Az Industry 4.0 koncepció megvalósításakor az egyik legnagyobb kihívás az IT biztonsági aspektus. Az újonnan létrejövő kiber-fizikai megoldásokban az eddig jobbára zártan működő termelési/vezérlési/irányítási rendszerek nyitottá válnak, a „normál” informatikai infrastruktúrába integrálódnak. Jelentősen súlyosbítja a kockázatot hogy az új rendszerekben használt technológiák ( IoT, cloud computing, big data…) tovább bővítik az integrációs kört olyan, a vállalati IT rendszeren kívül eső elemekkel/szolgáltatásokkal, melyek biztonsági felügyelete újabb problémákat vet fel az alkalmazó vállalatoknál.

Az új technológiákkal, kommunikációs csatornákkal, hálózati protokollokkal, decentralizált döntési/automatizált beavatkozási megoldásokkal kibővülő vállalati informatikának újfajta kockázatokkal kell megküzdenie az információbiztonság alappilléreinek (CIAA - Confidentiality, Integrity, Availability, Accountability) tekintett IT biztonsági szempontok mentén pl.:

• Sértetlenség:
  • termelés szabotázs
  • termelési minőségromlás
  • indokolatlan/túlzott erőforrás felhasználás
  • hamisított alkatrészek/szolgáltatások
• Rendelkezésre állás:
  • rendszer leállása nem biztonságos/nem újra indítható állapotban
  • termelékenység csökkenése
• Bizalmasság:
  • ipari kémkedés
  • terméklopás
  • adatvédelem megsértése munkavállaló/ügyfél oldalon
• Elszámoltathatóság
  • törvényerejű bizonyítékképzés

Az új IT biztonsági kockázatok csökkentésére a teljes szervezeten és a kibővülő IT infrastruktúra mindenrészére átnyúló, intelligens ellenőrzés támogató megoldásokra van szükség az azonosítás, hitelesítés, jogosultság kezelés és legfőképpen az esemény monitoring területén. Ebben nyújt segítséget önnek Sealog termékcsaládunk kiemelkedő digitálisnyom gyűjtő képessége, mely a kritikus folyamatok mentén keletkező különböző típusú információk elemzésével képes egyszerre több feladatot is megoldani:

• csökkentheti az Industry 4.0 mentén keletkező IT biztonsági fenyegetéseket
• támogatja az Industry 4.0 termelés monitoring koncepcióját

Cél

A hálózati eszközök működésének központi monitorozása, üzemeltetési és információvédelmi szempontok alapján.

Üzleti igény/eredmény: a heterogén hardver és szoftver elemekből álló struktúrált hálózat egyes elemeinek logjait, illetve ezen elemek felügyeletére bevezetett megoldások adatait összegyűjtésével  egy központi monitorozó rendszer kialakítása. Egy felületen megjeleníthetők a különböző területek elemzett adatai, az adatok összekapcsolásával, korrelációs elemzésével új, eddig rejtett összefüggéseket lehet felderíteni. Továbbfejlesztési lehetőségként integrálhatók és elemezhetők a határvédelmi és végpontvédelmi megoldások adatai is.

Megoldás

A megvalósításának első lépéseként a tűzfalakról (pl. CISCO) származó logok gyűjthetők össze. Az előzetes elemzések és előfeldolgozások alapján meghatározhatók azok az állományok (adatok, információk), amelyek szükségesek a cél eléréséhez. Az elemző felület és a szabványos szabálygyűjtemény (pl. CISCO-PIX&ASA) felhasználásával olyan rendellenességek mutathatók ki, amelyek relevánsak lehetnek mind üzemeltetési, mind információbiztonsági szempontból. Néhány példa a felfedezhető eseményekre:

• Támadás - DNS Request for All Records: alapvetően egy információs üzenet, azonban adott esetben jelenthet felderítési kísérletet is, ezért meg kell vizsgálni az üzenetben található távoli IP címet, hogy megbízható kategóriába tartozik-e.
• Támadás – Fragmented ICMP Traffic: Ennek jelzésnek az indikálása a „Large ICMP Echo Request Denial of Service” sérülékenység lehetséges kihasználását jelzi.
• Lehetséges támadás - Deny protocol reverse path check: Valaki megpróbál spoof-olni egy IP címet egy bejövő kapcsolaton. Ez lehet egy támadás része, amely a tűzfal ellen irányul.

A talált eseményekre riasztási szabályokat lehet beállítani, amelyek az események előfordulásakor e-mail riasztást küldenek az illetékeseknek. Ezen események előfordulásáról statisztikákat, kimutatásokat, jelentéseket készíthetünk. Részleteket feltárni (lefúrni) képes grafikonok teszik lehetővé, hogy a könnyen áttekinthető aggregált adatokból el tudjunk jutni a részeletes, nyers log adatokig, így nyomon tudjuk követni, hogy pontosan mi okozta a rendellenességet.

A további hálózati elemek és határvédelmi megoldások logjainak bekötésével lehetőség nyílik a teljes hálózati struktúra komplex monitorozása. Az SLA grafikonos megjelenítés biztosítja, hogy a különböző területek üzembiztonsági és információbiztonsági állapota egyszerűen követhető és kézben tartható legyen.

Cél

Egy többlépcsős informatikai fejlesztés végrehajtásával egy összetett szervezet, vállalatcsoport csoportbiztonsági szintű konszolidált hátterének megteremtése, amelynek keretében központilag kell kialakítani a különböző szervezeti egységek, tagvállalatok szabályos működésének felügyeletét, adatszolgáltatási kötelezettségének monitorozását és a visszaélések kezelését.


 

Üzleti igény/eredmény

Központi log gyűjtő és elemző szoftver bevezetésével az alkalmazások és rendszerek (telekommunikációs platformok, hálózati eszközök, szerverek, operációs rendszerek, stb.) naplóinak/eseményeinek egységes gyűjtése, elemezhetőségének biztosítása elsősorban biztonsági szempontból, az alábbiak szerint:

• a rendszerekben zajló hozzáférések/tevékenységek visszakereshetősége,
• központi szabályozást áthágó rendellenes beavatkozások kiszűrése,
• gyanús hozzáférések folyamatos figyelése,
• riasztások lehetőségének biztosítása,
• riportok generálása a naplóállományok alapján,
• információvédelmi incidensek biztonsági vizsgálatának gyorsítása.

A szervezeti egységekben, tagvállalatokban meghatározott működési és/vagy minőségbiztosítási és/vagy információbiztonsági szabályrendszerek ellenőrzése helyileg történik, az előforduló incidensek a lokális felhasználás mellett bekerülnek a központi eseményelemzőbe is.

Megoldás

Az integrált alkalmazás kialakítása projektláncolat keretében történik. Első lépés az üzletileg kritikus központfelügyeleti rendszerek bekötése, majd a különböző szervezeti egységeknél, tagvállalatoknál üzemelő minősített rendszerek eseményadatai kerültek betöltésre. Az egyre szélesebb alapokon nyugvó adatkör olyan központi elemzési lehetőséget biztosít, amely – meghagyva az egyes tagvállalatok specifikus igényeit kiszolgáló helyi logelemző rendszereket – összvállalati szintre emeli a kritikus események kezelését és felügyeli a rendszerek használatát. A megoldás biztosítja, hogy a különböző szervezeti egységek különböző folyamatainak helyi szabályozásokra épülő ellenőrzése mellett a biztonsági ágazat összesített szinten figyelni/elemezni tudja az egyes területek teljesítményét. Moduláris felépítést tekintve Rendszeradminisztráció, Üzemeltetés, Biztonsági menedzsment és Információszolgáltatás modulok kiepítése javasolt, közös platformról kiszolgálva a különböző biztonsági területeket. A többlépcsős architektúrában az egyes tagvállalati szabályrendszereken nyugvó ellenőrzések eseményeinek központi rendszerbe töltésével a felhasználói átfogó képet kapnak például:

• a feldolgozott adatok állapotáról és/vagy hibáiról és/vagy esetleges hézagairól,
• riasztások számáról, eloszlási statisztikájáról,
• az egyes incidensek állapotáról,

‒ azaz lényegében a teljes szervezet biztonsági teljesítményéről.

Cél

A védett adatbázisban tevékenykedő felhasználók által végzett műveletek gyűjtése és biztonsági elemzése egy külső rendszerben. Ide tartozik például egy-egy kiemelt adatkörre vonatkozó lekérdezés, felhasználói aktivitás meghatározása.

Üzleti igény/eredmény

A felhasználói aktivitások felügyelete. A felhasználói oldalon keletkező rekordok azonnal, online módon kerülnek be a központi logelemzőbe. A biztonsági menedzser által használható aktivitás napló böngészésén túl, például az alábbi speciális kérdésekre lehet választ adni:

• Adott időszakban volt-e olyan felhasználó, aki egyidejűleg egynél többször volt bejelentkezve?
• Egy meghatározott adathoz hozzáfért-e a felhasználó?
• Ki férhet hozzá egy meghatározott adathoz?
• Egy adminisztrátor milyen beállításokat végzett?
• Egy felhasználó számára mit állítottak be az adminisztrátorok?

Megoldás

A felhasználói oldalon keletkező naplórekordok rekordok azonnal, online módon töltődnek a központi elemzőbe a következő adatkörökkel:

• bejelentkezési adatok (ki, mikor, hogyan: chip kártya, univaz és jelszó, honnan: IP cím),
• kijelentkezések és sikertelen bejelentkezési kísérletek,
• jelszóváltozások (ki, kinek a jelszavát, mikor változtatta),
• jogosultság változások,
• felfedő gombok használata,
• felhasználói aktivitás adatok,
• eredmény-hozzáférés adatok.

A felhasználók önhatalmúlag nem, csak külső vagy belső megkeresés alapján indíthatják a lekérdezéseket. Megkeresés esetén, a lekérdezés elindítása előtt, a felhasználónak lehetősége van arra, hogy a lekérdezés okát rögzíthesse a rendszerbe. A rögzítés lehet szabad szavas, ahova szükség esetén a megkeresés e-mail üzenetének csatolása biztosított. Minden lekérdezéshez a rendszer által generált iktatószám tartozik, amely alapja lehet a lekérdezések számonkérésének.

A betöltött rekordokra automatikus szabályfigyelés építhető. Amennyiben a minősített adatokat tartalmazó adatbázisban (például) az alábbi eseményeket észleli:

• lezáratlan belépések,
• munkaidőn kívüli be- vagy kilépés,
• többszöri belépés,
• új adatbázis felhasználó megjelenése,

azonnali riasztást küld a biztonsági menedzsernek. Az értesítés nem tartalmaz naplórekordokat, csak azt, hogy riasztási esemény történt. A felhasználó a rendszerbe belépve nézheti meg a riasztási eseményt kiváltó adatokat.