kompromisses.
Die IIoT-Geräte stehen häufig unter Verwendung der drahtlosen Technologien in Verbindung. Ein Unterschied zwischen allgemeinen IT-Netzen und ICS-Netzen ist der Gebrauch statischen IP. Während industrielle Netze an das breitere Internet angeschlossen werden, suchen GesundheitsÜberwachungsanlagen nach dem Ändern oder doppelte IP- und MAC-Adressen, Gerät- oder Kabelbewegung und nicht autorisierte Verbindungen. Diese Umwelt wird groß mit dem Zusatz von den mobilen Sensoren erschwert, die durch drahtlose Zugangspunkte mit dynamischen IP-Verbindungen angeschlossen werden (Robles und Kim, 2010).
Schützen Sie den Auflösungsumkreis
An einem neuen Technologie-Gesprächs-Gipfel in Massachusetts, besprach Mike Ratte heutige IT-Sicherheitslandschaft (Centrify, 2016). Er sagte, „Identität ist der neue Umkreis,“ und seine Argumente für das schließen Sie ein:
Fast Hälfte von Brüchen werden durch übereinkommende Bescheinigungen verursacht
Häcker visieren alle Klassen Benutzer einschließlich privilegierte Benutzer an
Traditionelle Umkreis-ansässige Sicherheit ist nicht genug
Sicherheit sollte nach Zusammenhang-ansässiger Politik basieren.
Diese Strategie passt gut mit dem Auflösungsumkreis des ICS, der hat den Nutzen des offenen Zusammenhangs umfasst und deshalb auch wird von Unternehmenssicherheitsfachleuten profitieren.
Mit 63% vom bestätigten Datenbruchmiteinbeziehen schwach, von Nichterfüllung oder von gestohlenen Passwörtern (Verizon, 2016), Beglaubigungs- Managementränge hoch auf der Liste von ICS-Cyberdrohungen. Die Möglichkeit des körperlichen Zugangs durch die gestohlenen oder verlorenen Mittel der tragbaren Geräte der Bedarf am starken Beglaubigungs- Management.
Industrielle Netze versehen das erste Niveau der Verteidigung mit Brandmauern, virtuellen privaten Netzen (VPN) und Schaltern. Der ICS-Verkäufer muss Konfigurationsdateien verschlüsseln, stellt Überwachung von ungewöhnlichen Verbindungsversuchen zur Verfügung, verwendet sichere Protokolle wie HTTPS und versieht die Benutzer- mit Vorkenntnissenrechte, die mit aktivem Verzeichnis Microsofts integriert werden.
Mit diesen Fähigkeiten an Ort und Stelle, kann der ICS in eine starke Identitätsmanagementwelt passen. Mit aktivem Verzeichnis als dem Kernidentitäts-Managementbehälter, ist es jetzt möglich, ein zu verwenden, das für alle Anwendungen Bereitschafts ist, die mit einem ICS-Benutzer verbunden sind.
Zusammenhang-ansässige Politik ist der Grundstein des Managements der beweglichen Arbeitskräfte. Die erforderlichen Rechte von Operationen und von Wartungsarbeitern schwanken durch Arbeitsbereich. Ein ICS-Mobilitätsserver, der den Zugang zu den Betriebsmitteln handhabt, die auf geographischer Zone basieren und wird mit aktivem Verzeichnis, garantiert synchronisiert, dass feste kontextabhängige Politik erzwungen wird.
Ein letzter Punkt bezieht der Störung, mit ein das Onboarding und Auseinstieg Benutzer und Rechnungsprüfungen zu handhaben. Zum Beispiel hat möglicherweise ein Auftragnehmer, der in eine Anlage kommt, eine vorübergehende Kontoeinrichtung, die nach links offen ist, falls der Auftragnehmer zu einer anderen Zeit zurückgehen muss. Dieses wird getan möglicherweise, weil es zu Bord- und zu Außenbord schwierig ist, wenn es gibt „Inseln der Identität.“ Zentrales Identitätsmanagement beseitigt verwaiste Konten, beseitigt den Bedarf, Wurzelpasswörter zu verwenden und beseitigt Inseln der Identität. Dieses macht das Onboarding und Auseinstieg handlicher und mit korporativer Beglaubigungs- Politik integriert.
Ermitteln Sie anormales, misstrauisches Verhalten
Mit einem klaren Inventar von Anlagegütern und von Grundlinie von den Schablonen, die Netz- und Anwendungsverhalten darstellen, wird die industrielle NetzÜberwachungsanlage vorbereitet, um zu identifizieren, wann Sachen misstrauisch schauen. Wenn Grundlinienschablonen in der Realzeit mit der ICS-Operation verglichen werden, kann das System Alarme schlagen und nach Drohung des Kompromisses schnell handeln.
Es gibt einen anderen Aspekt der Entdeckung, die ein Teil der Tendenz in Richtung zur Mobilität ist. Management des tragbaren Geräts (MDM) wird durch Unternehmen benutzt, um die Politik einzusetzen, die mit den Rechten der beweglichen Arbeitskraft in Einklang ist. Ein Beispiel würde, eine Politik zu haben sein, zum der Gerätkamera als bei der Arbeit abzustellen aber sie zu erlauben als extern.
Die beste von klasselösungen Effekt mit täglichem Umsatz haben, damit das Gerät auf Drohungen reagieren kann, selbst wenn getrennt vom Netz. Diese Systeme aktiv ermitteln gewurzelt und jailbroken Geräte. Sie ermitteln auch Mann-in-d-mittlere Angriffe, still übereinkommende Bedingungen, verlorene oder gestohlene Geräte und Netzangriffe (ViaSat, 2016).
Setzen Sie Schaden herab, stellen Sie Wiederaufnahme sicher
Für das tragbare Gerät umfasst automatisierte Antwort die Blockierung oder das Abwischen des Gerätes und startet zu einem sicheren Zustand oder Sperrungsnetzzugang neu. Beste von klassesysteme teilen auch Sicherheits- und Operationspersonal mit, wenn eine Drohung ermittelt wird.
Es ist wichtig, starke Versionssteuerung zu haben, damit wiederherzustellen ist möglich, zu einem sicheren Bezugspunkt nach einem Vorfall. Die Versionssteuerung, die auf einem sicheren Server eingesetzt wird, hilft, die Integrität der Konfiguration beizubehalten und stellt Nachweisbarkeit für alle mögliche Änderungen zur Verfügung, die an den Konfigurationsdateien vorgenommen werden.
Leider kann die Wiederherstellung zu einer vorhergehenden Version, abhängig von, wo die Betriebsdaten gespeichert werden, Ergebnis in einem Verlust von historischen Daten. Überflüssige Prüfer, Netze, Historiker und Kommunikations-Servers sind lang die Stempel von beste von klassescada gewesen. Dieses ist jedoch nicht gegen Cyberdrohungen genügend, die die Primär- und Ersatzelemente kompromittieren.
Der Gebrauch der virtuellen Maschinen (VM) für die Bewirtung des ICS ist entworfen, um das Risiko des Datenverlustes abzuschwächen. Durch einsetzenden Disaster Recovery als Service (DRaaS) an der VM, kann die Zeit zur Wiederaufnahme wie 15 Minuten (Veeam, 2016) so kurz sein. Weil die Zeit zwischen Eindringen und Entdeckung in der falschen Richtung (Verizon, 2016) neigt ergibt möglicherweise dieses noch Verlust von Daten.
Stoppend, sind die Bösewichte durch starken Beglaubigungs- Management- und Eindringenschutz noch die besten Weisen, SCADA im Alter von IoT zu sichern.
Ed Nugent, leitender Geschäftsführer, PcVue Inc.; Mike Ratte, regionaler Manager, Centrify Corp. redigierte durch Chris Vavra, Produktionsherausgeber, Steuerungstechnik, CFE-Medien, cvavra@cfemedia.com.
Steuerungstechnik
Hinweise
Mitte für den Schutz der nationalen Infrastruktur. Befestigen der Bewegung an IP-ansässige SCADA-/PLCnetze. London: Mitte für den Schutz nationaler Infrastruktur, 2011.
Centrify. Centrify Overview und Companystrategie, 2016.
Nationale Kernsicherheits-Verwaltung. NNSA, zum der Luftstrahlungs-Einschätzungs-Übersicht über Boston-Bereich durchzuführen, am 31. März 2016. Zurückgeholt vom nationalen Kernsicherheits-Verwaltungs-Pressekommuniqué.
Nugent, E. und Mark T. Hoske. „SCADA-Internetsicherheit.“ Steuerungstechnik, 42-43, im Juli 2015.
Nugent, E., P. Bailliencourt und A. Kaltenbacher. Die Architektur der SCADA-Mobilitäts-Infrastruktur, am 28. Juli 2015. Automation.com.
Robles, R.J. und T.H. Kim. „Architektur für SCADA mit beweglichen Fernkomponenten.“ Verfahren der 12. WSEAS-Internationalen Konferenz auf Steuerung, Modellieren und Simulation, 346, 2010.
Veeam. Immer auf Unternehmen, 2016. Zurückgeholt von Veeam:
Verizon. 2016 Daten-Bruch-Untersuchungen berichten, 2016.
ViaSat. Bewegliches cybersecurity für Fernarbeitskräfte, 2016. Zurückgeholt von ViaSat.