Zabezpieczenie USB to zaledwie kilka fragmentów skomplikowanych puzzli całego systemu zabezpieczeń. Narodowe Centrum do Walki z Cyberprzestępczością opublikowało wytyczne dotyczące stosowania pamięci USB, według których użytkownicy powinni ustalić ścisłe procedury dotyczące sieci korporacyjnych oraz sieci przemysłowych systemów sterowania. Fizyczny układ obiektów i sieci OT w pojedynczym zakładzie przemysłowym może być zupełnie inny niż w rozproszonej na dużej powierzchni sieci elektroenergetycznej. Dlatego też, firma DataLocker oferuje profesjonalne usługi, w ramach których może doradzić w kwestii opcji konfiguracji indywidualnie dostosowanej do Twoich potrzeb.
Standaryzowane urządzenia USB w sieci OT a Sentry K300
Jeśli chcesz zagwarantować, że do sieci OT będą dopuszczone tylko wybrane, zaufane, zarządzane i bezpieczne urządzenia, zastosuj kontrolę bezpieczeństwa fizycznego. Ten aspekt rozwiązania eliminuje zagrożenie w postaci ataków złośliwego sprzętu – głównego elementu ataków elektrycznych. Niektóre sieci OT jest trudniej kontrolować pod kątem urządzeń, którym udzielasz fizycznego dostępu. Chcąc sprawić, żeby rozwiązanie to było w pełni skuteczne, wymagane są środki wspierające.
Oferta firmy DataLocker
Wysokie możliwości urządzenia Sentry K300 firmy DataLocker zostały wyspecjalizowane w wielu przypadkach, w szczególności w kwestii sieci OT. Narzędziem USB z klawiaturą alfanumeryczną możesz w pełni administrować. Możesz również poddać je kontroli, gdy jest podłączone do komputerów osobistych. Sentry K300 firmy DataLocker może Ci służyć jako alternatywny nośnik danych z możliwością nadzorowania osobnego odblokowania. Uzdolnienie osobnego odblokowania to priorytetowa funkcja umożliwiająca sterownikom PLC i urządzeniom IoT odczyt oraz rejestr danych. Sentry K300 firmy DataLocker ma również możliwość oczyszczenia nośników przy użyciu szyfrowanego usunięcia informacji. Kryptograficzne usunięcie danych może również być elementem wymogów prawnych. Nakazują one zniszczenie wrażliwych danych po wykonaniu zadania, do którego są potrzebne.
Ustaw urządzenie zabezpieczające granicę sieci OT – Sentry K300
Zastosowanie urządzenia chroniącego granicę sieci OT (białej stacji) ma na celu utworzenie bramki pomiędzy siecią IT a OT. Zagwarantuje ona osiągnięcie pewnego poziomu bezpieczeństwa wszystkich danych przychodzących do sieci OT. Biała stacja będzie pełnić funkcję strażnika, który stawia czoła zagrożeniom z zewnątrz. W zależności od kryteriów istnieje wiele sposobów dzięki którym ustawisz komputer stacjonarny jako białą stację. Ogólnie rzecz biorąc, urządzenie powinno dysponować aktualnym silnikiem antywirusowym i posiadać rygorystyczny harmonogram aktualizacji systemu operacyjnego. Standardowy sprzęt komputerowy możesz uzupełnić na przykład o koncentrator USB z zabezpieczeniem przed wyładowaniami elektrostatycznymi (ESD). Będzie on chronił maszynę przed wszelkimi zagrożeniami elektrycznymi wykorzystującymi USB. Zaleca się również dopuszczenie tylko jednej klawiatury HID, aby zapobiec większości zagrożeń typu BadUSB.
Oferta firmy DataLocker
Połączenie ze sobą różnych technologii firmy DataLocker umożliwia stworzenie jednej białej stacji lub tylu, ilu wymagają procedury. Urządzenie Sentry K300 firmy DataLocker można skonfigurować tak, aby działało na nim oprogramowanie antywirusowe McAfee. Będzie ono blokować złośliwe oprogramowanie pochodzące z urządzeń USB. Opcje zarządzania urządzeniem Sentry K300 firmy DataLocker obejmują politykę ograniczania dostępu dla plików, która umożliwia określenie typów plików dopuszczanych do sieci OT. Połączenie urządzenia Sentry K300 z oprogramowaniem do kontroli portów USB PortBlocker na standardowym komputerze stacjonarnym w obudowie pozwala uzyskać jeszcze wyższy poziom ochrony. Oprogramowanie PortBlocker możesz skonfigurować tak, aby zezwalało tylko na operacje odczytu z urządzeń, które przechodzą przez maszynę pełniącą funkcję białej stacji.
Kontroluj porty USB zawsze gdy jest to możliwe
Zawsze gdy jest to możliwe ograniczaj dostęp do portów USB w sterowniku PLC i urządzeniach komputerowych. Zwłaszcza w tych, które nie mogą być wyposażone w oprogramowanie kontrolujące porty. Możesz to uczynić, stosując szafy zamykane na zamek lub fizyczne blokady portów USB. We wszystkich standardowych systemach operacyjnych powinieneś zainstalować oprogramowanie do kontroli portów USB. Za tym rozwiązaniem stoi prosta logika: ograniczając dostęp do portu, ograniczasz zagrożenie stwarzane przez niezatwierdzone urządzenia USB.
Oferta firmy DataLocker
Oprogramowanie do kontroli portów PortBlocker powinno być zainstalowane na wszystkich kompatybilnych maszynach w sieci OT oraz IT. Dopilnuje ono za Ciebie, aby tylko dozwolone, standaryzowane urządzenia mogły być podłączane jako pamięć masowa USB.
Sanityzacja danych na urządzeniach magazynujących
Jednym z racjonalnych środków zapobiegających rozprzestrzenianiu się złośliwego oprogramowania jest dopilnowanie, aby używane urządzenia magazynujące były regularnie czyszczone z danych. Takie rozwiązanie gwarantuje Ci czyste punkty kontrolne w czasie działania. Może również stanowić element zgodności z przepisami prawnymi nakazującymi udowodnienie, że wrażliwe dane są usuwane z nośników wymiennych po upływie wymaganego czasu. Typowe pamięci USB można określić mianem urządzeń do gromadzenia danych, ponieważ zostały zaprojektowane tak, aby mieć jak najdłuższą żywotność. Oznacza to, że typowe urządzenie magazynujące będzie nadpisywać sektory danych tylko w sytuacjach absolutnie koniecznych. Jest to możliwe nawet jeśli tablica informująca o rozmieszczeniu plików (FAT) będzie pokazywać „czyste” urządzenie. To „gromadzenie danych” pociąga za sobą niefortunną konsekwencję: zaginięcie urządzenia USB powoduje ujawnienie tak wielu danych jak tylko możliwe.
Oferta firmy DataLocker
Sprzętowo zaszyfrowane urządzenia firmy DataLocker rozwiązują skomplikowany problem sanityzacji. Wykorzystują one metodę kryptograficznego usuwania danych. Krótko mówiąc, metoda ta polega na zniszczeniu aktualnego klucza szyfrowania. Służy on do odszyfrowywania aktualnie przechowywanych danych i wygenerowaniu nowego klucza. Proces ten gwarantuje, że nośnik jest czysty i spełnia wymagania określone w wytycznych. Mowa o NIST 800-88 dotyczących sanityzacji nośników danych (NIST 800-88 Guidelines for Media Sanitization)16. Na większości terytoriów obowiązują normy podobne do wytycznych NIST. Ogólnie możnemy stwierdzić, że pełne kryptograficzne usunięcie jest najszybszą oraz najskuteczniejszą metodą usuwania danych.
Zabezpieczenie przed złośliwym oprogramowaniem i weryfikacja wczytywanych danych – Sentry K300
Białe stacje i wszystkie kompatybilne punkty końcowe w sieci OT powinny być wyposażone w co najmniej jedną warstwę zabezpieczenia przed złośliwym oprogramowaniem. Stosując ten środek umożliwisz zwalczanie szkodliwego oprogramowania. Jednak w szczególności nastawiony będziesz na przeciwdziałanie szkodliwemu oprogramowaniu wykorzystującemu USB jako medium rozprzestrzeniania się. Wszelkie dane przeznaczone dla sterowników PLC lub maszyn, które nie mogą zweryfikować tych danych, powinny być wstępnie zweryfikowane przez białe stacje. Weryfikacja wstępna może się odbywać poprzez weryfikację podpisów kryptograficznych lub sum kontrolnych dostarczonych przez sprzedawcę oprogramowania. Krok ten zagwarantuje Ci, że dane aplikowane do maszyn stanowią dokładną kopię danych, które mają być dostarczone przez producenta oprogramowania.
Oferta firmy DataLocker
Urządzenie Sentry K300 firmy DataLocker jest wyposażone w oprogramowanie antywirusowe McAfee i funkcję ograniczania dostępu dla plików na podstawie ich typów. Urządzenie umożliwi CI zweryfikowanie sum kontrolnych MD5 dowolnych danych zapisanych na urządzeniu. Dzięki temu zagwarantujesz sobie, że tylko prawidłowe dane dotrą do sterowników PLC.
W serii wpisów blogowych na temat bezpieczeństwa USB z DataLocker udowodniono, jak wyższy poziom bezpieczeństwa USB podnosi poziom bezpieczeństwa. Razem z tym możesz zwiększyć niezawodność i dostępność przemysłowych systemów sterowania i jak można go osiągnąć, stosując kroki niemające negatywnego wpływu na wydajność. Pokazaliśmy, że używanie niezarządzanych urządzeń USB wiąże się z poważnymi zagrożeniami, których nie wolno bagatelizować.