Современные средства кибербезопасности платформ IoT

Руслан Стефанов, консультант по защите АСУ ТП, подразделение Honeywell «Промышленная автоматизация» в России и страны Таможенного союза

Сегодня ведущие производители активно создают платформы Интернета вещей (англ. Internet of Things, IoT) для цифровой трансформации предприятий. В этом году Honeywell —  лидер в области разработки программных решений с богатым опытом решения задач промышленных заказчиков — представила собственную платформу под названием Honeywell Forge for Industrial.

Платформы промышленного Интернета вещей (англ. Industrial Internet of Things, IIoT) оптимизируют расходы на активы, процессы и рабочую силу, предоставляют пользователям возможность принимать взвешенные и своевременные решения по всему предприятию.

•          Такие платформы могут быть эффективно адаптированы к требованиям различных ролей на предприятии.

•          Все пользователи принимают обдуманные решения, руководствуясь одними и теми же данными, включая сторонние приложения для совместной работы в масштабах предприятия.

•          Использование цифровых двойников процессов и активов позволяет сравнить собранные в реальном времени данные с моделями лучших практик, чтобы затем определить потенциальные возможности.

•          Honeywell Forge for Industrial предоставляет пользователям действенные рекомендации, которые напрямую связаны с экономическими возможностями. Более того, пользователи могут видеть эти возможности.

•          После решения каждой задачи фокус перемещается на новые возможности, ведущие к максимальной производительности. Платформа, которая предлагает все эти функции в едином пользовательском интерфейсе, использует интеллектуальные модели в режиме реального времени, чтобы «обучаться». Это приводит к более предсказуемым и оптимальным результатам.

•          Люди имеют решающее значение для успеха предприятия, а подобные платформы беспрепятственно связывают полевые операции в промышленных средах и управляют ими на существующих устройствах.

Преимущества платформы Honeywell Forge for Industrial

Внедрение платформы Honeywell Forge for Industrial откроет новые возможности для улучшения производительности. Иногда даже самые маленькие изменения могут очень быстро привести к ощутимому результату. Например, компании могут достичь дополнительную прибыль:

•          за счет увеличения пропускной способности и выполнения рекомендаций по оптимизации производства;

•          за счет использования теряемой энергии;

•          за счет повышения эффективности процессов и ранних оповещений о потенциальных проблемах.

Honeywell Forge for Industrial собирает доступные данные с разных источников, интегрирует их и использует дополнительную аналитику и экспертизу, чтобы получить полезную для дальнейших действий информацию. После этого пользователи видят в одном инструменте в режиме реального времени сжатое представление своего бизнеса и существующие связи между операциями.

В результате, предприятие движется к цифровой трансформации, обеспечивающей стабильную пиковую производительность активов, процессов и людей. Но этот результат невозможен, если IoT-платформа не защищена и вопросы кибербезопасности не приняты во внимание.

Архитектура платформы IoT

Перечислив конкретные преимущества Honeywell Forge for Industrial, рассмотрим архитектуру платформы IoT и основные средства обеспечения ее безопасности. Начнем с типовой IoT-платформы (объекта защиты) и ее компонентов (см. рисунок 1).

Рисунок 1 – Пример архитектуры платформы IoT и ее компонентов

Для тех, кто уже знаком с архитектурой Azure IoT компании Microsoft, в таблице 1 приведено соответствие компонентов данного примера платформы IoT и Azure IoT.

Таблица 1 – Соответствие компонентов платформ IoT

Политика кибербезопасности платформы IoT

Рассмотрим подход к защите IoT-платформ. Основным документом, определяющим этот подход, является политика кибербезопасности. Программы защиты платформы IoT, реализуемые в соответствии с политикой кибербезопасности, должны включать следующие разделы:

•          Руководство и стандарты.

—          Высшее руководство и сотрудники подразделений безопасности должны контролировать выполнение программы безопасности. Данный контроль включает регулярные проверки, внутренние и внешние аудиты.

—          Защищенная среда жизненного цикла разработки (SDLC). Проверки безопасности должны выполняться на каждом цикле разработки.

—          Стандарты безопасности. Платформа и цикл разработки должны соответствовать международным и национальным стандартам, как путем сертификации, так и другими возможными способами.

•          Безопасность и конфиденциальность, встроенные в дизайн.

—          Безопасная архитектура. Должны использоваться лучшие практики, включая управление идентификацией и доступом, шифрование данных (в покое и при передаче) и анализ защищенности компонентов инфраструктуры, платформы и приложений.

—          SDLC. Должны использоваться лучшие отраслевые инструменты и процессы для реализации SDLC, в том числе: требования безопасности, анализ архитектуры, моделирование угроз, обзор кода, статический и динамический анализ кода, анализ приложений, тестирование производительности и тестирование на проникновения, а также обзор проблем безопасности в сторонних и открытых компонентах.

—          Конфиденциальность. Должны существовать процессы обработки и классификации данных в приложениях для реализации и обеспечения соблюдения мер защиты конфиденциальности данных в соответствии с действующим законодательством и договорами.

—          Сторонние компоненты. Должны регулярно проверяться используемые компоненты с открытым исходным кодом и сторонних производителей на этапе определения требований безопасности, сканироваться исходный код с использованием инструментов безопасности и устраняться выявленные уязвимости.

•          Операции.

—          Управление идентификацией и доступом. Должны быть внедрены средства управления доступом на основе ролей и криптографические решения, основанные на стандартах классификации, маркировки и обработки информации. Все входные и личные данные должны быть зашифрованы на уровне продукта и конкретного проекта и должны подлежать контролю доступа.

—          Шифрование. Должны соблюдаться стандарты маркировки и обработки информации и стандарты управления шифрованием, которые обеспечивают шифрование в состоянии покоя и при передаче. Данные должны передаваться между различными компонентами IoT и платформой в зашифрованном канале. Кроме того, передача данных должна быть ограничена посредством сегментации сетей.

—          Хранение данных. Данные должны размещаться в центрах обработки данных в соответствии с требованиями законодательства.

—          Конфиденциальность данных. Конфиденциальность данных должна быть защищена в соответствии с требованиями законодательства.

—          Локализация и передача данных. Должна быть возможность размещения копии глобального экземпляра данных в отдельном региональном или локальном хранилище, чтобы обеспечить минимальную задержку, повышенную производительность запросов, конфиденциальность данных и удовлетворять требованиям о локализации и передаче данных.

—          Патчи. Исправления безопасности (в том числе для программного обеспечения с открытым исходным кодом) для обнаруженных уязвимостей должны применяться как можно быстрее.

—          Мониторинг безопасности. Должны использоваться инструменты мониторинга инфраструктуры для обнаружения подозрительных и злонамеренных действий.

—          Инциденты. Должен быть создан центр операций безопасности («SOC» или аналогичное подразделение), который реализует ведущие в отрасли практики безопасности и процедуры реагирования на инциденты кибербезопасности для регистрации, обработки и мониторинга инцидентов в сотрудничестве с другими внутренними подразделениями.

—          Процедуры контроля изменений. Должен быть определен процесс управления изменениями при внесении любых изменений в конфигурацию приложения или его инфраструктуры.

—          Уязвимости. Должна быть создана группы реагирования на инциденты в области безопасности для минимизации рисков, связанных с уязвимостями безопасности, путем предоставления своевременной информации, руководства и устранения уязвимостей, включая программное обеспечение и приложения, оборудование и устройства.

—          Аварийное восстановление и резервное копирование. Должен быть разработан план аварийного восстановления и обеспечения непрерывности бизнеса. План должен включать в себя стратегию восстановления и процедуры, предназначенные для возобновления операций в течение определенного времени после аварии. План должен периодически тестироваться. Периодически должны создаваться резервные копии данных.

•          Третьи лица.

—          Провайдер инфраструктуры. В случае использования услуг провайдера инфраструктуры он должен подтвердить защищенность своей инфраструктуры, например, проведя сертификацию SOC2 типа 1 и типа 2.

—          Сети. Системы и сетевые среды должны быть логически разделены, чтобы обеспечить соответствие законодательным, нормативным и договорным требованиям.

—          Сотрудники, подрядчики. Должна проводиться проверка всех кандидатов на работу и подрядчиков в соответствии с действующими законами и правилами.

—          Поставщики, лицензиары. Должны соответствовать стандартам и уровням безопасности.

•          Аудиты и тестирование.

—          Внутренние аудиты. Должны проводиться внутренние аудиты и поиск уязвимостей и предприниматься корректирующие действия для устранения обнаруженных проблем, которые влияют на безопасность.

—          Внешний аудит. Должны быть определены правила и процедура проведения внешних аудитов..

Средства безопасности

Основными средствами защиты платформы IoT являются:

•          средства идентификации и доступа (IAM);

•          средства шифрования данных – как в покое, так и при передаче по каналам связи; (защищенные протоколы HTTPS, SSH и другие);

•          средства межсетевого экранирования;

•          средства резервного копирования и восстановления.

Кроме того, для повышения эффективности использования процессов обеспечения и управления безопасностью потребуются средства защиты и автоматизации следующих функций:

•          обнаружение и инвентаризация активов;

•          защищенный удаленный доступ;

•          запись сессий удаленного доступа;

•          туннелирование протоколов;

•          защищенная передача файлов;

•          мониторинг устройств;

•          управление обновлениями безопасности и патчами;

•          управление антивирусной защитой;

•          пассивный мониторинг сетей;

•          создание комплаенс-отчетов;

•          сканирование уязвимостей, оценка рисков и другое.

Данные функции могут быть реализованы в одном решении. Пример такой технологии –  ICS Shield от компании Honeywell..

Заключение

Как правило, средства идентификации и контроля доступа встраиваются в платформу самим производителем и их выбор определен выбором самой платформы. Средства шифрования, межсетевого экранирования и резервного копирования в изобилии присутствуют на рынке и могут быть легко выбраны исходя из требований и бюджета проекта.

Выбор становится сложнее, когда речь заходит о решениях для обеспечения и управления безопасностью. Здесь можно порекомендовать рассмотреть в первую очередь решения от производителя платформы IoT, так как они лучше интегрированы, что снижает затраты на внедрение и повышает эффективность операций обеспечения и управления безопасностью. Компания Honeywell имеет такие решения в своем портфеле.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.