En PAM-lösning för att öka SCADA-säkerheten

PAM-lösningar för att öka SCADA-säkerheten

SCADA (Supervisory Control and Data Acquisition) är ett beprövat ramverk som industriföretag och allmännyttiga företag använder för att hantera sina operativa tekniksystem (OT). Under de senaste åren har dock cyberrisken ökat eftersom komponenterna i SCADA-systemet har blivit alltmer sammankopplade på grund av Internets framgång och möjligheten till IP-baserad användning.

SCADA:s ramverk för cybersäkerhet rekommenderar kontroller för att motverka risken för cyberattacker mot SCADA-system. Dessa attacker kan orsaka förödelse eller till och med kosta liv. Åtkomstkontroller, inklusive Privileged Access Management (PAM), är en viktig byggsten för SCADA-säkerhet eftersom de skyddar industriella system mot skadliga aktörer.

Vad är SCADA?

SCADA står för Supervisory Control and Data Acquisition. I allmänhet är det ett system som kan övervaka och hantera sensorer och kontroller på olika platser.

SCADA är ett moget teknikramverk som innehåller många olika enheter och mjukvaruapplikationer. Tillsammans bildar SCADA-driven teknik ett slags industriellt nervsystem. De finns i fabriker, kraftverk och sjukhus. Värme- och kylsystem för byggnader styrs också på detta sätt. Kombinationen av sensorer, värddatorer och fjärrkontrollterminaler (RTU) gör det möjligt att övervaka och styra fysiska processer. Till exempel kan ett SCADA-system inom stålindustrin upptäcka när smält stål är tillräckligt varmt för att gjutas. På så sätt utlöses lämpliga ställdon vid rätt tidpunkt, vilket gör att stålet kan gjutas i formar. SCADA erbjuder också gränssnitt mellan människa och maskin för rapportering och kontrollinmatning. Denna funktion gör det möjligt att alltid hålla reda på alla relevanta produktionsdata och att göra insatser vid behov.

SCADA-säkerhet i internetåldern är av största vikt.

Säkerheten för SCADA-system har alltid varit ett stort problem för systemadministratörer. Eftersom proprietära kommunikationsprotokoll använde isolerade nätverk var SCADA-systemen svåra att nå och svåra att hacka. Säkerhetsarkitekter kunde peka på "luftgapet", dvs. den fullständiga isoleringen av SCADA-nätverk från omvärlden; det ansågs vara en extremt robust åtgärd mot potentiella hot. Ändå har attacker på SCADA-system en betydande inverkan. Det handlar om irriterande störningar som strömavbrott, men tyvärr också katastrofer som härdsmältor, dammhaverier eller skador eller dödsfall hos industrianställda. Dessa möjligheter till konsekvenser, en gång belägna i fjärran, är nu mycket mer troliga.

Två faktorer ökar kraftigt riskpotentialen för SCADA-system. Till en början kan luftgapet aldrig ha varit det effektiva skyddsskiktet som människor förväntade sig. En serie professionella hack som Stuxnet-attacken mot iranska kärnkraftverk gjorde det klart att hackare kan komma åt luftgapsystem med hjälp av mänsklig teknik, USB-enheter och liknande teknik. Den viktigare utvecklingen vid denna tidpunkt är dock det IP-baserade SCADA-systemet. Steget i denna riktning är förståeligt när man överväger hur praktisk och utbredd IP har blivit. Det är nu möjligt att komma åt SCADA-system helt via Internet - inklusive samma flexibilitet och räckvidd som Internet, naturligtvis. Men när det gäller säkerheten är denna utveckling en katastrof.

SCADA-system, som nu också har kommit i internetåldern, måste nu också skyddas från hackare. Detta är en stor utmaning för branschen, eftersom SCADA-system inte har fått samma säkerhetsåtgärder som IT-avdelningar.

SCADA:s säkerhetsramverk

NIST Special Publication 800-82 är den mest relevanta källan när det gäller SCADA-säkerhet. Tillägg 2 från 2015 innehåller en detaljerad "Guide to Industrial Control Systems (ICS) Security" samt ytterligare information om "Supervisory Control and Data Acquisition (SCADA) Systems, Distributed Control Systems (DCS) och other Control System Configurations such as Programmable Logic Controllers (PLC)". NIST-standarden täcker ICS-riskhantering, lämplig riskbedömning och utveckling samt implementering av säkerhetsprogram och arkitekturer. Det är en omfattande guide till tillämpningen av säkerhetskontroller i ICS och med sina nästan 250 sidor grundligt undersökta.

PAM-lösningar och SCADA-säkerhet

Privileged Access Management (PAM) och SCADA-säkerhet (Supervisory Control and Data Acquisition) är viktiga för att säkerställa att endast behörig personal har åtkomst till kritiska system. PAM-lösningar ger ett centraliserat sätt att hantera behörigheter och kontrollera vem som har tillgång till vad, medan SCADA-säkerhet ger ytterligare lager av skydd för industriella styrsystem.

När det gäller säkerheten för SCADA- och ICS-system är varje punkt i NIST-standarden viktig. Den ansvariga säkerhetspersonalen ska göra lämpliga bedömningar och införa de kontroller som rekommenderas i standarden. Men en kontroll är särskilt avgörande för framgången för praktiskt taget alla andra aspekter av standarden: åtkomstkontroll - det vill säga kontroll över all privilegierad åtkomst.

Privilegierade användare

Privilegierade användare är användare som har särskilda rättigheter och tillgång till vissa system eller information. Detta kan sträcka sig från enkel åtkomst till innehåll av högre kvalitet till full kontroll över ett system. Ofta är termen "privilegierad" associerad med administratörsrättigheter, men vanliga användare kan också vara privilegierade.

Privilegierad användaråtkomst

Privilegierad åtkomst är en särskild behörighet som tillåter användare att komma åt skyddade resurser. Den här typen av åtkomst är vanligtvis endast tillgänglig för administratörer eller andra anställda på hög nivå.

PAM står för "Hantering av privilegierad åtkomst". Det här är en uppsättning metoder och verktyg som hjälper administratörer att övervaka och kontrollera användningen av privilegierade användarkonton. En PAM-lösning är en speciell programvara som registrerar kontosessioner med särskilda rättigheter och därmed möjliggör nödanalys. Dessutom kan den här lösningen utfärda en varning vid regelöverträdelser.

Implementera kraven i NIST-standarden med hjälp av en PAM-lösning

National Institute of Standards and Technology (NIST) rekommenderar Privileged Access Management (PAM) för att fastställa en standard för hantering av behörigheter. Denna standard bör gälla lika för små och stora företag, men är särskilt relevant för stora företag där det finns mer än 1 000 system. Med Pam Solution X kan du implementera NIST-standarden i din organisation, vilket ökar säkerheten för dina system.

NIST 800-82 rekommenderar att du begränsar fysisk åtkomst till ICS-nätverk och enheter. Denna rekommendation stöder PAM-principerna. Om enheter inte kan hanteras via någon form av mellanlager som en PAM-lösning är det praktiskt taget omöjligt att begränsa åtkomsten till dessa fysiska enheter.

PAM-lösningar ger OT-säkerhetschefer exakt de verktyg de behöver för att hantera privilegierad åtkomst i en komplex SCADA-miljö. NIST ger också vägledning om svårigheterna med att autentisera och auktorisera ett stort antal SCADA-användare. Till exempel handlar avsnitt 5.15 i standarden om autentiseringar och behörigheter: "En ICS kan innehålla ett stort antal system, som i sin tur måste nås av många användare. Att tilldela och autentisera dessa användare rätt behörigheter är en stor utmaning för ICS. Det kan vara problematiskt att hantera användarkontona, eftersom anställda alltid läggs till och elimineras, och även för att användarrollerna ändras över tiden. När antalet system och användare fortsätter att växa blir hanteringen av dessa konton ännu mer komplicerad."

Standarden varnar också snabbt för att välja en distribuerad metod för autentisering och auktoriseringstilldelning, där varje system har sina egna användaruppgifter: "Problemet är att det inte längre är särskilt skalbart när systemet växer." Dessutom: "Till exempel måste användarkontot för en anställd som har lämnat företaget raderas individuellt på varje system." Med den centrala kontrollen av privilegierade användare kan PAM enkelt inaktivera användaråtkomst när anställda lämnar företaget. PAM-lösningen täcker NIST:s rekommendationer: "Auktorisering sker via ett passersystem."

PAM-lösningen VISULOX ökar SCADA-åtkomstskyddet

Amitegos VISULOX PAM-lösning ger centraliserad kontroll över all privilegierad åtkomst i hela SCADA-ekosystemet. Privilegierade användare loggar in på en central portal och kan sedan utföra privilegierade åtgärder på SCADA-enheter. Tack vare VISULOX Pass Cache behöver privilegierade användare inte känna till det faktiska lösenordet för motsvarande enhet, vilket förhindrar användare från att oavsiktligt eller avsiktligt äventyra en fysisk enhet i en industriell styrenhet. VISULOX Session Recorder registrerar sessioner med privilegierade konton och skapar minuter och videor av sessioner som är tillgängliga för Security Operations (SecOps) -teamen i händelse av säkerhetsincidenter. VISULOX Session Recorders ger svar på de mest pressande frågorna som måste klargöras i händelse av en incident: Vem gjorde vad, när och på vilket system. Utan den här typen av sessionsinspelning kan secOps förlora värdefull tid på att försöka lösa incidenten.


PAM spelar en avgörande roll för att SCADA:s säkerhetsramverk ska fungera smidigt.

Säkerheten i SCADA-system är en komplex och central fråga. När hot inte upptäcks ordentligt och avvärjs står allmänheten på spel. PAM är en oumbärlig del av alla SCADA-säkerhetsstrategier: det är absolut nödvändigt att skydda kritisk åtkomst till SCADA-system. Dessutom stöder PAM också indirekt många andra kontroller som föreskrivs i NIST-standarden, såsom patchningssystem. Detta fungerar dock bara om PAM tillämpas effektivt; annars skulle det vara omöjligt att genomföra patchningen på ett riktat sätt. Kort sagt är PAM en kritisk framgångsfaktor för robust SCADA-säkerhet.

VISULOX Privileged Access Management tillhandahåller en robust PAM-lösning som skyddar ditt SCADA-ekosystem från attacker. Kontakta oss för mer information.

Vi har ännu fler ämnen som vi gillar att skriva om.

Så här skyddar du data från utflöde

Så här skyddar du data från utflöde

Vill du själv styra överföringen av data och information mellan IT-system? Med VISULOX enligt informationsklassificeringar för att skydda mot dataläckage.

Cookie-samtycke med riktig cookie-banner