CISA и няколко други западни агенции за сигурност публикуваха насоки, които помагат на собствениците и операторите на оперативни технологии (ОТ) да избират сигурни продукти.
Агенциите автори предупреждават, че заплахите се насочват към конкретни продукти за ОТ, а не към конкретни организации, като посочват, че уязвимите продукти за ОТ могат да предоставят на нападателите достъп до системите на множество жертви в различни сектори на критичната инфраструктура.
„Много OT продукти не са проектирани и разработени с принципите на Secure by Design и обикновено имат слабости, като например слаба автентификация, известни софтуерни уязвимости, ограничено регистриране, несигурни настройки и пароли по подразбиране и несигурни наследени протоколи. Участниците в киберзаплахи могат лесно да използват тези слабости при множество жертви, за да получат достъп до системите за управление“, заявиха агенциите.
Те посъветваха собствениците и операторите на ОТ да се снабдяват с продукти от производители, които приоритизират серия от 12 елемента на сигурността.
Елементите за сигурност, които купувачите трябва да търсят, са управление на конфигурацията, регистриране в базовия продукт, отворени стандарти, собственост, защита на данните, сигурност по подразбиране, сигурни комуникации, сигурни контроли, силно удостоверяване, моделиране на заплахите, управление на уязвимостите и инструменти за обновяване и поправки. Трябва да се отбележи, че те не са изброени по реда на техния приоритет.
За всеки от тези елементи ръководството предоставя кратко описание на критериите за избор и въпросите, които трябва да се зададат, преди да се придобие даден продукт.
Например продукт, който регистрира всички действия, използвайки стандартни формати, улеснява защитниците на ОТ мрежи да събират доказателства за прониквания. Потенциалните купувачи трябва да задават въпроси за това дали продуктът регистрира рестартиране, влизане в системата или промени, дали предоставя телеметрия и регистри, които помагат за прогнозиране и предотвратяване на срив в процеса, и дали събитията, свързани със сигурността и безопасността, се регистрират по подразбиране. Що се отнася до собствеността, клиентите трябва да имат пълна автономия върху продукта, включително върху промените и поддръжката, за да могат да реагират бързо на инциденти и да се възстановят.
По отношение на защитата на данните продуктът за ОТ трябва да гарантира целостта и поверителността на данните, услугите и функциите.
„Данните за ОТ рядко се променят и са ценни за заплахите, които се опитват да разберат системата. Разбирането на оперативните данни често е необходимо, за да се заобиколят проверките за безопасност и да се причини трайна вреда“, обясняват агенциите в своите насоки.
Сигурност по подразбиране означава, че продуктът е сигурен и устойчив срещу преобладаващите заплахи и уязвимости още в кутията, без да изисква промени в конфигурацията.
Що се отнася до безопасните контроли, продуктите трябва да разполагат с механизми за защита срещу злонамерени команди – като се работи при предположението, че в мрежата, в която е внедрен продуктът, има участник, който представлява заплаха.
Индустриалните системи за управление (ICS) и други продукти за ОТ също трябва да разполагат с подробен модел на заплахите, който позволява на собствениците на активи да разберат рисковете, свързани с продукта, и да определят приоритетите за контрол на сигурността.
Ръководството е написано от агенции за сигурност в САЩ, Австралия, Канада, Германия, Нидерландия, Нова Зеландия и Обединеното кралство, както и от агенция на Европейската комисия. Документът е достъпен в PDF формат на англ. ез.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
