NIS-2: segmentacja i mikrosegmentacja infrastruktury OT w przemyśle spożywczym

Jak dokonać segmentacji i mirosegmentaci infrastruktury OT w przemyśle spożywczym?

1. Wprowadzenie 

1.1. Cel dokumentu 

Niniejsza publikacja ma na celu wyjaśnienie znaczenia roli segmentacji i mikrosegmentacji w zabezpieczaniu infrastruktury OT w przemyśle spożywczym. Na przykładzie zakładu mleczarskiego chcemy zarysować wpływ dyrektywy NIS-2 na przemysł spożywczy jako „podmiot ważny” oraz przedstawić koncepcję wdrożenia infrastruktury sieciowej zgodnej ze standardami bezpieczeństwa oraz wymaganiami legislacyjnymi. 

W opisywanym modelu pokażemy gradacyjną metodologię dojścia do topologii docelowej pozwalającej na zbudowanie w pełni bezpiecznej infrastruktury.j. 

Rozpatrzmy następujący przypadek: 

Klientem jest Zakład Mleczarski, w którym ruch pomiędzy IT oraz OT terminowany jest z wykorzystaniem jednego firewalla zarządzanego przez zespół IT. Cały ruch po stronie produkcyjnej agregowany jest do przełączników klasy biznes znajdujących się w serwerowni. Natomiast infrastruktura sieciowa oparta jest o przełączniki niezarządzalne. Dodatkowo, producenci linii produkcyjnych oraz maszyn po stronie OT mają swoje bramki komunikacyjne GSM, które w przypadku awarii ich urządzenia umożliwiają zdalny serwis. 

---

1.2. Kontekst regulacyjny 

Przemysł spożywczy, podobnie jak szereg innych, m. in. farmacja oraz logistyka, objęty zostanie przepisami dyrektywy NIS-2 (w Polsce docelowo regulacjami związanymi z Ustawą o Krajowym Systemie Cyberbezpieczeństwa). Przedstawiciele tego sektora zostaną zidentyfikowani jako podmioty ważne. Co to jednak dla nich oznacza?  
Otóż obliguje firmy do wdrożenia odpowiednich polityk i procedur cyberbezpieczeństwa dla wszystkich systemów informatycznych znajdujących się w firmie, w tym infrastruktury przemysłowej.  

Niedostosowanie się do przepisów skutkować będzie wdrożeniem procedur naprawczych dla danej organizacji oraz potencjalnymi karami finansowymi. 

Ważną zmianą w stosunku do starszych przepisów jest fakt, że wraz z nowelizacją prawa odpowiedzialność za wdrożenie i nadzorowanie procedur bezpieczeństwa spada na zarząd spółki. To on, a nie dedykowany pracownik odpowiada bezpośrednio przed regulatorem.. 

Szeroko obowiązki i konsekwencje związane z opisywaną regulacją opisaliśmy w artykule „NIS2 – przewodnik dla sektora przemysłowego”.  

Co ważne, każdy system informatyczny firmy ma być dostosowany do przepisów ustawy. Nie mówimy tu już o usługach kluczowych (czyli o części systemów jak to było w przypadku pierwszej ustawy o KSC), a o każdym systemie informatycznym. W związku z powyższym również infrastruktura OT zostanie objęta odpowiednimi regulacjami, a w konsekwencji audytami oraz testami penetracyjnymi. 

---

1.3. Znaczenie infrastruktury OT w przemyśle spożywczym 

Infrastruktura OT ma kluczowe znaczenie dla każdego przedsiębiorstwa produkcyjnego. Od niej zależą zdolności wytwórcze zakładu. Dlatego też to ciągłość działania zawsze stawiana jest na pierwszym miejscu. W związku z tym systemy komunikacji opierają się o nieskomplikowane i sprawdzone rozwiązania, które nawet w przypadku awarii pozwolą szybko przywrócić operacyjność zakładu. Co jednak rozumiemy przez infrastrukturę OT? 

Z reguły mamy na myśli: 

• linie produkcyjne i maszyny, 

• systemy sterowania / sterowniki PLC, 

• stanowiska zrobotyzowane. 

Jednak musimy pamiętać, że w dzisiejszych czasach, systemy te działają głównie dzięki komunikacji przemysłowej. Sterowniki stale wymieniają dane z wyspami we/wy i systemem SCADA. Z systemu SCADA z kolei możemy przekazywać dane do systemów ERP np. w kwestii obsługi zleceń produkcyjnych.  

Jeżeli zatem system SCADA wymienia dane z systemem ERP, to w OT nie możemy już mówić o infrastrukturze wyizolowanej (tzw. Air Gapped). W związku z tym odpowiednia segmentacja i mikrosegmentacja infrastruktury OT stanowić będzie o sile produkcyjnej naszego zakładu. 

Dobrze zaprojektowana i podzielona na segmenty sieć powinna: 

• zrekonfigurować się automatycznie w przypadku awarii komunikacji i wydać odpowiedni status, 

• nie dopuszczać nieautoryzowanego ruchu do segmentów, 

• zatrzymać propagację malware na inne segmenty, 

• poinformować o incydentach zespoły UR oraz SOC. 

---

2. Aktualny stan infrastruktury sieciowej w przemyśle spożywczym 

2.1. Charakterystyka typowej infrastruktury OT 

W przeważającej części zakładów spotykamy się z firewallem terminującym ruch pomiędzy IT oraz OT. Jest on najczęściej zarządzany przez dział IT i choć nie jest to regułą, przez niego przydzielany jest zdalny dostęp do infrastruktury OT. W większości przypadków uznawane jest to niestety za wystarczający element izolujący. Dlaczego? Bo zakłada się, że  większość ataków pochodzi z phishingu. 

Jeżeli chodzi natomiast o warstwę sieciową, to ta stanowi hybrydę połączeń składającą się z przełączników zarządzalnych oraz niezarządzalnych połączonych gwiazdowo oraz kaskadowo. Czasami spotykamy się ze czasami spotykamy się ze zbiorczą agregacją sygnałów do jednego przełącznika (tzw. switch agregacyjny) do przełącznika agregacyjnego lub bezpośrednie wpięcie do firewalla, gdzie ruch jest terminowany. 

Zdalny dostęp realizowany jest również często już po stronie OT, bezpośrednio do maszyny z wykorzystaniem bramek dostępowych. Niestety jest to realizowane z pominięciem firewalla będącego na styku sieci IT oraz OT 

Mając na uwadze przepisy dyrektywy NIS2 architektura zbudowana w taki sposób, niestety nie spełni wymogów ustawodawcy, który duży nacisk kłaść będzie na zarządzanie ryzykiem.  

---

2.2. Przykłady istniejących wyzwań 

Pomijając samo dostosowanie infrastuktury OT do wymagań dyrektywy / ustawy, które jest wyzwaniem samym w sobie, opisana powyżej topologia wskazuje na kilka uchybień. Warto zaadresować te wyzwania: 

• Brak segmentacji sieci – płaska struktura sieciowa oparata o switche niezarządzalne powoduje, iż uzyskując dostęp do jednego miejsca w naszej infrastrukturze, mamy możliwość poruszania się praktycznie po całym zakładzie. 

• Zarządzanie – brak możliwości monitorowania tego co dzieje się w naszej sieci i szybkiego reagowania w przypadku wystąpienia awarii bądź pętli. 

• Zdalny dostęp – nienadzorowany zdalny dostęp. 

• Zarządzanie podatnościami i incydentami – praktycznie brak jakiegokolwiek zarządzania ryzykiem, wyłączając firewall na brzegu sieci IT oraz OT i brak jakiejkolwiek agregacji informacji na temat cyberzagrożeń. 

2.3. Wpływ nowych regulacji na konieczność zmian 

NIS-2 zaostrza wymogi bezpieczeństwa sieci i systemów informatycznych. Będą one miały znaczący wpływ na infrastrukturę przemysłową. Oto kluczowe zmiany, jakie legislacja może wymusić w systemach OT: 

• Wzmocnienie segmentacji i mikrosegmentacji sieci OT 

• Zarządzanie dostępem zdalnym 

• Zarządzanie podatnościami 

• Identyfikacja i ocena podatności 

• Patch management 

• Wprowadzenie mechanizmów redundancji 

• Redundantna infrastruktura sieciowa 

• Backupy i przywracanie danych 

• Zarządzanie incydentami i raportowanie 

• Systemy monitorowania 

• Procedury zarządzania incydentami 

• Zarządzanie ryzykiem 

• Analiza ryzyka 

• Zarządzanie łańcuchem dostaw 

---

3. Segmentacja infrastruktury OT 

3.1. Definicja segmentacji – czym jest i dlaczego jest kluczowa dla infrastruktury OT? 

Segmentacja sieci to, jak sama nazwa wskazuje, proces podziału sieci komputerowej na mniejsze, logicznie odseparowane części (segmenty), które mogą być zarządzane i chronione niezależnie. W kontekście infrastruktury OT polega na oddzieleniu różnych elementów sieci sterujących, takich jak: 

• systemy SCADA,  

• sterowniki PLC,  

• urządzenia pomiarowe,  

• maszyny,  

w celu ograniczenia ich wzajemnej komunikacji tylko do niezbędnych połączeń.  

Segmenty te mogą być tworzone na poziomie fizycznym (np. oddzielne sieci fizyczne) lub logicznym (np. przy użyciu VLAN-ów w ramach jednej infrastruktury fizycznej). Bardziej efektywną praktyką jest jednak tworzenie segmentów na poziomie logicznym, ponieważ zdecydowanie ułatwia to późniejsze zarządzanie infrastrukturą. 

Szerzej temat segmentacji i jej praktyczna implementację opisywaliśmy tutaj. 

---

3.2. Implementacja segmentacji w środowisku przemysłowym – Etap I – Router na patyku 

Jedną z pierwszych rzeczy, które możemy zrobić, aby usprawnić opisaną wcześniej topologię, to: 

• Wdrożenie NGFW dla sieci OT i przeniesienie dotychczasowego UTM jako terminującego ruch z IT. Tym samym Infrastruktura OT oraz IT będą dysponowały swoimi Firewallami, z różnymi regułami oraz strefą DMZ, w której postawić możemy serwery aplikacyjne 

W tym miejscu warto zaznaczyć, że dobrą praktyką jest to, aby Firewall IT oraz OT były od różnych vendorów, ponieważ wykorzystanie podatności w jednej części nie będzie skutkowało kompromitowaniem kolejnego segmentu 

• Wymiana przełącznika niezarządzalnego na zarządzalny oraz skonfigurowanie sieci VLAN – zapewnienie, że po stronie OT, segmenty nie będą widziały się nawzajem a wymiana danych pomiędzy segmentami, które tego wymagają będzie w pełni kontrolowana i realizowana z wykorzystaniem NGFW 

---

3.3. Korzyści z segmentacji 

Dzięki segmentacji opartej na powyższych założeniach,  zyskujemy pełną separację sieci PLC od infrastruktury SCADA. Oczywiście, aby system SCADA działał prawidłowo musi on pozyskiwać informacje z sieci PLC. Jednak ruch ten jest w pełni filtrowany i kontrolowany z wykorzystaniem reguł firewalla oraz DPI na urządzenia NGFW.  

Systemy IT, które muszą pozyskiwać dane produkcyjne nie otrzymują możliwości komunikacji z siecią PLC a na poziomie NGFW uzyskują ograniczony regułami dostęp do wymaganych danych dla systemu ERP. 

Na tym etapie jednak: 

• złamanie Firewalla skutkuje uzyskaniem dostępu do infrstruktury OT. Malware, który przedsotałby się przez nasz NGFW do części produkcyjnej w prosty sposób może rozprzestrzenić się na wszystkie elementy, 

• awaria NGFW skutkuje utratą segmentacji – mamy pojedynczy punkt awarii, 

• w dalszym ciągu nie mamy zabezpieczonego zdalnego dostępu serwisowego do maszyn, 

• nie mamy nadmiarowości sieci – połączenia z sieci dystrybucyjnej do NGFW są realizowane jednym połączeniem i jego awaria skutkuje utratą transmisji. 

Jakie zatem należy podjąć kolejne kroki? 

---

4. Budowa redundantnej infrastruktury sieciowej  

4.1. Potrzeba redundancji w infrastrukturze OT 

Mając na uwadze zachowanie ciągłości procesu rekomenduje się zastosowanie mechanizmów nadmiarowych tj. redundancji sieci. Ma ona na celu minimalizację wpływu awarii pojedynczych komponentów sieciowych na ciągłość pracy instalacji technologicznej. 

Stosując mechanizmy nadmiarowe zyskujemy zwiększoną niezawodność i dostępność systemów. Jeżeli jedno z urządzeń sieciowych ulegnie awarii, jak choćby wspomniany wcześniej NGFW, redundantne elementy mogą przejąć jego funkcje minimalizując ryzyko przestoju. To wiążę się również z bezprzerwową konserwacją. Praca systemu przeniesiona na systemy redundantne pozwala na spokojne przeprowadzenie prac naprawczych i wymianę uszkodzonego elementu bez wpływu na ciągłość produkcji. 

Ponadto nasze środowisko staje się znacznie bardziej skalowalne, ponieważ w miarę wzrostu części produkcyjnej podłączanie kolejnych segmentów do tak zaprojektowanej infrastruktury jest intuicyjne i nie wymaga przeprojektowywania całej infrastruktury. 

---

4.2. Projektowanie redundantnych sieci 

Jak zatem rozbudować naszą posegmentowaną infrastrukturę o elementy nadmiarowe? 

Mając na uwadze minimalizowanie występowania pojedynczych punktów awarii należałoby: 

• Wyposażyć sieć w dwa NGFW połączone w klaster HA lub VRRP – minimializujemy w ten sposób ryzyko utraty segmentacji sieci i w przypadku awarii jednego urządzenia jego rolę przejmie drugi Firewall. 

• Zbudować sieć szkieletową oraz dostępową w sieci OT. 

• Zadaniem sieci szkieletowej będzie agregowanie różnych segmentów produkcji. Działa ona jako centralny punkt, przez który przepływają dane z różnych segmentów sieci. Jeżeli chcielibyśmy wdrażać np. system IDS, to w tym miejscu moglibyśmy wstawić sondę celem analizy ruchu w przedsiębiorstwie.  

• Zadaniem sieci dostępowej będzie połączenie urządzeń końcowych z siecią szkieletową i zapewnienie bezpieczeństwa na poziomie dostępu poprzez kontrolę dostępu do portów (np. Static Port Lock lub MAC Address Sticky) oraz przypisanie „końcówek” do odpowiednich sieci VLAN. 

• Zarówno w przypadku sieci szkieletowej jak i ostępowej stosujemy mechanizmy nadmiarowe, takie jak np. Turbo Ring v2, Dual Homing aby minimalizować czas przestoju oraz zredukować liczbę pojedynczych punktów awarii 

---

4.3. Przykłady implementacji 

Jak zatem opisane powyżej mechanizmy możemy zaimplementować do naszej topologii?

---

5. Mikrosegmentacja infrastruktury OT 

5.1. Definicja mikrosegmentacji 

Co rozumiemy przez mikrosegmentację i jakie korzyści wnosi ona do przedstawionej powyżej koncepcji? 

To zaawansowana technika zabezpieczania sieci umożliwiająca jeszcze bardziej precyzyjne zarządzanie ruchem sieciowym i kontrolę dostępu. 

Kluczowe cechy mikrosegmentacji, to: 

• Granularność – tworzenie segmentów na poziomie pojedynczych maszyn, procesów lub połączeń sieciowych, co umożliwia kontrolowanie ruchu na bardzo szczegółowym poziomie. 

• Izolacja ruchu – ruch pomiędzy poszczególnymi komponentami sieci może być ograniczony do absolutnego minimum. 

• Wprowadzenie bezpieczeństwa „zero trust” – możliwość weryfikowania dostępu do danej maszyny czy segmentu na podstawie ustalonych zasad bezpieczeństwa. 

• Dynamiczne zarządzanie politykami – możliwość przypisywania polityk dostępu do maszyny lub segmentu w zależności od kontekstu i aktualnych potrzeb np. udzielenie zdalnego dostępu serwisowego 

---

5.2. Praktyczne zastosowania mikrosegmentacji 

Powyższą topologię możemy dodatkowo usprawnić. 

Wystarczy wprowadzić mikrosegmentację do procesów produkcyjnych z wykorzystaniem przemysłowych systemów klasy IPS. 

---

5.3. Korzyści z mikrosegmentacji 

Mikrosegmentacja wprowadza dodatkowy element ochrony, dzięki któremu: 

• zabezpieczamy podatności maszyn, serwerów SCADA, sterowników PLC, 

• automatyzujemy proces generowania polityk pomiędzy warstwą procesową a warstwą sterownia,w trybie ciągłym diagnozujemy sieć pod kątem niepożądanego ruchu lub ruchu opisanego sygnaturą cyberbezpieczeństwa, 

• zabezpieczamy linie produkcyjne przed rozprzestrzenianiem się zagrożeń typu malware, ransomware, itd., 

• nadzorujemy dostęp dla zewnętrznych kontraktorów. 

• ograniczamy możliwość komunikacji z innymi nieautoryzowanymi wyjściami na zewnątrz (np. bramki dostępowe Talk2M). 

---

6. Wyniki i efekty 

6.1. Podsumowanie kluczowych aspektów segmentacji i mikrosegmentacji 

W tym artykule chciałem zaprezentować możliwość gradacyjnego podejścia do cyberbezpieczeństwa. Ważne jest, aby już na początku naszej ścieżki decydować się na rozwiązania charakteryzujące się wysokim poziomem elastyczności. Pozwoli nam to sukcesywnie rozbudowywać infrastrukturę o kolejne komponenty bez zbyt dużego obciążania budżetu. Docelowo zyskujemy sieć przemysłową zgodną z wymaganiami legislacyjnymi a jednocześnieprostą wzarządzaniu. 

Każdy z projektowanych systemów ma możliwość scentralizowanego zarządzania oraz agregowania logów, które użyteczne są zarówno w codziennej pracy Utrzymania Ruchu jak i Zespołów Cyberbezpieczeństwa. 

Jak to wygląda w praktyce? 

• Monitorowanie i Zarządzenie siecią OT 

• W opisywanym przypadku centralnie wdrożone narzędzie MXView One pozwala w trybie ciągłym monitorować infrastrukturę sieciową. Z tego miejsca będziemy wiedzieli czy np. któreś z naszych urządzeń przestało odpowiadać i kiedy miało to miejsce. Wszelkie anomalie w działaniu protokołów nadmiarowych będą widoczne w logach i pozwolą na podjęcie szybkiej reakcji. 

• Zarządzenie ryzykiem w cyberbezpieczeństwie 

• Sondy EdgeIPS wykorzystywane do mikrosegmentacji raportują wszelkie naruszenia wdrożonych polityk cyberbezpieczeństwa do oprogramowania centralnego EdgeOne. Z jego poziomu możemy stale analizować zdarzenia związanie z wdrożonymi przez nas procedurami oraz za pośrednictwem serwera syslog raportować o zdarzeniach/incydentach do oprogramowania klasy SIEM. 

• Również z poziomu konsoli EdgeOne  zarządzać będziemy podatnościami w naszej infrastrukturze. Jeżeli interesować nas będzie czy w infrastrukturze OT zabezpieczeni jesteśmy np. przed podatnością dla sterowników Rockwell Automation, to w bazie sygnatur możemy zweryfikować czy przed taką podatnością jesteśmy chronieni. Ma to istotne znaczenie z perspektywy zagrożeń płynących z rynku na kluczowe assety (np. krytyczna podatność na niewspieranych już sterownikach) oraz ewentualnych audytów. 

---

6.2. Rekomendacje dla przemysłu spożywczego 

Podsumowując zatem powyższe studium przypadku, przedstawiamy checklistę kluczowych kroków, które należy podjąć, aby zabezpieczyć infrastrukturę OT przed cyberzagrożeniami: 

• wykonanie wizji lokalnej i analizy ryzyka infrastruktury OT, 

• audyt sieci OT, który pozwoli na wskazanie punktów, w których nasza infrastruktura ma najsłabsze punkty i gdzie powinniśmy ją dobezpieczyć 

• W konsekwencji do wykonanego audytu przygotowanie koncepcji modernizacji infrastruktury OT z uwzględnieniem: 

• terminowania sieci OT od IT, 

• wykorzystania NGFW do segmentacji logicznej sieci, 

• wymiany urządzeń niezarządzalnych na zarządzalne, 

• pełnej nadmiarowości sieci celem minimalizowania wystąpienia przestojów, 

• mikrosegmentacji sieci OT celem minimalizowania propagacji malware po stronie OT i ograniczenie ewentualnych szkód wyłącznie do jednego segmentu, 

• eliminacji nieautoryzowanych zdalnych dostępów do maszyn i filtrowanie ich przez urządzenia klasy IPS oraz NGFW. 

---

Skontaktuj się z nami 

Segmentacja i mikrosegmentacja sieci OT nie są tematami prostymi. Jeżeli potrzebujesz pomocy i wsparcia eksperta, zapraszam do kontaktu. Umówimy się na spotkanie lub wizję lokalną i spróbujemy rozwiązać Twój problem.