System zabezpieczający dla sieci produkcyjnych
W dobie Przemysłu 4.0 rośnie znaczenie bezpieczeństwa dostępu. Z myślą o tym SecurityMatters i Phoenix Contact stworzyły partnerstwo technologiczne. Poziom bezpieczeństwa w sieciach produkcyjnych można łatwo i znacząco zwiększyć dzięki połączeniu oprogramowania do monitorowania sieci oraz przemysłowych urządzeń zabezpieczających. Takie podejście określa nowe standardy zarówno w środowisku produkcyjnym, jak i w infrastrukturach krytycznych.
Obecnie zarówno maszyny, jak i systemy coraz częściej wymieniają między sobą dane na poziomie lokalnym i globalnym. Wiążąca się z tym wzmożona komunikacja prowadzi również do wzrostu wymagań dotyczących bezpieczeństwa sieci. Operatorzy muszą zadać sobie pytanie, które informacje mogą być przekazywane, do jakiej maszyny oraz w jakim czasie. Odpowiedź okazuje się trudna i niejednokrotnie bardzo czasochłonna szczególnie w przypadku systemów produkcyjnych, które poddawano rozbudowie oraz integracji z siecią przez wiele lat. Firmy SecurityMatters i Phoenix Contact utworzyły technologiczne partnerstwo w celu zapewnienia użytkownikom profesjonalnego, zintegrowanego oraz skutecznego wsparcia.
Spółka SecurityMatters, założona w holenderskim mieście Eindhoven w 2009 r., to innowacyjna firma specjalizująca się w bezpieczeństwie w obszarze IT i wykrywaniu anomalii w sieciach przemysłowych. Istotnym elementem portfolio produktów SecurityMatters jest SilentDefense – platforma do monitorowania sieci, oferowana od 2013 r.
Firma Phoenix Contact jest jednym z wiodących światowych producentów i innowatorów w dziedzinie elektrotechniki, elektroniki i automatyki. Należy do niej m.in. centrum rozwoju w zakresie cyberbezpieczeństwa, którego siedziba znajduje się w Berlinie. Na bazie gromadzonej przez wiele lat wiedzy firma oferuje niestandardowe produkty i rozwiązania sieciowe spełniające nietypowe wymagania przemysłowe. Routery z serii FL mGuard stanowią rdzeń linii produktów Security (fot. 1).
Fot. 1. Urządzenia zabezpieczające FL mGuard są również stosowane w środowiskach produkcyjnych
Jednoczesna identyfikacja błędów i diagnoza ataków
W 2016 r. firma SecurityMatters i Phoenix Contact postanowiły połączyć oferowane przez siebie produkty zabezpieczające, tworząc w ten sposób istotną wartość dodaną dla użytkowników. W celu zagwarantowania odpowiedniego rozwiązania do monitorowania sieci SilentDefense wspiera użytkowników, analizując i ulepszając już istniejącą sieć. Wizualizacja sieci w czasie rzeczywistym, przeprowadzanie testów zdefiniowanych przez użytkownika i automatyczne monitorowanie komunikacji sieciowej to tylko niektóre z funkcji wyróżniających ten system. SilentDefense może być używany do diagnozowania ataków cybernetycznych, a także do identyfikowania błędów operacyjnych (fot. 2).
Fot. 2. Wizualizacja komunikacji sieciowej w czasie rzeczywistym na Pulpicie Analityki Sieci
Routery bezpieczeństwa przemysłowego FL mGuard firmy Phoenix Contact są zaprojektowane do pracy bez wentylatorów i gwarantują niezawodne zabezpieczenie oraz wysoką wydajność. Całość mieści się w kompaktowej, metalowej obudowie przeznaczonej do montażu na szynie DIN. Poza zapewnieniem bezpiecznego tunelu VPN (Wirtualnej Sieci Prywatnej) routery pełnią również funkcje przemysłowego firewalla, w tym funkcję zapory sieciowej użytkownika, warunkowej zapory sieciowej do aktywacji określonych reguł zapory oraz głębokiej inspekcji pakietów (DPI) w celu dokładnego zbadania wszystkich pakietów danych przesyłanych za pośrednictwem OPC Classic lub Modbus TCP. Umożliwia to profesjonalne zastosowanie koncepcji Defense-in-Depth (obrona w głąb), spełniającej wymagania międzynarodowych norm ISA 99 i IEC 62443. Dzięki zdecentralizowanej koncepcji bezpieczeństwa zakłady produkcyjne są niezawodnie chronione przed sabotażem i związanymi z tym nieprawidłowościami w procesie produkcji (fot. 3).
Fot. 3. Zakłady produkcyjne mogą być chronione przez routery zabezpieczające w sposób zdecentralizowany
Natychmiastowe wykrycie zmian w sieci
Praktyczne połączenie SilentDefense i urządzenia FL mGuard zapewnia użytkownikom dodatkowe korzyści – np. Dział Doradztwa ds. Bezpieczeństwa firmy Phoenix Contact stosuje to oprogramowanie do monitorowania sieci w celu szczegółowej analizy danych w złożonych sieciach przemysłowych. Dzięki temu operator systemu uzyskuje wgląd w treści przesyłane przez poszczególnych użytkowników, a także wie, do kogo są wysyłane, w jaki sposób i kiedy. Nieautoryzowana komunikacja jest widoczna i może być wyłączona.
Dla wielu firm spektakularny atak cybernetyczny nie stanowi takiego zagrożenia, jak liczne i powtarzające się niewielkie zmiany w systemie, które z upływem czasu, narastając, stwarzają coraz większe ryzyko dla dostępności sieci produkcyjnej (fot. 4). Potwierdza to wiele przykładów. Jednym z nich jest sytuacja, w której operator musi stosować urządzenie zastępcze zaprogramowane nieco inaczej niż oryginalny PLC. Podczas uaktualniania systemu dostawca produktu używa słabszego protokołu synchronizacji czasu niż wcześniej stosowany. Nowe urządzenia próbują połączyć się z zewnętrznym serwerem przy użyciu nieznanych portów TCP, a nawiązanie połączenia z niedostępnym serwerem powoduje gwałtowny napływ danych do sieci produkcyjnej.
| Zróżnicowane zastosowania SilentDefense to system do monitorowania i analizy sieci, który sprawdził się w rzeczywistych systemach ICS/SCADA. Narzędzie programowe SecurityMatters wykorzystuje innowacyjną technologię do identyfikacji nieprawidłowości statusu procesu i podczas przepływu danych. Umożliwia to szybkie wykrycie zaawansowanych ataków cybernetycznych, problemów z konfiguracją sieci oraz błędów operacyjnych, dzięki czemu operator może natychmiast zareagować i rozpocząć korektę. SilentDefense jest odpowiedni do stosowania we wszystkich krytycznych obszarach infrastruktury, związanych z mediami (elektryczność, olej, gaz i woda/ścieki). W dość łatwy sposób użytkownicy mogą od razu wykorzystać zalety systemu, których efektem jest zmniejszenie liczby błędów, krótszy czas przestojów, zminimalizowanie odpowiedzialności przedsiębiorstwa, a także wysoka wydajność i jakość usług. |
Bezpośrednie przesyłanie rekordów danych konfiguracyjnych w zaporze sieciowej
Po analizie przez SilentDefense wzajemnych relacji komunikacyjnych w sieci produkcyjnej i po wyłączeniu niepożądanych połączeń następuje drugi ważny krok, czyli zapewnienie bezpieczeństwa sieciowego za pomocą firewalli produktów linii FL mGuard. Innowacyjnym aspektem tego rozwiązania jest wzajemne oddziaływanie sprzętu i oprogramowania na miejscu u danego użytkownika. Relacje komunikacyjne, które SilentDefense zidentyfikował jako poprawne są przesyłane bezpośrednio jako rekordy danych konfiguracji zapory sieciowej do urządzenia zabezpieczającego zainstalowanego w zdecentralizowanym systemie. Ułatwia to definiowanie reguł zapory sieciowej i pozwala uniknąć wadliwych i niedbale utrzymywanych reguł zapory.
W przypadku skomplikowanych, rozbudowywanych przez wiele lat sieci produkcyjnych pracownicy odpowiedzialni wolą raczej przepuścić nieznane, niezidentyfikowane pakiety danych przez zaporę sieciową, niż narazić się na ryzyko, że system zaprzestanie produkcji. Taka praktyka powoduje jednak wysokie i niepotrzebne ryzyko związane z bezpieczeństwem. Dzięki opisywanemu rozwiązaniu, w oparciu o SilentDefense oraz urządzenia serii mGuard, wymagania użytkownika są realizowane profesjonalnie, co gwarantuje dostępność systemu w połączeniu z kompleksową ochroną sieci produkcyjnej przed nieautoryzowanym dostępem i szkodliwymi działaniami.
Fot. 4. Węzły sieci i ich łącza komunikacyjne są widoczne na interaktywnej karcie sieciowej, a ponadto zaznaczone są możliwe zagrożenia i nieprawidłowe konfiguracje
Dynamiczne dostosowanie środków bezpieczeństwa
Kolejny niezwykle innowacyjny krok stanowią wstępne projekty pilotażowe. Jeśli SilentDefense jest zainstalowany u użytkownika na stałe, to może on dynamicznie dostosowywać środki bezpieczeństwa. W przypadku, gdy hakerzy używają do ataku istniejącego, wcześniej bezpiecznego łącza komunikacyjnego, zapora FL mGuard może istotnie zmienić konfigurację w czasie rzeczywistym po uzyskaniu zgody od odpowiedzialnego pracownika lub SilentDefense może wykonać to automatycznie. Dzięki temu można szybko i łatwo przerwać niechciane połączenia, a pożądana transmisja danych będzie realizowana w późniejszym czasie.
W ten sposób partnerstwo technologiczne SecurityMatters i Phoenix Contact doprowadziło do skoku innowacyjnego w dziedzinie bezpieczeństwa przemysłowego i ustanawia nowe standardy w zakresie jakości. Oprogramowanie SilentDefense oraz router bezpieczeństwa FL mGuard współdziałają na zasadzie symbiozy i tworzą wyraźną wartość dodaną dla użytkownika. Nie ma znaczenia, czy rozwiązanie to jest stosowane w infrastrukturze krytycznej, czy w aplikacjach przemysłowych.
| Nowe funkcje urządzeń zabezpieczających Nowe oprogramowanie firmware 8.4 dla urządzeń zabezpieczających z serii FL mGuard zwiększa zakres wydajności urządzeń, m.in. dzięki Modbus TCP Inspector i zaporze sieciowej na podstawie nazw DNS. Modbus TCP Inspector – głęboka inspekcja pakietów (DPI) dla Modbus TCP – może być wykorzystywany do zapewnienia szczegółowego zabezpieczenia połączeń stosujących powszechnie przyjęty standard branżowy. Prawa dostępu można teraz ustawić zarówno na poziomie adresów IP, jak i portów, a także kodów funkcji i rejestrów używanych w protokole Modbus. Przykładowo użytkownik może określić, którzy uczestnicy Modbus mają prawo jedynie odczytywać wartości, a którzy dokonywać ich zapisu. Ponadto prawa dostępu można precyzyjnie określić za pomocą rejestru. Zapora oparta na nazwach domen DNS umożliwia tworzenie haseł dostępu do firewalla, które mogą być oparte na adresach IP i nazwach DNS. To sprawia, że tworzenie konfiguracji staje się łatwiejsze w sytuacjach, w których adresy IP często się zmieniają. Nowa wersja oprogramowania sprzętowego 8.4 jest gotowa do pobrania w polu pobierania na stronach produktu. |
PHOENIX CONTACT Sp. z o.o.
ul. Bierutowska 57-59, 51-317 Wrocław
tel. 71 39 80 410
www.phoenixcontact.com
source: Automatyka 12/2017
Keywords
bezpieczeństwo, phoenix contact, Przemysł 4.0, sieci, System zabezpieczający