Armis. Безпека ОТ у промисловості

Case Study

Світовий виробник промислового обладнання забезпечив безпеку ОТ середовища та безперервність операційної діяльності

Armis усуває "чорний ящик" невизначеності у мережі

Промислове підприємство, виробник важкого обладнання розвиває свої виробничі потужності в напрямку цифровізації процесів. Маючи великий штат інженерів, працівників та виробничі об’єкти, забезпечення максимальної продуктивності є головним пріоритетом. Компанія Armis допомогла компанії впевнено та ефективно сегментувати, захистити та модернізувати ОТ мережу, зменшивши поверхню атаки та запобігти розпоширенню прихованих загроз, які потенційно можуть знизити продуктивність.

Компанія базується на північному сході США і є світовим виробником важкого машинобудування.

Віце-президент з кібербезпеки/CISO – має 20-річний стаж в компанії. Він, разом із співробітниками підрозділу кібербезпеки, працюють над мінімізацією операційних ризиків. Хоча вони ніколи не мали жодних інцидентів і впевнено керували ІТ-стеком організації, вони почали висловлювати занепокоєння щодо безпеки ОТ пристроїв на виробничих майданчиках. Зважаючи на те, що виробничий процес постійно розвивається, компанія інвестує в цифровізацію, що призводить до збільшення кількості активів, які виходять за рамки типового ІТ обладнання, такі як гігантські лазерні та плазмові різаки, які для різки металу потребують мережевого доступу до проектних файлів-конфігурації. За словами ІТ-директора, він і його команда не мали "чіткого уявлення" про те, які пристрої насправді знаходяться в мережі OT.

Занепокоєння щодо безперервності бізнесу спонукає до розгортання Armis

​"Велика частина того, що ми робимо, - це можливість виробляти продукцію та керувати виробничим цехом", - заявив директор з інформаційної безпеки. Якби зловмисник націлився на компанію, зазначив він, це, швидше за все, була б атака з вимогою викупу або відмовою в обслуговуванні (DoS) в середовищі OT. Це було б дуже дорого для нас”, - пояснив він. "Найбільше, що ми прагнемо зробити, - це зберегти продуктивність" - заявив він. "Ми бачили, до чого така атака може призвести, і ми просто хотіли випередити це. Ось тут і з'явилася система Armis".

CISO зазначив, що найбільшою проблемою безпеки організації є люди. Тому команда кібербезпеки витрачає "багато часу" на тренінги з протидії фішингу. Він описав тип кібератаки, що викликає у нього найбільше занепокоєння, і розповів про те, як буде використовуватися Armis для мінімізації збитків.

"Типовим вектором атаки може бути користувач, який реагує на фішинг видаючи свій пароль та/або код багатофакторної авторизації. Зловмисник чи шкідливе ПЗ, яке ми з якихось причин не зловили, проникає в нашу інфраструктуру. Тепер вони намагаються завдати шкоди … приховано розповсюджуючи атаку по мережі".

CISO шукав спосіб відстежувати аномальний трафік в OT-середовищі та пошуку його першоджерела. Випробувавши на власному досвіді інші інструменти інвентаризації активів та побачивши, що вони показують лише наявність пристроїв в мережі і не більше того, він виявив, що безагентна платформа Armis надає набагато більше можливостей і чудово підходить для OT-середовища.

Пасивний моніторинг та деталізація відрізняє Armis від інших інструментів інвентаризації активів

Перед повним розгортанням платформи, команда кібербзепеки почала з двомісячного тестування Armis. Окупність витрат виявилась моментальною. Інженер з кібербезпеки згадує, що спочатку PoV було впроваджено на двох великих об'єктах компанії. "Ми бачили, як PlayStation та Xbox з'являлися, зазвичай у п'ятницю, та відключалися в неділю. Раніше ми б не дізнались про таке ", - сказав він.

Пасивний моніторинг - одна з можливостей, яку CISO оцінив найбільше. "Наші традиційні інструменти інвентаризації - це активні сканери. Ви запускаєте сканер і якщо пристрій відповідає – ми його бачимо. Armis, щоб ідентифікувати пристрої, фактично аналізує мережевий трафік. Отже, навіть якщо ми не запускаємо сканування чи пристрій не відповідає, ми можемо бути впевнені, якщо пристрій з'явиться в мережі, ми його побачимо", - сказав директор з інформаційної безпеки.

Ще однією відмінністю Armis є рівень деталізації даних. "З іншими нашими інструментами ми знали, що у нас є пристрої, проте ми просто не знали, що це за пристрої... замість того, щоб сказати: "Гей, це звичайний Linux", Armis скаже: "Це контролер Siemens PLC". Це дозволяє нам розуміти, що це за об’єкт та які є ризики пов’язані з ним".

Armis допомагає сегментувати мережу та зменшити поверхню атаки

Маючи багаторічний досвід роботи в компанії, CISO бачив, як розвивався бізнес компанії з плином часу. "Колись ми були маленькими. Ми починали як холдингова компанія", - зазначив він. З роками компанія купила багато підприємств, здебільшого залишаючи IT середовища без змін.

"Оскільки ми почали модернізацію мережі, ми можемо зробити редизайн інфраструктури та краще сегментувати її. Ми відокремили виробничі потужності та промислове обладнання в більш захищену мережу", - сказав CISO. Завдяки видимості, яку забезпечує Armis, він може легко бачити, де в мережі знаходяться такі пристрої чи перемістити їх в необхідні сегменти мережі. Це дало ІТ-директору і команді безпеки більше впевненості та контролю.

"Мене турбувало, що включене в інфраструктуру? Я думаю, що це завжди викликає велике занепокоєння у людей, які працюють в кіберпросторі. Це майже як чорний ящик... і ми гадали: "Що там відбувається?", - сказав CISO. Завдяки Armis цей дискомфорт значно зменшився. "Я впевнений, що в будь-який момент, якщо я побачу... щось незвичайне, в Armis я можу зайти і з'ясувати, що це за пристрій, до якого порту комутатора він підключений і де він фізично знаходиться".

"Золотий образ" для додавання нових пристроїв

Sony PlayStation та Microsoft Xbox не викликають особливого занепокоєння у CISO, оскільки вони, як правило, мають регулярні оновлення для своєї ігрової платформи. Більшу проблему становлять пристрої на кшталт Raspberry Pis, які працюють на Unix-like платформах. Raspberry Pis - це високопродуктивні невеликі одноплатні комп'ютери (SBC) розміром з кредитну картку, які використовуються як в промисловості так і в побуті. Команда безпеки створила так званий "золотий образ" для більш ефективного управління цими типами пристроїв.

"Коли хтось приносить Raspberry Pi або новий гаджет, він може використати те, що ми називаємо "золотим образом". Знаючи, які типи вразливостей вже були виявлені платформою Armis для подібних пристроїв, співробітники можуть оновити ПЗ на пристроях до певного рівня безпеки, використовуючи знімок золотого образу ", - сказав інженер з інформаційної безпеки. Він зазначив, що команда також використовує концепцію золотого образу для додавання нових мобільних телефонів.

Тонка настройка Armis

Хоча головною проблемою CISO є кібербезпека, він зазначив, що тісно співпрацює з виробничими підрозділами над впровадженням системи Armis з точки зору OT. Інженери продемонстрували високий рівень зацікавленості у використанні Armis. Директор з інформаційної безпеки зазначив, що вони отримають значну користь від платформи, оскільки зможуть більш ефективно бачити, керувати і налаштовувати промислове обладнання.

Оскільки впровадження Armis є відносно новим, потрібно провести оптимізацію: вдосконалити сповіщення, встановити політики та інтегрувати платформу Armis з іншими інструментами. Хоча зараз команда отримує більше сповіщень, ніж будь-коли раніше, CISO вважає це позитивним зрушенням. Він очікує, що робоче навантаження буде поступово зменшуватись в міру того, як вони налаштовуватимуть автоматизацію Armis. "Ми отримуємо дані, і це головне", - стверджує він.

Про Armis

Armis - це провідна уніфікована платформа для розвідки та захисту активів, розроблена для боротьби з новим ландшафтом загроз, який створюють підключені пристрої. Клієнти Armis довіряють безперервному захисту Armis в режимі реального часу, щоб бачити в повному контексті всі керовані, некеровані та IoT пристрої, включаючи медичні пристрої (IoMT), операційні технології (OT) та промислові системи управління (ICS). Armis забезпечує пасивне і неперевершене управління активами кібербезпеки, управління ризиками та автоматизацію реагування на загрози. Armis - приватна компанія зі штаб-квартирою в Сан-Франциско, штат Каліфорнія.