Ha valaki rendszeresen követi a blogunk cikkeit, nemrég olvashatott arról, hogy eljátszottunk egy OT Security Labor kiépítésének gondolatával. Az ok nagyon egyszerű: Az OT security esetében összetett folyamatokat kell modellezni, ráadásul egyszerre több terület szakértőinek kell összedolgoznia, ami merőben más szemléletmódot és eljárásokat kíván, mint a hagyományos IT biztonsági megoldások. Ráadásul - szerintünk - a fizikai szemléltetés mindig többet ér, mint az elméleti tudnivalók feldolgozása. Azóta az elhatározást tett követte, s munkatársaimmal elkezdtünk létrehozni egy olyan labort, ahol az ipari kibertámadások karakterisztikáit tudjuk leképezni és megfoghatóbbá tenni. Fő célunk, hogy ügyfeleink átlássák a sajátjukhoz hasonló felépítésű környezet sérülékenységeit, illetve szimulálni tudjuk számukra az olyan eseteket, amelyeket saját éles környezetükben nem tudnak megtenni.
E labor fejlesztésében több csapat képviselője is részt vesz, személy szerint én a GRC tanácsadói csoport tagjaként felügyelem a folyamatot. A nevem Hunyadi Péter, s már tanulmányaim óta kiemelten foglalkozom a kritikus infrastruktúrák védelmével. A Nemzeti Közszolgálati Egyetem elvégzése után ipari információbiztonsággal kezdtem el foglalkozni az Euro One-nál, OT biztonsági tanácsadói pozícióban. Ezek után talán érthető, ha büszkeséggel tölt el, hogy egy ilyen projekt részese lehetek, s úgy vélem, ügyfeleink számára is rendkívül tanulságos lehet e labor felállásának menete éppúgy, mint majdani használata. Így mostantól folyamatosan szeretnék beszámolni az ezzel kapcsolatos fejleményekről itt, a blogban.
Így laborozunk mi
Bár múltkor már elmeséltük, hogy melyek a projekt fő céljai, s terveink szerint miként működik majd a gyakorlatban, most röviden szeretném összefoglalni, hogy milyen szempontok alapján haladunk jelenleg.
Először is szerettük volna, ha a labor követi a tipikus ICS (Industrial Control Systems) rendszerek felépítését. A terv szerint megvalósul benne a Purdue-modell 0-3 szintje, vagyis kezdve az üzemi eszközöktől, helyet kapnak benne kontrollerek (PLC), HMI-k és a legfelső szinten elhelyezkedő felügyeleti és biztonsági funkciókkal bíró szerverkörnyezet egyaránt. A labor képes lesz kommunikálni SIEM rendszerrel is, lehetővé téve, hogy mind OT-, mind az IT hálózatban keletkező eseményeket, incidensek központi felületen lehessen kezelni, s a különböző területen történő, de esetleg összefüggő gyanús eseményeket korrelálni.
A rendszer egyik legfontosabb elemei az OT eszköz-, és biztonságfelügyeleti platformok lesznek. Elsőként például olyanok, amelyek az ipari hálózati forgalomat passzív módon elemezve részben riasztásokat generálnak, részben tolmácsként is funkcionálnak egy teljes vállalat eseményeit kezelő SIEM rendszerek felé, amelyek az ipari protokollokat nem tudják értelmezni. Esetünkben a központi SIEM egy RSA NetWitness lesz. A laborunk működése során mind az OT platformot, mind az itt keletkezett események SIEM rendszerben való kezelését meg lehet valósítani.
A felügyeleti rendszerek mellett természetesen egyéb kiberbiztonsági megoldások tesztelésére és demonstrációjára is alkalmasak leszünk. A labor bővítve lesz ipari IDS eszközökkel és tűzfalakkal, így gyakorlatilag alkalmassá válik az egész logikai védelmi koncepció bemutatására. Mivel a labor környezet miniatürizált és független, ezért szállítható lesz ügyfeleinkhez, vagy éppen rendezvényekre, oktatásra is.
Készül a demó környezet
Röviden itt tartunk most, gőzerővel dolgozunk a projekt mielőbbi megvalósításán. A későbbiekben jelentkezünk további részekkel a demó környezet születéséről, és ezzel összefüggésben bemutatjuk a kiválasztott komponenseket, szoftvereket, beszámolunk a kihívásokról. Emellett reméljük, hogy a tesztüzem bemutatására is mielőbb sort tudunk keríteni. Ha érdekesnek találják az elképzelést, feltétlenül tartsanak velünk legközelebb is!
