Poznámka redakce: Toto je 61. článek v sekci „Skutečná slova nebo módní slova?“ seriál o tom, jak se z reálných slov stávají prázdná slova a brzdí technologický pokrok.
Kybernetické fyzické systémy (CPS) jsou počítačové systémy, které fyzicky komunikují s okolním prostředím. Jejich zabezpečení může být komplikované kvůli jejich dvojí povaze (kybernetické a fyzické). Účelem kyberneticko-fyzické bezpečnosti je zajistit, aby celý systém fungoval tak, jak má – nejen počítačová část. Vyžaduje jak kybernetickou kontrolu, tak fyzickou kontrolu, stejně jako úroveň náležité péče odpovídající následkům selhání systému.
Attack surface je pojem IT, který v doméně fyzického zabezpečení běžně neslyšíme. Anattack povrch je definován jako celkový počet všech možných vstupních bodů pro neoprávněný přístup do jakéhokoli systému. Zahrnuje všechny zranitelnosti a koncové body, které lze zneužít k provedení bezpečnostního útoku. Kybernetické fyzické systémy mají větší a zranitelnější útočnou plochu kvůli své celkové složitosti a protože v dnešní době jsou obvykle propojeny a vyměňují si data s jinými většími systémy.
Složitost zvyšuje útočné plochy
Dnešní bezpečnostní systémy jsou mnohem složitější než v předchozích desetiletích. Mají více bodů selhání než dřívější systémy bez sítě. Po více než dvě desetiletí mi bezpečnostní vyšetřovatelé tvrdili, že 10 až 20 % času důkazní video, které hledají, neexistuje, ale mělo by být.
V kapitole 4 „Systems and How They Fail“ své vynikající knihy Beyond Fear: Thinking Sensically About Security in an Uncertain World Bruce Schneier píše: „Bezpečnostní experti se více obávají toho, jak systémy nefungují, jak reagují. když selžou, jak je přimět k selhání.“ Lidé z IT skenují a monitorují své sítě a zařízení, aby se dostali před problémy dříve, než se s nimi setkají uživatelé, protože se zaměřují na poskytování vynikající uživatelské zkušenosti, která vyžaduje robustní správu IT infrastruktury.
Z různých důvodů se zdá, že mnoho výrobců bezpečnostního průmyslu dostatečně nepřemýšlí o tom, jak by jejich produkty mohly selhat. V ostatních oborech strojírenství je tomu naopak. Analýza režimů a důsledků selhání (FMEA) je součástí vzdělání inženýrů a je standardní praxí v mnoha průmyslových odvětvích. Přečtěte si o tom na výše uvedeném odkazu na webových stránkách Americké společnosti pro kvalitu (ASQ).
Attack SurfaceExposure
Hackeři pracují na odhalení fyzických i digitálních zranitelností a způsobů selhání. Mnohé z nich jsou publikovány jak na „surfacewebu“ (co indexují vyhledávače), tak na „deep webu“ (neindexovaný obsah, který je několik setkrát více než na povrchovém webu), a zejména na „dark webu“ (malý zlomek hlubokého webu), který pro přístup vyžaduje speciální prohlížeč (Tor).
Zranitelnosti a způsoby selhání v přístupu na povrch útoku jsou také předmětem vzdělávacích setkání na každoročních hackerských konferencích Black Hat a DEF CON, kde se konají různé hackerské soutěže, včetně soutěží v tipování zámků.
Užitečnost konceptu útočné plochy
Pro ty z nás, kteří nasazují a spoléhají na kybernetické fyzické systémy, jako jsou systémy fyzické bezpečnosti, spočívá primární užitečnost konceptu útočné plochy ve dvou věcech.
1. Definování povrchu útoku nám umožňuje agregovat širokou škálu zranitelností, které se během tradičního návrhu zabezpečení, nasazení a operací plně neprojeví, abychom je mohli řešit. Definice útočné plochy v její celistvosti nám umožňuje identifikovat, zdokumentovat a řádně napravit všechny digitální, fyzické a funkční slabiny systému, které najdeme.
2. Klíčovým účelem pro termín útoku je zdůraznit útočníkovu perspektivu, která zahrnuje náhodné a úmyslné vnitřní hrozby. Děláme to (nebo bychom měli) pro naše zařízení při hodnocení rizik fyzické bezpečnosti. Musíme udělat totéž pro ochranu našich bezpečnostních systémů, jinak zůstanou i nadále zranitelné – což znamená, že naši lidé a majetek budou více ohroženi, než by měli být kvůli tomu, co obvykle nazýváme závadami bezpečnostního systému, ale ve skutečnosti by měly být označeny jako zabezpečení. systémové poruchy.
Existují dva druhy útočných ploch – digitální a fyzické – a naše elektronické bezpečnostní systémy mají oba. Hodnocení zranitelnosti útočného povrchu zahrnuje posouzení, jak mohou být ohroženy nebo zneužity schopnosti bezpečnostního systému. Protože naše systémy fyzického zabezpečení jsou založeny na informačních technologiích a fyzických senzorech a řídicích technologiích, jsou ještě zranitelnější než podnikové informační systémy.
Plochy digitálního útoku pro bezpečnostní systémy zahrnují pracovní stanice a serverové počítače, počítačové operační systémy a softwarové aplikace, sítě (kabelové i bezdrátové) a jejich body připojení k jiným systémům a internetu, plus sítě a software- body lidské interakce, jako je konfigurace zařízení a systémů.
Plochy fyzického útoku pro bezpečnostní systémy zahrnují všechna koncová zařízení, jako jsou servery, stolní počítače a notebooky a jejich porty USB; osobní mobilní zařízení; bezpečnostní kamery; Senzory a ovladače detekce narušení; a čtečky přístupových karet, ovladače a jejich hardware pro monitorování a ovládání dveří. Součástí útočné plochy je spínač dveřního monitoru, který lze přerušit pomocí jednoduchého magnetu.
Jak můžeme efektivně přistupovat k ochraně povrchu před útoky?
Bezpečnostní triáda pro kybernetické fyzické systémy
Triada informační bezpečnosti (někdy jen krátce „Bezpečnostní triáda“) poskytla skálopevný třípilířový přístup k vývoji zdravou strategii kybernetické bezpečnosti využívající cíle bezpečnostního designu, kterými jsou vytvoření a udržování důvěrnosti, integrity a dostupnosti (CIA).
Aktualizoval jsem tradiční diagram CIA, abych přidal novou perspektivu – ovládací prvek – pro kybernetické fyzické systémy (viz obrázek 1). V případě ohrožení integrity nebo funkčnosti systému se musíme ujistit, že systém nezpůsobí škodu kvůli ztrátě nebo zneužití jeho schopností řízení fyzického světa a že jsme schopni upozornit na selhání ve vhodném časovém rámci a v případě potřeby ručně zasáhnout. .
Tento koncept návrhu fyzického bezpečnostního systému již máme, který známe jako režimy zabezpečení proti selhání a režimy zabezpečení proti selhání.
Kyberfyzické systémy v mnoha dalších odvětvích se musí vypořádat s mnohem kritičtějšími situacemi poruch, jako jsou chirurgické robotické asistenční systémy a autonomní vozidla, pro které může být doba odezvy milisekundy životně kritická. Ale jako v případě systémů kontroly přístupu a detekce narušení může nastat životně kritická situace vyžadující reakci během několika sekund nebo minut.
Obrázek Obrázek SEQ \* ARABIC 1.CIA for Cyber-Physical Systems
Zdroj obrázku: © 2022 RBCS, Inc.
Důvěrnost
Důvěrnost pro informační systémy původně znamenala omezení přístupu k datům pouze na oprávněné osoby. Pro kyberneticko-fyzické systémy to také znamená kontrolu přístupu, aby se zabránilo neoprávněnému ovládání systému a jeho zneužití.
Systémy, které komunikují s lidmi, mohou navíc zaznamenávat data, na která se vztahují omezení ochrany osobních údajů. Některá omezení ochrany osobních údajů jsou zřejmá, například pro zachycená biometrická data řízení přístupu. Méně zřejmé jsou jednoduché záznamy, jako jsou záznamy o používání systému zákazníkem nebo operátorem, které obsahují informace o místě a čase a lze je propojit s konkrétním jednotlivcem – protože GDPR definovalo údaje o poloze jednotlivce jako osobně identifikovatelné informace a podléhají předpisům o ochraně soukromí, včetně lhůt pro likvidaci informací a anonymizaci. dat před jejich sdílením v rámci jednotlivců nebo jiných systémů.
Integrita
Kybernetické fyzické systémy a zařízení jsou obvykle součástí „systému systémů“, což znamená, že přesnost některých dat může být pro externí systém důležitější než pro systém nebo zařízení zachycující nebo generující data. Kybernetické fyzické systémy často slouží jiným systémům – jak systémům strojů, tak systémům lidí – které mají větší účel a mají větší dopad na celkový systém věcí.
Zvažte systém řízení městské dopravy, který zakládá řízení semaforů na křižovatkách na počtu a rychlosti vozidel na silnici. Načasování semaforu může snížit nebo zvýšit znečištění na základě toho, zda snižuje nebo zvyšuje celkový počet cyklů brzdění a poté akcelerace. Některá města shromažďují údaje o obsazenosti parkovišť, takže městské mobilní aplikace mohou prezentovat odhadovanou dostupnost parkování s obsluhou a samoobslužného parkování a nasměrovat cestující ve vozidle na dostupné parkoviště nejblíže jejich cíli.
Nehody mezi vozidly a chodci ve skladu byly sníženy díky použití vysokozdvižných vozíků a systémů řízení vozidel zaměřených na nebezpečné křižovatky, slepé přechody a další nebezpečné zóny. Poskytují automatické snížení rychlosti nebo zastavení na základě zjištěné aktivity chodců. Integrita dat o aktivitě chodců je kriticky důležitá pro systémy, které automaticky řídí rychlost vozidla a zastavování. Selhání zamýšleného ovládání vozidla by mohlo být katastrofální.
Do takových scénářů může být zapojena technologie videosledování. Fyzické bezpečnostní systémy se stále více podílejí na optimalizaci obchodních operací kromě své typické bezpečnostní funkce. V takových případech nezávisí integrita dat většího systému pouze na přesnosti přijatých dat, ale také na nepřetržitém provozu tohoto příchozího datového toku bez přerušení nebo selhání systému. Problémy s integritou dat nebo dostupností v bezpečnostním systému mohou ovlivnit funkčnost jiných systémů mnoha způsoby, někdy s většími důsledky než selhání integrity v bezpečnostním systému.
Dostupnost
Nasazení datových center Amazon Web Services, Microsoft Azure a Google Cloud je neobyčejně složitější než nasazení systémů fyzického zabezpečení. Nabízejí záruky dostupnosti systému 99,9999% dostupnosti (tzv. „šest devítek“) pro své špičkové cloudové služby. Viz graf prostojů níže.
Víme tedy, že vysoká dostupnost je možná a díky pokroku v oblasti cloud computingu a informačních technologií obecně je vysoká dostupnost lepší, jednodušší na nasazení a dostupnější než v předchozích desetiletích.
Pokud však nepožadujeme vysokou dostupnost našich systémů, nezískáme ji. Bezpečnostní systémy by měly být spolehlivé alespoň na 99,9 % (tři devítky). proč nejsou?
Nepochybně je to proto, že se k našim systémům kybernetické fyzické bezpečnosti (PACS, video atd.) nechováme tak, jako IT odborníci zacházejí se svými kritickými informačními systémy. Povolujeme pouze 80% spolehlivost – věci fungující 80 % času, který od nich očekáváme, což znamená 20% selhání – převládat. Bezpečnostní alarmy jsou tak nespolehlivé, že mnoho policejních oddělení nyní vyžaduje video ověření alarmu, než zareagují.
Dnešní technologie s podporou umělé inteligence mohou dosáhnout mnohem lepších výsledků, než jaké byly možné v předchozí generaci bezpečnostních systémů. Nyní, když se stávají cennějšími pro bezpečnost a obchodní operace, podnikneme konečně opatření k ochraně jejich útočných ploch?
Další informace o ochraně před útoky naleznete na webu společnosti Viakoo, IT společnosti, která vstoupila do odvětví internetu věcí, aby pomohla chránit útočné povrchy internetu věcí a jejich zařízení IoT včetně bezpečnostních kamer. Jeho produkt Service Assurance Manager je navržen tak, aby řešil problém chybějícího videa a mnoho dalšího.
O autorovi: Ray Bernard, PSP CHS-III, je hlavním konzultantem společnosti Ray Bernard Consulting Services (RBCS), která poskytuje poradenské služby v oblasti bezpečnosti pro veřejná a soukromá zařízení (www.go-rbcs .com). V roce 2018 IFSEC Global zařadil Ray jako #12 mezi 30 nejlepších světových lídrů v oblasti bezpečnosti. Je autorem knihy společnosti Elsevier SecurityTechnology Convergence Insights dostupné na Amazonu. FollowRay na Twitteru: @RayBernardRBCS.
© 2022 RBCS. Všechna práva vyhrazena.
