W czasach Industrie 4.0 bezpieczeństwo dostępu staje się coraz ważniejszą kwestią. Dlatego też SecurityMatters i Phoenix Contact połączyły swoją wiedzę tworząc partnerstwo technologiczne. Poziom bezpieczeństwa w sieciach produkcyjnych można łatwo i znacząco zwiększyć poprzez połączenie oprogramowania do monitorowania sieci oraz przemysłowych urządzeń zabezpieczających. Tak zdefiniowane podejście określa nowe standardy zarówno w środowisku produkcyjnym jak i w infrastrukturach krytycznych.
Obecnie zarówno maszyny jak i całe systemy coraz częściej wymieniają między sobą dane na poziomie lokalnym i globalnym. Wynikająca z tego wzmożona komunikacja prowadzi również do wzrostu wymagań dotyczących bezpieczeństwa sieci. Operatorzy muszą więc zadać sobie pytanie, które informacje mogą być przekazywane, do jakiej maszyny oraz w jakim czasie. Szczególnie w przypadku systemów produkcyjnych, które poddawano rozbudowie oraz pełnej integracji z siecią przez wiele lat, odpowiedź na to pytanie okazuje się trudna i niejednokrotnie bardzo czasochłonna. Firmy SecurityMatters i Phoenix Contact utworzyły technologiczne partnerstwo w celu zapewnienia użytkownikom profesjonalnego, zintegrowanego oraz skutecznego wsparcia.
Zróżnicowane zastosowania we wszystkich obszarach przemysłowych |
SilentDefense to system do monitorowania i analizy sieci, które sprawdziły się w rzeczywistych systemach ICS/SCADA. Narzędzie programowe SecurityMatters wykorzystuje innowacyjną technologię w celu wykrycia nieprawidłowości w trybie procesu i podczas przepływu danych. Pozwala to na szybkie wykrycie zaawansowanych ataków cybernetycznych, problemów z konfiguracją sieci oraz błędów operacyjnych, dzięki czemu operator może natychmiast zareagować i rozpocząć korekty.
SilentDefense jest odpowiedni do stosowania we wszystkich krytycznych obszarach infrastruktury, takich jak elektryczność, olej, gaz i woda/ścieki. Z niewielkim wysiłkiem użytkownicy mogą od razu wykorzystać zalety systemu: mniej błędów, krótsze czasy przestojów, zminimalizowanie odpowiedzialności przedsiębiorstwa, a także wysoka wydajność i jakość usług. |
SecurityMatters B.V. założona w holenderskim mieście Eindhoven w 2009 roku to innowacyjna firma zajmująca się bezpieczeństwem w obszarze IT i specjalizująca się w wykrywaniu anomalii w sieciach przemysłowych. Istotnym elementem portfolio produktów SecurityMatters jest SilentDefense. Ta potężna platforma do monitorowania sieci znajduje się w ofercie rynkowej od 2013 roku. Firma Phoenix Contact jest jednym z wiodących na rynku światowym producentów i innowatorów w dziedzinie elektrotechniki, elektroniki i automatyki. Prowadzi między innymi własne centrum doskonałości w zakresie cyberbezpieczeństwa, którego siedziba znajduje się w Berlinie. W oparciu o gromadzoną przez wiele lat wiedzę dotyczącą tego środowiska, firma oferuje niestandardowe produkty i rozwiązania sieciowe spełniające nietypowe wymagania przemysłowe. Rutery z serii produktów FL mGuard stanowią rdzeń linii produktów Security (Rysunek 1).
Rys.1. Urządzenia zabezpieczające FL mGuard są również stosowane w środowiskach produkcyjnych
W 2016 roku firma SecurityMatters i Phoenix Contact postanowiły połączyć oferowane przez siebie produkty zabezpieczające, tworząc w ten sposób znaczną wartość dodaną dla użytkowników. W celu zagwarantowania odpowiedniego rozwiązania do monitorowania sieci, SilentDefense wspiera użytkowników poprzez analizę oraz ulepszenie sieci już istniejącej. Możliwość wizualizacji sieci w czasie rzeczywistym, przeprowadzanie testów zdefiniowanych przez użytkownika i automatyczne monitorowanie komunikacji sieciowej to tylko niektóre z funkcji wyróżniających ten system monitorowania. SilentDefense może być używany do diagnozowania ataków cybernetycznych, a także do identyfikowania błędów operacyjnych (Rysunek 2).
Rys. 2. Wizualizacja komunikacji sieciowej w czasie rzeczywistym na Pulpicie Analityki Sieci
Routery bezpieczeństwa przemysłowego FL mGuard firmy Phoenix Contact są zaprojektowane do pracy bez wykorzystania wentylatorów i zapewniają niezawodne zabezpieczenie oraz wydajność, która mieści się w kompaktowej, metalowej obudowie przeznaczonej do montażu na szynie DIN. Poza zapewnieniem bezpiecznego tunelu VPN (Wirtualnej Sieci Prywatnej), urządzenia te pełnią również rozmaite funkcje przemysłowego firewalla. Są to, między innymi, funkcja zapory sieciowej użytkownika, warunkowa zapora sieciowa do aktywacji określonych reguł zapory oraz głęboka inspekcja pakietów (DPI) w celu dokładnego zbadania wszystkich pakietów danych przesyłanych za pośrednictwem OPC Classic lub Modbus/TCP. Pozwala to na profesjonalne zastosowanie koncepcji Defense-in-Depth (Obrona w głąb), opartej na międzynarodowych standardach ISA 99 i IEC 62443. Dzięki zdecentralizowanej koncepcji bezpieczeństwa zakłady produkcyjne są niezawodnie chronione przed sabotażem i związanymi z tym nieprawidłowościami w procesie produkcji (rysunek 3).
Rys. 3. Zakłady produkcyjne mogą być chronione przez routery zabezpieczające w sposób zdecentralizowany
Praktyczne połączenie SilentDefense i urządzenia FL mGuard zapewnia dodatkowe korzyści dla użytkowników. Na przykład dział Doradztwa ds. Bezpieczeństwa firmy Phoenix Contact wykorzystuje to oprogramowanie do monitorowania sieci w celu szczegółowej analizy danych w złożonych sieciach przemysłowych. Dzięki temu operator systemu uzyskuje dokładny wgląd w to, jakie treści są przesyłane przez poszczególnych użytkowników, do kogo są one wysyłane, w jaki sposób oraz kiedy. Nieautoryzowana komunikacja jest widoczna i może być wyłączona. Dla wielu firm spektakularny atak cybernetyczny nie stanowi takiego zagrożenia jak liczne oraz powtarzające się niewielkie zmiany w systemie, które narastając z biegiem czasu stwarzają coraz większe ryzyko dla dostępności sieci produkcyjnej (rysunek 4).
Rys. 4. Węzły sieci i ich łącza komunikacyjne są widoczne na interaktywnej karcie sieciowej oraz zaznaczone są możliwe zagrożenia i nieprawidłowe konfiguracje
Na potwierdzenie tego można podać wiele przykładów. Na przykład, operator musi stosować urządzenie zastępcze zaprogramowane nieco inaczej niż oryginalny PLC. Podczas uaktualniania systemu dostawca produktu używa słabszego protokołu synchronizacji czasu niż ten, który stosowany był wcześniej. Nowo dodane urządzenia próbują połączyć się z zewnętrznym serwerem przy użyciu nieznanych portów TCP. Nawiązanie połączenia z niedostępnym serwerem powoduje gwałtowny napływ danych do sieci produkcyjnej. Lista podobnych przykładów nie ma końca.
Nowe funkcje urządzeń zabezpieczających |
Nowe oprogramowanie sprzętowe 8.4 dla urządzeń zabezpieczających z zakresu produktów FL mGuard zwiększa zakres wydajności urządzeń, między innymi dzięki Modbus TCP Inspector i zaporze sieciowej na podstawie nazw DNS. Modbus TCP Inspector, głęboka inspekcja pakietów (DPI) dla Modbus/TCP, może być wykorzystywana do zapewnienia szczegółowego zabezpieczenia połączeń stosujących powszechnie przyjęty standard branżowy. Prawa dostępu można teraz ustawić zarówno na poziomie adresów IP jak i portów, a także kodów funkcji i rejestrów używanych w protokole Modbus. Na przykład użytkownik może określić, którzy uczestnicy Modbus mają prawo jedynie odczytywać wartości, a którzy mogą dokonywać ich zapisu. Ponadto prawa dostępu można precyzyjnie określić według rejestru. Zapora oparta na nazwach DNS umożliwia tworzenie haseł dostępu do firewalla, które mogą być nawet oparte na adresach IP i nazwach DNS. To sprawia, że tworzenie konfiguracji staje się łatwiejsze w sytuacjach, w których adresy IP często się zmieniają. Nowa wersja oprogramowania sprzętowego 8.4 jest gotowa do pobrania w polu pobierania na odpowiednich stronach produktu. |
Po tym jak SilentDefense przeanalizuje wzajemne relacje komunikacyjne w sieci produkcyjnej i po wyłączeniu niepożądanych połączeń następuje drugi ważny krok, czyli zapewnienie bezpieczeństwa sieciowego za pomocą firewalli produktów linii Fl mGuard. Innowacyjnym aspektem tego rozwiązania jest wzajemne oddziaływanie sprzętu i oprogramowania na miejscu u danego użytkownika. Relacje komunikacyjne, które SilentDefense zidentyfikował jako poprawne, są przesyłane bezpośrednio jako rekordy danych konfiguracji zapory sieciowej do urządzenia zabezpieczającego zainstalowanego w zdecentralizowanym systemie. Ułatwia to definiowanie reguł zapory sieciowej i pozwala uniknąć wadliwych i niedbale utrzymywanych reguł zapory. W przypadku skomplikowanych, rozbudowywanych przez wiele lat sieci produkcyjnych pracownicy odpowiedzialni wolą raczej przepuścić nieznane, niezidentyfikowane pakiety danych przez zaporę sieciową, niż narazić się na ryzyko, że cały system nagle zaprzestanie produkcji. Taka praktyka powoduje jednak wysokie i niepotrzebne ryzyko związane z bezpieczeństwem. Dzięki opisywanemu rozwiązaniu i w oparciu o SilentDefense oraz urządzenia serii mGuard, wymagania użytkownika są teraz wdrażane profesjonalnie, co gwarantuje wysoką dostępność systemu przy jednoczesnej dużej ochronie sieci produkcyjnej przed nieautoryzowanym dostępem i szkodliwymi działaniami.
Wstępne projekty pilotażowe stanowią kolejny niezwykle innowacyjny krok. Jeśli SilentDefense jest na stałe zainstalowany u danego użytkownika, to ma on możliwość dynamicznego dostosowywania środków bezpieczeństwa. Jeśli, na przykład, hakerzy używają do ataku istniejącego, wcześniej bezpiecznego łącza komunikacyjnego, zapora mGuard FL może istotnie zmienić konfigurację w czasie rzeczywistym po uzyskaniu zgody od odpowiedzialnego pracownika lub SilentDefense może wykonać to całkowicie automatycznie. W ten sposób można szybko i w łatwy sposób przerwać niechciane połączenia, a pożądana transmisja danych będzie dozwolona w późniejszym czasie.
W ten sposób partnerstwo technologiczne pomiędzy SecurityMatters i Phoenix Contact doprowadziło do skoku innowacyjnego w dziedzinie bezpieczeństwa przemysłowego i ustanawia nowe standardy w zakresie jakości. Oprogramowanie SilentDefense oraz router bezpieczeństwa FL mGuard współdziałają na zasadzie symbiozy i tworzą wyraźną korzyść dla użytkownika. Z tego względu nie ma znaczenia, czy rozwiązanie to jest wykorzystywane w infrastrukturze krytycznej czy też w aplikacjach w jednym z wielu sektorów przemysłowych.
www.phoenixcontact.pl/ethernet
REKLAMA |
REKLAMA |