Clico 2020

70_reducing-risks-from-iot.jpg
Forrás: ITB
Eloszlatjuk a bizalmatlanságot!

Miért és hogyan védjük IoT- és OT-eszközeinket?

Lassan minden nap hallunk valamilyen új támadásról. Ezek egyre kifinomultabban és célzottabban ostromolják a kritikus rendszereket, legyen az akár egy teljes kapacitáson működő kórház vagy egy globális cég logisztikai telephelye. Ahogy egyre több eszköz kapcsolódik a céges környezetekhez, az IT-biztonsági csapatok kezéből úgy kezd kicsúszni a gyeplő.

A fekete dobozként kezelt IoT- (Internet of Things) és OT- (Operational Technology, ICS, Scada) megoldások a legtöbb esetben védelmek nélküli eszközt rejtenek. Óriási probléma, hogy ezeket az eszközöket a biztonságért felelős csapatok bevonása nélkül állítják üzembe, ráadásul a legtöbb esetben az eszközök gyártója még biztonsági frissítéseket sem biztosít. Vagyis hiába találjuk meg a sérülékenységet, az elhárítását szinte lehetetlen megoldani. Leállítani az eszközöket nem lehet, és a hálózati kommunikációjukat sem olyan egyszerű blokkolni, hiszen a működésbiztonság, a rendelkezésreállás a legfontosabb szempont.

A támadók legtöbbször csak nyers számítási kapacitást akarnak szerezni, amit egy botnet-hálózat vagy kriptovaluta-bányászgép működtetéséhez használnak. Mindez nem tűnik veszélyes helyzetnek, pedig teljes kontroll alatt tartják a gépeket, és csak rajtuk múlik, mire használják fel a megszerzett hozzáférést. Az ilyen támadások ellen a legtöbb esetben nem tudunk standard végpontvédelmi megoldásokkal védekezni, de nem kell elkeseredni, mert van hatékony megoldás a védelemre.

A legtöbb biztonsági gyártó olyan megoldásokat fejlesztett az IoT- és OT-eszközök védelmére, amelyek segítségével egyáltalán nem, vagy csak minimálisan kell aktívan-intruzívan vizsgálnunk az eszközöket. Sok esetben ugyanis ezek a kis számítási kapacitású célgépek nincsenek felkészítve például egy teljes porttartomány-vizsgálat elviselésére, a túlterhelésük viszont fennakadásokat okozhat az üzletmenetben.
A legelterjedtebb megoldás egy hálózati szenzor telepítése, amelyre rá tudjuk tükrözni az OT-hálózatunk forgalmát, majd egy intelligens rendszer feldolgozza az adatokat, és megmutatja, milyen eszközöket lát. Ettől eltérő megoldást alkalmaz a SentinelOne végpontbiztonsági cég, amely az egyes végpontokra kitelepített klienseket használ a hálózat vizsgálatára. Ez a megközelítés is hasznos lehet, mivel képes minimális zajjal megvizsgálni a különböző hálózati szegmenseket, amiből kiderül, milyen ismeretlen eszközök válaszolnak például egy pingre, milyen portok vannak nyitva, és emellett minden, általunk nem menedzselt eszköz broadcast-forgalmát is képes elemezni. Így passzívan is nagy mennyiségű adathoz jutunk a hálózatunkon található eszközökről, és ezeket felhasználva tudjuk finomhangolni a védelmünket.

A broadcast-forgalmakon kívül a védett eszközeink irányába indított hálózati kéréseket is láthatjuk, vagyis egy hálózatfelderítésről vagy a támadó mozgásáról is kaphatunk riasztást. A SentinelOne Ranger megoldása folyamatos fejlesztés alatt áll, és óriási előnye, hogy a hálózatunkon nem kell semmilyen módosítást végeznünk, sőt a végpontjainkon sem kell a gyártó újgenerációs végpontvédelmi kliensén kívül mást telepítenünk. Menedzsment szempontból sem kell más konzolt használnunk, mint amit a végpontjaink védelmének kezelésére használnánk.

Adatbázissal a lefedettségért

A Forescoutba épített eszköz-adatbázisnak köszönhetően a megoldás több mint 5000 különböző OT-ICS-IoT-gyártó eszközeit képes felismerni, többek között 350-nél is több egészségügyi eszközt, többezer ipari és gyártásvezérlőt, illetve az ezek által használt több mint 100 hálózati protokollt. Ezt a nagymértékű vizibilitást használhatjuk arra is, hogy felderítsük a nem üzletmenetnek megfelelő kapcsolatokat, például ismeretlen gépek és az IoT-eszközök közötti kommunikációt vagy az IoT-eszközök irányából induló gyanús címekre tartó forgalmat. Ezt a rengeteg adatot felhasználhatjuk különböző szabályok megalkotására, és a külső integrációknak köszönhetően akár automatizálva is tudunk reagálni a felfedezett sérülékenységekre, például automatizált mikroszegmentációval. Az is figyelemre méltó, hogy a világjárvány miatt különösen fontos egészségügyi eszközök védelmét egy új partnerség keretében még nagyobb mélységben próbálja megvalósítani a Forescout a Medigate-tel karöltve, amely kifejezetten az egészségügyi eszközfelderítés és kibervédelem területén aktív.

Felvásárlás, integráció

A Forescout neve a kliensnélküli NAC- (Network Access Controll) platform kapcsán már ismerős lehet, de a Security Matters cég SilentDefense megoldásának felvásárlása kapcsán az OT-védelem szempontjából is érdemes rá figyelni. A Forescout megoldása az első olyan újgenerációs hozzáférésvédelmi megoldás, amely az IT-, IoT- és OT-rendszereket központilag képes kezelni és integrációk használatával védeni. Szenzorok alkalmazásával aktív vizsgálat és beavatkozás nélkül tudjuk felderíteni a hálózatunkat, és minden IP-alapú kapcsolatot az eszközeink között. Ha engedélyezzük az aktív vizsgálatot, akkor sérülékenységeket is fel tudunk deríteni (például gyári belépési adatok vagy nyitott telnet- és http-portok kapcsán, és az ezek mögötti sérülékeny szolgáltatásokat is megtalálhatjuk). Tapasztalatunk szerint már a tesztrendszer használata közben felismeri a legtöbb cég, hogy nagy mennyiségű, nem ismert eszköz van a hálózatán.

A Palo Alto Networks tűzfal-, végpontvédelmi és felhős kibervédelmi megoldásai több szakértő és tanácsadó cég szerint is piacvezető a kategóriájában. A gyártó a folyamatos fejlesztés mellett sok innovatív gyártó felvásárlásával is gyorsítja portfóliójának bővítését. A ZingBox cég felvásárlásával az eszközfelderítés és IoT-védelem területén szereztek új képességeket, melyeket a vázolt problémák megoldására remekül lehet használni. A megoldás jelenlegi formájában szenzoralapon működik, hasonlóan a legtöbb megoldáshoz, de mesterséges inteligenciát és gépi tanulást használó felhős menedzsmentfelületet is kapunk hozzá. Ennek köszönhetően egyedi, három pillérből álló eszközmodellt készít a megoldás, ami a megismert adatok alapján az eszköz típusa, gyártója és modellje, valamint a konkrét eszköz egyedi tulajdonságaiból áll. Köszönhetően a napi 1,6 Petabyte feldolgozott adatnak, nagyon pontos modelleket tud alkotni a megoldás, ráadásul ahogy egyre jobban integrálódik a Palo Alto Networks ökoszisztémájába, ez a szám a Cortex Data Lake integrációjával nőni fog, ami tovább segíti az elemzés még pontosabbá tételét.

 

Együttműködő termékek

A középtávú tervek szerint külön szenzor használatára se lesz szükség a jövőben, ha már rendelkezünk Palo Alto Networks tűzfallal, elég csak egy új előfizetés aktiválása. Jelenleg a ZingBox felhője vizsgálja a legnagyobb mennyiségű IoT viselkedési adatot, így ennek köszönhetően szignatúra és bármilyen agent használata nélkül is nagy pontossággal képes kiszűrni a viselkedési anomáliákat. Az eszköztípusuk alapján egyszerűen tudunk mikroszegmentációt megvalósítani, ami nagy segítség a „zero-trust” alapú védelmi vonalaink kialakításában. Mindezeken kívül egyedi képessége a rendszernek, hogy tud terheltségi-használati adatokat elemezni, ami segíthet a karbantartási időablakok időzítésében, illetve az aktív vizsgálat időzítésében.

Fontos megemlíteni, hogy a fentiekben bemutatott termékek minden esetben integrálhatók SIEM és SOAR menedzsmentrendszerekkel, és használatukkal a feketedoboznak tartott, az IT-részleg számára általában ismeretlen eszközök védelme, valamint a hálózatunk vizibilitása is nagymértékben javítható.