Miten suojata ja valvoa kriittistä infrastruktuuria?
Viimeaikaiset muutokset turvallisuustilanteessa ovat kasvattaneet kyberoperaatioiden riskiä kriittistä infrastruktuuria kohtaan. Kyvykkyyttä suojata ja valvoa kriittisiä ympäristöjä on siis vahvistettava entisestään. Mutta miten se kannattaa tehdä?
Yhteiskunnalle erittäin kriittisiä toimintoja ovat älykäs liikenne, vesi- ja energiahuolto, pelastustoimi, sosiaali- ja terveydenhuolto sekä valmistava teollisuus. Kriittinen infrastruktuuri on kiristyneessä maailmantilanteessa tärkeä suojata entistäkin paremmin.
Energia‐alan kyberturvallisuutta kehittävässä KYBER‐ENE‐hankkeessa listattiin keskeisiä kyberhaasteita, kuten järjestelmien etäohjaukseen liittyvät uhat, heikosti suojatun IoT:n käyttöönottoon liittyvät uhat, hyökkäykset haavoittuvien rakennusautomaatiojärjestelmien kautta sekä liiketoiminnan esto kiristyshaittaohjelmistoilla. Listaan voisi lisätä vielä vihamieliset kyberhyökkäykset.
Kriittisen infrastruktuurin (OT/SCADA) kybertilannekuvaa kannattaa suojata ja valvoa näin:
1. Tee verkosta vikasietoinen ja kontrolloi liikennettä
1. Tee verkosta vikasietoinen ja kontrolloi liikennettä
Erota verkot ja verkon topologia pienempiin yksiköihin (mikrosegmentoi). Salli vain turvalliset yhteydet ja rajaa laitteiden pääsy ainoastaan niihin osiin, joihin oikeasti on tarve päästä. Salli vain toiminnalle välttämätön liikenne ja suunnat palomuureilla ja rakenna vikasietoiset linkit SD-WANin avulla ja automaattisella failover-toiminnolla mobiiliyhteyttä tai kiinteää yhteyttä käyttäen.
Käytä tässä esimerkiksi Fortinetin, Checkpointin tai PaloAlton SD-WAN-teknologiaa.
- sulje
2. Suojaa kriittinen infrastruktuuri asianmukaisesti internet- ja sisäverkon osalta
2. Suojaa kriittinen infrastruktuuri asianmukaisesti internet- ja sisäverkon osalta
Rakenna verkon pääsynhallinta laitetasolla. Salli sitten laitteiden pääsy verkkoon sovittujen sääntöjen mukaan ja tunnista verkossa olevat ja siihen liittyvät laitteet.
Ratkaisuja tähän tarjoavat vaikkapa Huawei NAC, ExtremeControl tai Extreme NAC.
- sulje
3. Tarkista, että verkko ei vuoda ulospäin
3. Tarkista, että verkko ei vuoda ulospäin
On tärkeää varmistaa, että liikenne on rajoitettu tai estetty ulospäin ja verkko on määritelty asianmukaisesti. Kun palomuurit on määritelty ja sisäverkko segmentoitu ja verkon pääsynhallinta käytössä, on aika tarkistaa, että verkosta ei päästä ulospäin muuten kuin sovitulla tavalla tai ei välttämättä ollenkaan. Verkkopaon mahdollisuutta on seurattava jatkuvasti ja säännöllisesti.
Tähän löytyy teknologiaratkaisuna esimerkiksi suomalainen SersorFu Beacon, joka kokeilee paeta verkosta erityyppisillä toistuvilla testeillä. Beacon siis yrittää ottaa yhteyttä kotiin suojatusta verkosta ja koti sijaitsee pilvessä internetin puolella. Poikkeuksellinen lähestymistapa on myös israelilaisella Xmcyberillä, joka etsii tunnettuja hyökkäyspolkuja automaattisesti ja yrittää paljastaa hyökkäystekniikat, joita voidaan käyttää tunkeuduttaessa kriittiseen verkkoon tai julkipilveen. SOCin avulla näiden ratkaisujen keräämää tietoa valvotaan ja poikkeamiin reagoidaan.
- sulje
4. Ansoita – käytä hunajapurkkia ja havainnoi tunkeutumiset
4. Ansoita – käytä hunajapurkkia ja havainnoi tunkeutumiset
Vakoojan vanha ansa virtuaalisessa muodossa! Hunajapurkkeja voi kylvää myös kriittiseen verkkoon.
Ratkaisuna toimivat esimerkiksi FortiDeceptor tai NDR-tyyppiset teknologiat, kuten Vectra. Hunajapurkki liitetään sitten SIEM/SOAR-ratkaisuun ja SOC-tiimin valvonta siihen päälle!
- sulje
5. Valvo kriittistä infrastruktuuria jatkuvasti
5. Valvo kriittistä infrastruktuuria jatkuvasti
Valvonta 24/7 on ehdoton juttu. Reagoi nopeasti muutoksiin ja poikkeamiin kyberturvakeskuksen palveluiden avulla (CSOC). Seuraa sekä sovellusliikennettä että verkon käyttäytymistä.
Valvo kriittistä infrastruktuuria jatkuvasti Nozomi networks -tyyppisellä ratkaisulla ja reagoi poikkeamiin kyberturvakeskuspalveluiden avulla (CSOC). SOC-tiimillä olisi myös hyvä olla osaamista OT/SCADAsta ja teollisista ympäristöistä. Muita Nozomin tyyppisiä ratkaisuja ovat Claroty, Darktrace, Forescout ja Microsoft Defender for IoT.
- sulje
6. Tunnista ja inventoi kriittisen infrastruktuurin laitteet (OT/SCADA) ja IoT-sensorit
6. Tunnista ja inventoi kriittisen infrastruktuurin laitteet (OT/SCADA) ja IoT-sensorit
Muista myös päivittää näiden laitteiden ohjelmistojen haavoittuvuudet. Tunnista ja inventoi kriittisen infrastruktuurin laitteet Nozomi networks -ratkaisulla tai vastaavilla, joita mainittiin kohdassa viisi. Päivitä vakavat haavoittuvuudet joko laitevalmistajien työkaluilla, käsin tai käyttäen apuna laitehallintaratkaisuja.
Laajoissa sensoriverkoissa voi IoT-laitehallinnasta olla apua laitteiden ohjelmistopäivitysten ja asetusten hallinnassa. Tällaista teknologiaa tarjoavat suomalainen Syncshield tai Nokia IMPACT -laitehallinta-alusta.
- sulje
7. Valvo, hallinnoi ja vahvista kriittisen infrastruktuurin etähallintaa
7. Valvo, hallinnoi ja vahvista kriittisen infrastruktuurin etähallintaa
Kriittisen infrastruktuurin etähallintaa ja käyttöä voidaan vahventaa käyttämällä vahvaa tunnistusta sekä hallittuja nimettyjä tunnuksia etähuoltoa ja hallintaa tekeville tahoille.
Etäkäytön voi toteuttaa Checkpointin tai PaloAlton VPN:llä tai FortiVPN:n ja Mobile tokenien avulla. Näissä kaikissa on mahdollisuus rakentaa käyttäjähallinta ja vahva tunnistus (MFA).
- sulje
Tarjolla on siis laajasti eri teknologioita ja laitevalmistajia, joiden avulla kriittisen infrastruktuurin turvallisuusasioita voidaan monella tasolla parantaa. On muistettava, että pelkät teknologiat eivät asioita ratkaise, vaan tarvitaan osaajia ja palveluiden tuottamiskykyä, jotta tarvittava suojaustaso pystytään suunnittelemaan, ottamaan käyttöön, ylläpitämään, valvomaan ja reagoimaan unohtamatta jatkuvaa kehitystä.
PS. Tutustu tarkemmin Loihde Trustin tarjoamiin kyberturvapalveluihin täältä.
