Kybernetická realita: Detekcia pred reakciou — kľúč k odolnej OT infraštruktúre

100% ochrana neexistuje. Platí to všade – v zdraví, sebaobrane aj ochrane majetku. Ale obzvlášť v kybernetickej bezpečnosti. Otázkou, na ktorú dnes hľadajú odpoveď podniky všetkých veľkostí nie je, či nás niekto niekedy napadne. Ale ako dokážu zareagovať v momente, keď útok príde – a aké budú jeho dôsledky.

A podobnými otázkami sa zaoberá aj legislatíva. EÚ už dnes myslí na bezpečnosť a chráni používateľov hardvéru a softvéru – vďaka Cyber Resilience Act predpisuje požiadavky na odolnosť produktov voči kybernetickým hrozbám. Táto povinnosť bude pre výrobcov od decembra 2027 záväzná.

Útokom nevieme zabrániť. Čo teda robiť?

Ani s neobmedzeným rozpočtom nevieme napadnutiu úplne zabrániť. To však neznamená, že nám ostáva len vydať sa napospas hackerom – práve naopak. Musíte dlhodobo budovať a posilňovať svoju odolnosť. Implementovať bezpečnostné opatrenia, ktoré pomôžu:

  • zmierniť dopady potenciálneho útoku,

  • zabránia úplnému kolapsu systémov,

  • a dovolia fungovať v obmedzenom no stále akceptovateľnom režime.

S takouto prípravou bude oveľa jednoduchšie, rýchlejšie a nakoniec aj lacnejšie zotaviť sa z úspešného útoku a vrátiť sa naspäť do normálu. Určite sa teraz pýtate sami seba: Ako sa teda pripraviť? Čo by som mal urobiť? Odpovieme protiotázkou. Ako viete, či sa vo vašom systéme/technológiách nedeje niečo podozrivé, nežiaduce alebo škodlivé aj práve teraz?

 Životný cyklus kybernetických hrozieb

Predtým, ako sa pozrieme ako to zastaviť, musíte pochopiť, kde sa práve nachádzate. Každá kybernetická udalosť/incident má totiž svoj životný cyklus. Útok začína infiltráciou a upevnením pozície. Útočník využije slabinu, vnikne do systému a začne si robiť prehľad o podmienkach v sieti.

Ak sa vám podarí zistiť, že sa v sieti deje niečo zlé, prichádza druhá fáza – detekcia. Toto je ten najdôležitejší bod. Ak nezistíte, že je vo vašom systéme útočník, dozviete sa to, až keď bude všetka škoda už napáchaná. Preto je detekcia anomálií v sieti taká dôležitá. A potom nasleduje posledná fáza: vyriešenie problému a návrat do “normálu” (normal operational mode). V tomto kroku záležia detaily od typu hrozby.

Podľa informácií uvádzaných v správe od spoločnosti Mandiant priemerné časové hodnoty sú:

  • Detekcia: zvyčajne dni až týždne (medián ~10–24 dní)
  • Reakcia: hodiny až dni (priemerne ~7 dní od detekcie po izoláciu)
  • Obnova: dni až mesiace (často 1 až 30 dní, niekedy aj dlhšie)

Správa ukazuje, že tieto časy sa oproti predchádzajúcim rokom skracujú. Dôvodom je, že čoraz viac subjektov zavádza do svojej infraštruktúry monitorovacie nástroje schopné anomálie včasne zachytiť a správcu alebo vlastníka na to upozorniť.

Ako to všetko zastaviť?

Jednoduchá odpoveď je: čím skôr, tým lepšie. Najlepšie je zastaviť už infiltráciu. Žiadna ochrana však nie je 100%-tná, a presne preto je dôležité mať silnú aj druhú líniu obrany: detekciu. Pretože čím dlhšie anomálie zostávajú neodhalené, tým väčšie škody môžu potenciálne spôsobiť. Tu je pár príkladov:

  • Zlá kvalita produktu, významné prestoje, prevádzkové straty,
  • Viac zdrojov a odborného personálu na opravu spôsobených škôd,
  • Strata reputácie, duševného vlastníctva, citlivých obchodných informácií.

Ako zistiť, že útočník je vo vnútri?

Na toto je ideálnym nástrojom IDS – systém na odhalenie útoku (intrusion detection system). A je aj najlepším prvým krokom na ceste budovania kybernetickej bezpečnosti.

IDS je šikovná krabička, ktorá má prístup k báze vo svete už popísaných kybernetických hrozieb a zraniteľností. Sleduje dianie vo vašich systémoch, porovnáva vzorce správania siete so svojou databázou a ak odhalí niečo mimo zaužívaného správania, okamžite vás na to upozorní.

Navyše je neustále aktualizovaná o najnovšie hrozby a zraniteľnosti, takže vás vie upozorniť aj na tie najnovšie známe taktiky používané na získania dát a útokov na systém.

Vyskúšajte NOZOMI Network Guardian

IDS systémom, ktorý odporúčame našim klientom my, je Nozomi Networks Guardian (KFB edition).

Je nenahraditeľným nástrojom pre každú organizáciu, ktorá prevádzkuje priemyselné riadiace systémy, operačné technológie alebo IoT zariadenia a chce zabezpečiť ich nepretržitú preventívnu ochranu pred kybernetickými hrozbami. Nezáleží na veľkosti – poradí si s malými a jednoduchými, ale aj komplexnými sieťami.

Ideálny pre prevádzkovateľov kritickej infraštruktúry, výrobné podniky, energetické spoločnosti či dopravné systémy, alebo dátové centrá, kde je bezpečnosť a spoľahlivosť prevádzky kľúčová.

Dodávame ho vo verzii pre serverový rack, ale tiež kompaktnú verziu určenú priamo do priemyselnej výroby, ktorá je skoro 7x menšia a o štvrtinu ľahšia.

Ak chcete mať úplný prehľad o dianí vo vašej sieti, rýchlo identifikovať zraniteľnosti a anomálie a zároveň minimalizovať riziko finančných strát a poškodenia povesti, Nozomi Network Guardian bude vašim riešením. Vďaka špičkovej vizualizácii siete budete mať dokonalý prehľad o všetkých pripojených zariadeniach, ich stave a jednotlivých prepojeniach medzi nimi.

Odhaľte hrozby bez záväzkov

Sme presvedčení, že tento systém je ideálny pre väčšinu spoločností. Ale aby sme presvedčili aj vás, pripravili sme si za zvýhodnenú cenu pilotný program NOZOMI Proof of Concept. Už za cenu 2785 € dostanete:

  • 4-týždňový monitoring vašej siete,
  • inštaláciu a správu zariadenia,
  • finálny report so všetkými odhalenými incidentmi a slabinami.

Tento pilotný program sme kapacitne obmedzili, aby sme sa mohli klientom hlbšie venovať. Ak máte záujem, napíšte nám cez formulár nižšie a naši predajcovia vám dajú vedieť, či ešte máme voľné kapacity.

Kto je KFB

KFB je spoločnosť zložená z tímu špecialistov a certifikovaných inžinierov so zavedenými systémami manažérstva kvality. S našimi skúsenosťami nadobudnutými za takmer 25 rokov v oblasti automatizácie technologických procesov, nasadzovania informačných technológií, vývoja a inštalácií systémov sme tým správnym partnerom pre kybernetickú bezpečnosť aj vašich priemyselných riadiacich systémov.

FAQ

Ako prebieha kybernetický útok?

Väčšinou má 3 hlavné fázy: Infiltrácia – preniknutie do systému cez bezpečnostnú slabinu. Môže trvať aj mesiace. Detekcia – zachytenie útočníka a zistenie rozsahu škôd. Reakcia a návrat do normálu – náprava škôd (napr. obnova zo zálohy) a oprava bezpečnostnej slabiny, aby sa útok v budúcnosti neopakoval.

Kedy reagovať na kybernetický útok?

Najdôležitejšia je reakcia čím skôr. Ak sa vám podarí útočníka detekovať ešte vo fáze infiltrácie (po vniknutí, ale pred útokom), môžete zabrániť škodám. K rýchlej reakcii pomôže IDS – systém na odhalenie útoku (intrusion detection system).

Ako zachytiť kybernetický útok?

Vo vašej sieti musí prebiehať nepretržité sledovanie správania a dátových tokov – len tak viete určiť, čo je normálne správanie a čo môže byť potenciálny kyberútok. IDS (intrusion detection system) je jednoduchým riešením na takúto kontrolu, ktorý zaručuje splnenie zákonných požiadaviek.

Ako funguje IDS (intrusion detection system)?

IDS v sebe má nahraté vzorce stoviek bežných kybernetických útokov, a neustále sa aktualizuje o najnovšie hrozby. Aktivitu vo vašej sieti porovnáva s touto databázou a upozorňuje na potenciálne nebezpečné správanie. Tiež vie, ako vyzerá bežné správanie vašej siete, a ak sa začnú objavovať anomálie, upozorní na ne.

Automatizácia priemyselných procesov, realizácia prístupových, dochádzkových, bezpečnostných systémov a vývoj nových aplikácií. Už 24 rokov Vám vkladáme do rúk kontrolu, zvyšujeme bezpečnosť a nasadzujeme funkčnú ochranu Vašich aktív. Inteligentné a efektívne riešenia 21. storočia.

CS4OT KFT Logo

Pre zobrazenie kompletnej ponuky nás navštívte na:

www.kfb.sk