Вимірювання й удосконалення ІТ-безпеки вже охопили багато компаній і просуваються вперед. Питання безпеки OT, з іншого боку, досі залишається закритою книгою для багатьох компаній. OTORIO пояснює, як можна однаково просувати безпеку ІТ і ОТ і яку роль у цьому відіграють управління вразливістю та підрахунок балів.
Які найефективніші заходи зниження ризику, які забезпечують найбільш ефективне зниження ризику для конкретного об’єкта, процесу або всього виробничого об’єкта? Однак після того, як заходи зі зменшення ризику будуть впроваджені і залишиться прийнятний залишковий ризик, потрібно ще багато роботи. Це пояснюється тим, що процес зменшення ризику виявляє додаткові небезпеки та прогалини, які є частиною нещодавно введеного «прийнятного» залишкового ризику.
Це безперервний процес, оскільки він дозволяє оперативним і оперативним групам безпеки постійно зосереджуватися на вразливостях, якими зловмисники, швидше за все, скористаються, щоб завдати якомога більшої шкоди організації. Лише шляхом повторення цього циклу оцінки ризиків організації можуть досягти стійкості бізнесу з обмеженою кількістю ресурсів.
Цілі оцінки ситуації
Основна мета процесу оцінки – усунути вразливі місця з належним пріоритетом. У цьому дописі розглядається природа вразливостей, як їх слід оцінювати та їх застосування до цифрової безпеки OT.
Національний інститут стандартів і технологій (NIST) визначає вразливість як: «Уразливість обчислювальної логіки (наприклад, коду) компонентів програмного та апаратного забезпечення, яка в разі використання призводить до негативного впливу на конфіденційність, цілісність або доступність. Усунення вразливостей у цьому контексті зазвичай включає зміни в коді, але також може включати зміни в специфікацію або навіть припинення специфікації (наприклад, повне видалення протоколів або функцій, яких це стосується). »
Зв’язок між інвентаризацією активів і вразливими місцями OT
Створення точної, контекстної та детальної інвентаризації активів є першим кроком у розробці ефективного процесу аналізу вразливостей OT. Перелік має включати дати програмного забезпечення та версії, підключення пристроїв, статус та інформацію про керування (наприклад, власника, робочу роль, функцію). Поточна та точна інвентаризація відображає різні аспекти стану активів.
Після початкової інвентаризації уразливості можна пов’язати з відповідними активами. Це відображення має виконуватися за допомогою автоматизованого процесу, особливо з великою кількістю активів. Це вимагає створення та використання алгоритму, який може пов’язувати напівструктуровані дані про вразливості з активами в мережі.
База даних NIST про загальні вразливості та викриття (CVE) наразі містить близько 170.000 XNUMX відомих уразливостей ІТ та ОТ, що робить її важливим джерелом інформації. Ця кількість і постійне впровадження нових вразливостей підкреслює масштаб і потребу в автоматизованій їх ідентифікації.
Джерела для визначення вразливостей
Під час оцінки вразливостей ступінь серйозності кожної вразливості кількісно визначається за допомогою індексу вразливості. Стандартним методом оцінки вразливостей є Загальна система оцінки вразливостей (CVSS) NIST, галузевий стандарт, який оцінює, наскільки легко можна використати вразливість і вплив, який вона може мати на конфіденційність, цілісність і доступність. Ці три фактори (також відомі як «CIA» — «конфіденційність, цілісність і доступність») також є змінними, які вимірюють потенційну серйозність загрози.
Однак простого розгляду загальних уразливостей недостатньо, щоб визначити, наскільки вразливим є певний актив. Іншим джерелом визначення є внутрішня політика компанії. Наприклад, якщо така політика передбачає, що паролі середньої надійності є вразливістю, це потрібно враховувати під час розрахунку вразливості активу. Специфічні для підприємства вразливості є основним способом, за допомогою якого практики можуть розглядати політику як фактор при оцінці вразливостей.
Галузеві стандарти та найкращі практики також є важливими джерелами вразливостей, які сприяють ризику. Прикладами промислових стандартів є ISA/IEC 62443 у Європі та NERC CIP у Північній Америці. Недотримання найкращих практик може призвести до таких проблем, як допустима конфігурація сегментації, відсутність агентів EDR і необґрунтований зв’язок між ІТ- та ОТ-областями в мережі. Їх потрібно внести в загальну базу даних уразливостей, де вони можуть бути змінені фахівцями з відповідної тематики в міру розвитку галузевих стандартів і найкращих практик.
Оцінка вразливостей
Практикуючі спеціалісти повинні оцінити специфічні для компанії вразливості за допомогою системи CVSS і поставити їх на ту ж шкалу, що й загальні вразливості. База даних уразливостей має бути достатньо гнучкою, щоб дозволити практикуючому спеціалісту впливати на оцінку вразливості на основі політики компанії.
Оскільки будь-який стан активу може являти собою вразливість, доцільно розгорнути алгоритм, який застосовує корпоративну політику до всіх станів активу. Таким чином, основою для прийняття правильних рішень щодо ситуації безпеки є послідовне використання бази даних уразливостей, у якій усі вразливості оцінюються за стандартним методом. Це дозволяє організації визначати пріоритетність пом’якшення на основі ризику.
висновок
Уразливості є одним із чотирьох компонентів ризику та важливим фактором при аналізі стану безпеки. Основною проблемою є створення та підтримка бази даних уразливостей, яку можна застосувати до активів для прийняття рішень щодо визначення пріоритетності дій з усунення.
Найкращий спосіб оцінити вразливості – це відповідати системі CVSS. У результаті організації уникають необхідності переглядати всі поширені вразливості, зберігаючи галузеві стандарти. У зв’язку з розмахом і масштабністю цього процесу виникає необхідність його автоматизації. Таким чином, організація може регулярно проводити послідовну та масштабовану оцінку стану безпеки, що дає змогу порівнювати оцінки з часом і визначати тенденції в стані безпеки.
Більше на Sophos.com
Про OTORIO
OTORIO розробляє та продає наступне покоління рішень безпеки OT та управління цифровими ризиками. Компанія поєднує досвід провідних державних експертів з кібербезпеки з передовими цифровими технологіями управління ризиками, щоб забезпечити найвищий рівень захисту критичної інфраструктури та виробничих галузей.