כיצד מגיבים לאירועי אבטחה בעולם המערכות המשובצות?

פורסם ב-מרץ 6, 2017

בעולם המערכות המשובצות וסביבות אינטרנט של דברים תעשייתיות (IIoT), דרכי ההגנה, הדיווח והתגובה לארועי אבטחה הינם שונים לגמרי מאלה המקובלות בעולם ה-IT

Share via Whatsapp

מאת טים רדזיקוויץ’, ווינד ריבר

המציאות הפשוטה היא כי אף מערכת מחשב אינה חסינה מפני איומים או סוג מסוים של פריצה. עם זאת, חשוב להטמיע מערכות לזיהוי חדירות (IDS), לתת גישה מהירה לצוותי תגובה (IRT) כדי לחקור את החדירה, וליצור תכנית להתמודדות עם סוגים מסוימים ומזוהים מראש של חדירות.

כך הדברים מתבצעים בסביבת IT טיפוסית. אבל כיצד נהלים אלה מיושמים בעולם המערכות המשובצות וסביבות אינטרנט של דברים תעשייתיות (IIoT)? העולם המשובץ הוא גדול ומגוון, והתגובה משתנה בהתאם לתחום. מה שנכון בתעשיית הרכב או בסביבה רפואית, יכול להיות שונה לחלוטין ממה שנדרש ברצפת ייצור, ועלול להיות שונה מאוד ממה שיהיה נכון למכשירי חשמל ביתיים.

הגדרה מראש של תהליך האבטחה

בכל המקרים יש צורך לבצע הערכה, וכן ליצור תכניות ייעודיות להתמודדות עם חדירה. חלק מההערכות עשויות להיות פשוטות יחסית, וכך גם התכניות הנגזרות מהן. במקרים אחרים, הערכה ותכנון עלולים להיות מורכבים משמעותית מאשר בסביבת IT טיפוסית. כדי להיות יעילים באמת, הערכה ותכנון צריכים להתבצע לפני פריסת המערכת, ובדרך כלל כבר במהלך תכנון המוצר. הכנסת יכולות אל תוך מכשיר שתוכנן ללא דרישות אלה, בדיעבד, עלולה להיות קשה, ובסופו של דבר להביא להשלכות משמעותיות. בעולם המרושת של היום, אבטחה אינה יכולה להתקיים כלאחר יד.

ברגע שההערכה בוצעה ונוצרו תוכניות תגובה, זה הזמן לבחון את הדרישות עבור מערכת זיהוי חדירות (IDS) והתכונות הנדרשות. ניתן לחלק זאת לשני חלקים מרכזיים: כיצד לזהות חדירה, וכיצד לדווח עליה. במהלך אתחול מאובטח ננקטים צעדים, אשר יכולים להשתלב גם בתוך תכנית לזיהוי חדירה, אם יש צורך בכך. אם רוצים שהזיהוי יבוסס סביב תעבורת רשת, חבילות כמו suricata Wind River Linux ו- snort יכולות לסייע. אם רוצים שהזיהוי יתבצע על בסיס שלמות קבצים, תכונה כמו Wind River Linux IMA Appraise יכולה לסייע בזיהוי קבצי הפעלה שנפגעו. ברמה רחבה יותר, זיהוי חדירות יכול להשתלב בגיבויי מערכת, כך שהתהליך משולב במערכת גיבוי מרוחקת, והזיהוי בפועל מבוצע מרחוק.

כיצד להגן על רובוט?

בדרך כלל בעולם המשובץ, זיהוי מסתמך בעיקר על מידע מקומי במכשיר, ולא על מידע בתוך האינטרה-נט, אבל הדבר תלוי בחלקו בסוג המכשיר ובחלקו בתעשייה ובסביבה בהן הוא נפרס. ניקח לדוגמה מקרה של רובוט ברצפת ייצור. כמובן שהרובוט צריך רמה מסוימת של יכולת זיהוי, ללא קשר לסביבת הרשת. אבל ייתכן שהוא לא יצטרך להשקיע זמן רב בניסיון לזהות חדירה אם הרשת אליה הוא מקושר מבודדת בחלקה מהאינטרנט. במקרה שכזה, התקן שער הגישה צפוי לספק הגנה ביתר קלות. אבל אותו רובוט ייצור  עשוי להזדקק ליותר הגנה אם שער הגישה אינו מספק בידוד הולם. בתרחיש שונה לחלוטין, לחללית תהיינה דרישות זיהוי חדירה שונות ותוכניות פעולה שונות במקרה של זיהוי תקיפה. כשמדובר בטאבלט המשמש להצגת רשומות רפואיות, הוא עשוי להסתמך על שרת מרוחק להפעלת יכולות נוספות לזיהוי חדירה.

כך שיש לנו הערכת אבטחה ודרישות לזיהוי חדירה, וכבר יצרנו תכניות תגובה. בעולם ה-IT, השיקול הבא הוא הקמת צוות תגובה לאירועים. גם כאן, מכשור משובץ הוא שוק מגוון, ותוכניות תגובה לאירועים יכולות להיות שונות האחת מהאחרת כמו השווקים עצמם. במקרים מסוימים, ייתכן שאפילו לא יהיה צוות תגובה אמיתי, מלבד צוות יחסי ציבור או שיווק שינהל את התקשורת סביב האירוע. במקרים אחרים, ייתכן ויהיה הכרחי לזהות מה נפגע מסיבות משפטיות וסיבות אחרות, ובמקרה כזה צוות תגובה חייב להיות זמין.

פורסם בקטגוריות: Security , כללי