Az informatikai rendszerek fejlődésével, az IIoT-rendszerek mindennapos használatával ugyanis egyre nagyobb mértékben vagyunk fenyegetettségnek kitéve. Éppen ezért előbb vagy utóbb mindenki rákényszerül arra, hogy a kiberbiztonságba beleássa magát, és ha szerencséje van, akkor mindezt még azelőtt teszi, mielőtt maga is valamilyen kibertámadást szenvedne el, amely akár több napon keresztül megbéníthatja a termelést, ezzel többmilliós károkat okozva. Szerencsére azt egyre többet tapasztaljuk, hogy a hazai gyártók valamilyen módon már elkezdtek a kiberbiztonság témával foglalkozni. Vannak olyanok, akik egészen elöl járnak, és olyanokkal is találkozunk, akik most kezdtek ezen az ösvényen járni.
Éppen ezért, a Com-Forthnál már egy jó ideje nagy hangsúlyt fektetünk ezeknek a koncepcióknak és megoldásoknak az érdeklődőkkel való megismertetésére a különböző szakmai konferenciákon, fórumokon stb. keresztül. A kiberbiztonság témához tartozó, talán a legtöbbet látott és hallott kifejezések, amelyekkel a szakértők sokszor dobálóznak, azok az ún. IPS és IDS megoldások. Alapvetően mind az IDS, mind az IPS megoldások célja a szervezetet érő fenyegetések elleni védelem. Na de mégis mik ezek, és mi a különbség köztük? Tehát a tűzfal önmagában nem elég?
Megannyi kérdés merül fel, ezért talán kezdjük az utóbbival, a régóta elterjedt tűzfallal. A tűzfal továbbra is fontos elem, azonban nem elegendő. Bár nélkülözhetetlenek minden vállalati szintű hálózathoz, működésük gyakran kissé robotszerű – különösen, ha az eszköz régebbi. A tűzfalak a bejövő adatcsomagokat számos szempont alapján vizsgálhatják és szűrhetik: portok, protokollok, csomagfejlécek, a csomag forrása, a csomag rendeltetési helye és így tovább.
Bár ezek az ellenőrzések fontosak, ez a korlátozott hatáskör gyakran nem teszi lehetővé a tűzfalak számára, hogy felismerjék a dinamikusabb fenyegetéseket, olyanokat, amilyeneket például egy hackertámadás jelenthet. Ilyen esetben, bár az adatcsomagok több szempontból is biztonságosnak tűnhetnek, mégis rejtett veszélyt jelentenek. Arról nem is beszélve, hogy a tűzfalak csak a bejövő és kimenő forgalommal foglalkoznak, míg az IPS/IDS megoldások a hálózaton belüli mozgás során is képesek azonosítani a problémákat.
Nézzük tehát, hogy mire is jó az IPD/IDS! Még mielőtt nagyon előremennénk, és elkezdenénk a témát boncolgatni, annyit mindenképpen érdemes megjegyezni, hogy az IPS/IDS technológiák több évtizedes múltra tekintenek vissza az IT-világban. Bár az évek alatt óriási fejlődésen mentek keresztül, alapvetően még mindig nagyon hasonlítanak az 1986-ban kifejlesztett első prototípushoz (Intrusion Detection Expert System), amely statisztikai anomáliadetektálást, szignatúrákat, valamint a felhasználók és a hostrendszerek profiljait használta a káros hálózati viselkedés felderítésére.
Az IT fejlődése mellett az OT (operatív technológia) terület fejlődése lassabb ütemű. Az IT és az OT korábban két külön világ volt. A digitális transzformáció előrehaladtával azonban egyre inkább összeolvad ez a két terület. Az IoT és IIoT elterjedése megköveteli az IT- és OT-rendszerek összekapcsolását. Ez pedig magával vonja azt, hogy az OT-rendszerek sokkal inkább ki vannak téve a kiberkockázatoknak, mint valaha. Az IT-biztonságból ismert támadások – mint például a zsarolóvírusok – most már az OT-rendszereket is érinthetik. Éppen ezek miatt szükséges az OT területet is felvértezni olyan védelmi megoldásokkal, mint az ipari felhasználásra fejlesztett IPS/IDS technológiák.
IDS
Az IDS az Intrusion Detection System (behatolásérzékelő rendszer) angol szavak rövidítése, és ahogy az a nevéből is következik, az illetéktelen hálózati behatolás jelzésére kifejlesztett rendszer. A behatolásérzékelő rendszer egy passzív felügyeleti megoldás, amelynek az a feladata, hogy a vállalatot fenyegető kiberbiztonsági incidenseket észlelje, és potenciális behatolás esetén riassza a biztonságért felelős illetékeseket, hogy azok kivizsgálják az incidenst, és szükség esetén megtehessék a korrekciós intézkedéseket. Az IDS-rendszerek monitorozzák és elemzik a hálózati forgalmat olyan mintázatok után kutatva, amelyek kibertámadásra utalnak.
Összehasonlítják az aktuális hálózati aktivitást a már ismert fenyegetési adatbázissal, hogy beazonosítsanak többféle viselkedést, például a biztonsági házirendek megsértését, malware-eket, ismert sérülékenységet kihasználó kártékony kódokat vagy akár portscannelést végző programokat. Monitor üzemmódban elővalidációra is használhatók, hogy biztosra menjünk, minden beállított szabály rendben van. Ebben az esetben remek visszajelzést adnak anélkül, hogy bármilyen kockázatot jelentenének a gyártósor folyamatos működése szempontjából.
IPS
Az Intrusion Prevention Systems vagy behatolásmegelőző rendszer a hálózatnak a tűzfallal azonos területén, a külvilág és a belső hálózat között helyezkedik el. Ezeket a hardvereket gyakorta használják a hálózat szegmentálására, hogy ezzel egy cellákra bontott ideális hálózatot hozzanak létre. Továbbá alkalmazzák még plusz védelmi vonalként is a kritikus vagy sérülékeny berendezések előtt. Az IDS-rendszerekhez hasonlóan az IPS is beazonosítja a potenciális fenyegetéseket szignatúra-, eltérés- vagy hibrid detektálási módszerekkel. A detektálást követően pedig, ha a beazonosított csomag ismert biztonsági fenyegetést jelent, akkor az IPS proaktívan blokkolja a hálózati forgalmat.
IPS vs. IDS – összehasonlítás
Mind az IDS, mind az IPS eszközök végeznek ún. mély adatcsomag-vizsgálatot (Deep Packet Inspection), és összehasonlítják a tartalmakat az ismert fenyegetések adatbázisával. Az elsődleges különbség a két eszköz között az, hogy mi történik ezután. Az IDS-ek alapvetően monitorozó eszközök, így nem tesznek önállóan intézkedéseket. Működésük külső beavatkozást – emberi – kíván meg. Az összehasonlítás eredménye alapján kerül meghatározásra a következő lépés. Ezzel szemben az IPS eszközök a veszélyes tartalmak blokkolására lettek kifejlesztve. Ehhez mindössze arra van szükség, hogy naprakész fenyegetettségi adatbázis álljon rendelkezésre.
A vállalatok IT/OT csapatai fokozatosan egyre nagyobb veszéllyel néznek szembe. Az IDS/IPS technológia a kiberbiztonsági stratégia sajátos és fontos feladatait látja el. Az IDS/IPS rendszerek nagyrészt önműködők, ez pedig ideális jelöltekké teszi őket a jelenlegi biztonsági stackben való használatra. Az IPS biztosítja, hogy a hálózat korlátozott erőforrásigény mellett védve van az ismert fenyegetésekkel szemben. Ezenfelül egy ilyen rendszer bevezetése a megfelelőséget is garantálja. Továbbá az IDS/IPS konfigurálható, ezáltal segít a belső biztonsági irányelvek hálózati szintű érvényesítésében.
Egyre több gyártónál, így a MOXA-nál is megjelennek az IPS és IDS funkciókat kombináló megoldások, mint például az új generációs EtherCatch és EtherFire IPS/IDS megoldások, amelyek whitelisting funkciókkal, továbbfejlesztett OT-központú Deep Packet Inspection technológiával növelik az ipari hálózatok biztonságának átláthatóságát, és redukálják a sérülékenység mértékét. A virtuális patchelési technológiának köszönhetően pedig védelmet biztosítanak az elavult, régi operációs rendszereket és szoftvereket futtató ipari berendezéseknek. Az eszközök egyaránt képesek a „Detection” és „Prevention” üzemmódra, ezáltal támogatva a különböző OT-forgatókönyveket.
A Com-Forthnál elérhető cybersecurity megoldásokról bővebben az alábbi oldalon tájékozódhat: https://info.comforth.hu/hu/moxa-ipari-kiberbiztonsag