Защита промышленных сетей вместе с MOXA

Сети управления промышленными системами изначально были физически изолированы и поэтому почти не подвержены кибератакам. Однако в последнее время возросла сложность кибератак, и теперь и специалисты АСУ ТП и IT-специалисты вынуждены внедрять решения, повышающие уровень промышленной кибербезопасности. Таким образом, понимание требований промышленной кибербезопасности поможет компаниям снизить риски киберугроз.

Существуют две точки зрения на то, как должна быть организована сеть предприятия. Как правило, инженеры АСУ ТП хорошо разбираются в промышленный протоколах, но не имеют достаточно знаний по информационной безопасности. IT-специалисты, напротив, обладают необходимыми компетенциями, но не занимаются безопасностью сети АСУ ТП, т.к. не понимают ее работу.

Осознавая данную проблему, а также удовлетворяя запросы пользователей, компания MOXA стала активно развивать направление кибербезопасности, внедряя дополнительные функции и выпуская новые устройства с учетом требований к ИБ.

Отличия между АСУ ТП и IT

IT

[Опыт]

— Общение с ИТ вендорами, экспертиза в ИБ

[Сильные/слабые стороны]

+ Масштабные системы и сети

- Промышленные устройства

- Промышленные протоколы

[Позиция]

— Windows и Linux- основные ОС в АСУ ТП

— АСУ ТП неприкосновенна

— ПЛК трогать нельзя, могут поломаться

АСУ ТП

[Опыт]

— Общение с вендорами по АСУ ТП, Мало знаний по ИБ

[Позиция]

— АСУ ТП защищена

— ИБ – удел ИТ отдела

— ИТ отдел может нарушить работу АСУ ТП, пусть не лезут в наши системы

[Сильные/слабые стороны]

- Масштабные системы и сети

+ Промышленные устройства

+ Промышленные протоколы

Все решения по кибербезопасности от MOXA можно разделить на 3 большие группы:

Решения для обеспечения безопасности устройств

Для повышения уровня безопасности своих устройств, компания MOXA реализовала множество функций, повышающих кибербезопасность, на основе требований международного стандарта МЭК 62443. Полный набор функций безопасности реализован на многих устройствах, включая промышленные маршрутизаторы, коммутаторы для монтажа в стойку, коммутаторы серии EDS-500E, некоторые модели серверов последовательных интерфейсов NPort и шлюзов протоколов.

Предотвращение вторжений и атак

Для предотвращения сетевых вторжений и атак важно иметь хороший механизм контроля доступа, который может идентифицировать, аутентифицировать и авторизовать пользователей. Сетевые устройства Moxa поддерживают функции управления учетными записями пользователей, политики паролей и интерфейс аутентификации, которые соответствуют техническим требованиям безопасности стандарта IEC 62443.

• Операторы могут использовать эти функции для создания учетных записей и назначения ролей пользователей, предоставления различных прав доступа и управления доступом к устройствам в сетях.
• Аутентификация с помощью протоколов IEEE 802.1x, RADIUS, TACACS + и поддержка функции MAB (MAC Address Bypass) для устройств, которые не поддерживают IEEE 802.1x.
• Безопасность на портах обеспечивается с помощью функции Static Lock или ее улучшенной версии MAC-address Sticky, которая позволяет автоматически запомнить MAC-адрес подключенного устройства без ввода MAC адреса вручную. ACL (Assess Control List) обеспечивает безопасность сети, контролируя доступ к устройствам.
• Обеспечить защиту от DoS-атак можно отключив незашифрованные и неиспользуемые интерфейсы (например, HTTP и Telnet) и ограничив максимальное число пользователей для входа в систему, чтобы предотвратить перегрузку устройства избыточными запросами.

Защита конфиденциальных данных

Устройства Moxa поддерживают расширенные функции протоколов HTTPS/SSH, которые обеспечивают безопасную передачу данных по незащищенным сетям. Чтобы защитить данные от кражи или повреждения, Moxa предоставляет такие функции, как шифрование пароля SNMP и шифрование конфигурации сети, что обеспечивает максимальный уровень защиты сетевых устройств.

Защищенные преобразователи интерфейсов NPort 6000 используют SSL для реализации безопасной передачи данных в режимах Secure TCP Server, Secure TCP Client, Secure Pair Connection и Secure Real COM. Драйверы NPort соответствуют стандарту SSL и автоматически согласовывают ключ шифрования. Чтобы предотвратить хакерские атаки, NPort автоматически переключается с DES/3DES на AES-шифрование для передачи данных с высокой степенью защиты.

Защитите сеть от несанкционированного доступа

Управляемые коммутаторы Moxa серии E имеют встроенную защиту от несанкционированного доступа.

Особенности коммутаторов EDS-500E:

• Аутентификация пользователей
• Контроль сетевого доступа с помощью MAC Sticky и списка контроля доступа
• Поддержка HTTPS и SSH-шифрования

Отслеживание сетевых событий

Защита от киберугроз не ограничивается только настройками оборудования. Вы должны постоянно отслеживать состояние сети и проверять сетевые события на наличие потенциальных угроз. Несмотря на то, что довольно трудно обнаружить нарушения в режиме реального времени, журналы событий безопасности могут помочь вам определить источник проблемы. Информация из этих журналов данных может использоваться для отслеживания сетевой активности, анализа потенциальных угроз или выявления устройств, которые настроены неправильно, которые затем можно использовать для прекращения доступа пользователей, удаления учетных записей пользователей или перезагрузки устройств.

Решения MOXA

Решения для обеспечения безопасности сети

Сети промышленных системы управления раньше были полностью изолированы от корпоративной сети и сети Интернет. Несмотря на то, что к промышленным сетям подключаются все больше устройств, большинство операторов АСУ ТП все еще не воспринимают всерьез необходимость защиты от кибербезопасности. Из-за количества кибератак, нацеленных на критически важный производственный сектор, ясно, что сети управления производством подвержены высокому риску атак.

Разделение сети на зоны и участки

Архитектура построения защищенной сети требует разделения сети АСУ ТП на защищенные изолированные зоны и участки. Связь между каждой зоной или участком защищена межсетевыми экранами, что дополнительно снижает вероятность того, что вся сеть станет жертвой кибератаки.

Промышленные маршрутизаторы сетевой безопасности серии EDR обеспечивают защиту зон и участков с помощью прозрачного межсетевого экрана (Transparent Firewall), который защищает сети управления и критически важные устройства, такие как ПЛК и RTU от несанкционированного доступа. Благодаря использованию этого решения нет необходимости перенастраивать параметры сети, что делает развертывание быстрее и проще. Серия EDR-810 поддерживает технологию резервирования Turbo Ring, что делает разделение сети на участки более гибким и экономичным. Более того, Ethernet-коммутаторы Moxa могут создавать виртуальные подсети (VLAN) для разделения каждого из участков на более мелкие сети, которые изолируют трафик от других VLAN.

Почему Вам не подходит обычный Firewall?

Разделение сети на подсети увеличивает безопасность.

Контроль траффика, передаваемого между зонами

Трафик, проходящий между зонами в промышленной сети, должен быть тщательно изучен для повышения безопасности. Есть несколько способов сделать это. Одним из методов является обмен данными через DMZ, где сервер данных установлен между защищенной сетью ICS и незащищенными сетями без прямого подключения. Серия EDR-G903 от Moxa может помочь в обеспечении безопасного управления трафиком за счет использования пользовательских правил межсетевого экрана. Второй метод заключается в том, что маршрутизаторы EDR выполняют глубокую проверку Modbus TCP пакетов (технология PacketGuard) для контроля действий и улучшения контроля трафика. Этот метод упрощает задачи администрирования и может защитить от передачи нежелательного трафика из одной сети в другую. В дополнение к firewall можно использовать список контроля доступа для фильтрации входящих пакетов коммутаторов по IP-адресу, что позволяет сетевым администраторам защищать сети, контролируя доступ к устройствам или частям сети.

Определите, какой трафик может проходить между зонами сети.

Безопасный удаленный доступ к сети предприятия

В настоящее время существуют два решения для безопасного удаленного доступа. Для постоянного соединения рекомендуются стандартные VPN-туннели. Серия EDR компании Moxa может использовать протоколы IPsec, L2TP over IPsec или OpenVPN для настройки зашифрованных VPN-туннелей IPsec или клиентов OpenVPN. Эти методы защищают данные от изменения при их передаче и обеспечивают безопасный удаленный доступ между промышленными сетями и удаленными приложениями. В качестве альтернативы, если требуется, чтобы удаленный доступ был доступен по требованию только для определенных компьютеров или уязвимых областей, необходима платформа управления для всех удаленных подключений.

Безопасный удаленный доступ к сети предприятия.

Решения MOXA

Удобное управление системой безопасности

У устройств есть функционал защиты, но как убедиться и быть уверенным, что он настроен?

Система управления сетью MXview предоставляет интегрированную платформу управления, которая может управлять сетевыми устройствами и следить за состоянием сети прямо из веб-браузера как локально, так и удаленно. Кроме того, функция Security View помогает пользователям визуализировать состояние безопасности сетевых устройств. Используя Security View, сетевые администраторы могут просматривать уровень безопасности устройства, а также проверять параметры безопасности, такие как статус политики паролей, в режиме реального времени для каждого сетевого устройства. Пользователи могут использовать предустановленные профили, отвечающие техническим требованиям безопасности стандарта IEC 62443. Security View также предоставляет экспертам по безопасности возможность создавать профили. Сетевые администраторы могут легко получить полный обзор уровня безопасности сети и быстро реагировать на любые уязвимости, обнаруженные в их сетях.

Экономьте время на управлении безопасностью с MXconfig

Существует несколько настроек безопасности для каждого сетевого устройства, которые необходимо проверить и активировать для соответствия техническим требованиям стандарта МЭК 62443. Без помощи таких инструментов, как MXview и MXconfig, сетевым администраторам приходится вручную проверять сетевые устройства одно за другим, чтобы устанавливать параметры, что отнимает много времени и увеличивает вероятность ошибки. Мастер безопасности MXconfig значительно сокращает время настройки, благодаря одновременной настройке большого количества сетевых устройств, а также помогает при настройке каждого устройства вручную.

Примеры применений

Обладая более чем 30-летним опытом работы в сфере промышленных сетей, Moxa использует этот опыт, помогая клиентам создавать безопасные сети, предлагая защиту для ПЛК, SCADA систем, заводских сетей и удаленного доступа. Загрузите тематические исследования, чтобы узнать больше.

Защита ПЛК и SCADA

Заказчик: Нефтегазовая Сервисная Компания

Задача

Нефтепроводы и газопроводы большой пропускной способности часто имеют протяженность тысячи километров. Насосные станции вдоль трубопровода оснащены анализаторами и ПЛК. Заказчику было сложно поддерживать безопасное и стабильное сетевое соединение между станциями и удаленной SCADA системой, поскольку ПЛК и устройства ввода-вывода не имели никаких функций безопасности.

Защита заводских сетей

Заказчик: Завод Автозапчастей

Задача

Управляющий завода автозапчастей планировал оцифровать все производственные процессы. Полевые устройства работают по протоколу EtherNet/IP для унификации управления и сбора данных. Поскольку сетевая инфраструктура на этом предприятии является крупномасштабной, руководителю предприятия очень сложно отслеживать все устройства и визуализировать топологию сети. Кроме того, для реализации оцифровки все сети должны быть соединены от полевого участка до ERP и облака. Очень важно иметь хорошие меры кибербезопасности, чтобы процесс цифровизации происходил без ущерба для эффективности производства.

Защита удаленного доступа

Заказчик: Производитель станков с ЧПУ

Задача

Максимальное время безотказной работы сети предприятия повышает производительность завода. Ведущий производитель механических прессов должен был обеспечить своевременное и эффективное послепродажное обслуживание, чтобы обеспечить высокие рабочие характеристики и эффективное устранение неполадок. Сначала производитель использовал технологию удаленного управления рабочим местом на основе Windows (RDC), но в этом случае были риски для безопасности и дополнительные расходы на обслуживание. Кроме того, компьютер под управлением Windows сам по себе подвержен угрозам безопасности, и вероятность атак увеличивается еще больше, когда компьютер подключается к Интернету.

Почему MOXA