רשת ה-5G בשימוש הטכנולוגיה התפעולית: אתגרים ופתרונות
ג׳ו רוברטסון, מנהל אבטחת מידע בחברת פורטינט, מסביר על האפשרויות שמביאות עמן רשתות אלה עבור ארגונים תעשייתיים הנמצאים בתהליך דיגיטציה, ועל אתגרי ההגנה על נקודות הקצה המתרחבות
ישראל דיפנס
| 11/07/2021
ג׳ו רוברטסון, מחבר המאמר. צילום: באדיבות חברת פורטינט
רשתות ה-5G מביאות עמן אפשרויות רבות עבור ארגונים תעשייתיים אשר נמצאים בתהליך של דיגיטציה. מהירות גבוהה, ביצועים אלחוטיים בשיהוי נמוך והיכולת להגביר את הניידות ואת יכולת הגדילה הופכים את טכנולוגיית ה-5G למתאימה ביותר לשיפור אוטומציית הייצור ולשימוש ביישומים חדשים, במיוחד כאלו הפועלים במערכות שבהן הזמן הוא מרכיב קריטי.
יחד עם זאת, טכנולוגיית ה-5G חושפת את הארגונים ואת רשתות ה-IT והטלקום אליה היא מחוברת כעת, לסיכוני אבטחת סייבר חדשים, הנובעים מההתכנסות של טכנולוגיות התקשורת, המחשוב, אחסון הנתונים וניתוח ביג דאטה, יחד עם גישה מוגברת למערכות בקרה תעשייתיות ולסביבות ייצור. אם אנחנו רוצים לסמוך על טכנולוגיית ה-5G לשימושים קריטיים, לא מספיק להתייחס רק לאבטחת רשת ו-OT, אלא יש צורך בפתרון אבטחה מקיף.
עד לאחרונה, רשתות ה-OT תפקדו כסביבות מבודדות (air-gapped), כאשר בסביבות של תעשיות קריטיות ובסביבות ייצור, הזמינות תמיד הייתה בעדיפות גבוהה יותר מאשר אבטחת סייבר. הופעתם של יישומי IT אשר מנתחים ומנהלים סביבות ייצור בזמן אמת הובילו לאיחוד בין רשתות ה-OT וה-IT, אשר חשפה את רשתות ה-OT לאיומי אבטחת הסייבר שה-IT מתמודד עמם כבר עשורים, אך בניגוד ל-IT, ל-OT לא היו עשורים של ניסיון באבטחת סייבר ופתרונות עבור הסביבות הרגישות.
טכנולוגיית ה-5G משדרגת טכנולוגיות חדשות, כמו האינטרנט של הדברים התעשייתיים (IIoT) באמצעות חיישנים המחוברים ביניהם, כלים המשמשים לניטור או בקרת מערכות והתקנים אחרים המחוברים עם יישומים תעשייתיים. כך, מופעל לחץ נוסף על היכולת לאתר ולהגיב במהירות לאיומים הפועלים במהירות של 5G.
ה-IIoT מורכב מאלפי חיישנים, אמצעי בדיקות ומפעילים פוטנציאליים אשר ניתן לגשת אליהם מרחוק לצורך בקרה, אבחון ותחזוקה. הם מציגים סיכון גבוה עקב השפעתם הישירה והפוטנציאל לגרום לנזק בסביבת הייצור בזמן אמת. כאשר ניתן לכפות את השבתת המערכת הקריטית או לגרום לה להתנהג בצורה לא יציבה, יש צורך להקדיש תשומת לב רבה יותר לאבטחת סייבר.
טכנולוגיית ה-5G מוסיפה נדבך נוסף ל-IIoT ולטרנספורמציה הדיגיטלית שעוברים הארגונים התעשייתיים. היא מביאה עמה את ההבטחה של יכולת גדילה פשוטה, אמינות גבוהה במיוחד ושיהוי נמוך לקישוריות אלחוטית. לצד זאת, היא מגיעה גם עם אתגרי אבטחה חדשים. לפניכם מספר אתגרים ופתרונות שמנהלי מערכות ה-OT צריכים לשים לב אליהם.
אתגר: הגנה על הקצה שממשיך להתפרש
תהליכים רבים בזמן אמת מגיבים כמעט מידית לתנאים משתנים ובסביבות רבות, שינויים אלו יכולים להתרחש באופן קבוע. הזנת נתונים בחזרה למערכת מרכזית לצורך ניתוח וקבלת החלטות יכולה לקחת זמן רב יותר מהנחוץ עבור מערכות רגישות לזמן. במקום זאת, אסטרטגיית מחשוב קצה ממקמת את היישומים על רצפת הייצור ומאפשרת איסוף נתונים וקבלת החלטות באופן מקומי באמצעות שימוש ב-5G.
יחד עם זאת, ארגונים אשר פורסים מחשוב קצה לא תמיד לוקחים בחשבון את ההשלכות על האבטחה. כאשר נקודות קצה נוספות לרשת, שטח התקיפה מתרחב והופך לקשה יותר לניהול. היות והרבה מהמערכות הללו תוכננו ונפרסו לצורך ספציפי, חלק מהארגונים מוצאים את עצמם מנסים לנהל שפע של ספקים ופתרונות, אשר יכולים להכביד על משאבי ה-IT המוגבלים.
נקודות קצה רבות מידי יחד עם מיעוט בכוח אדם ומשאבי אבטחה, משמעם ריבוי של גורמי תקיפה, בייחוד כאשר איום המתמקד בהתקן קצה עובר מתחת לרדאר של מערכת האבטחה המרכזית ומתגלה רק כשנהיה מאוחר מידי.
פתרון: נראות ואוטומציה
כדי שמחשוב הקצה יעבוד בצורה נכונה, הפעולות, הרשת (כולל כל התקני הקצה המבוזרים) והאבטחה צריכות לראות ולתקשר ביניהן בזמן אמת. התקני מחשוב קצה צריכים להיות מוגנים מאחורי פיירוולים של הדור הבא, כלי אנטי-וירוס והתקנים המגינים מפני חדירות.
בנוסף לכך, יש צורך לשלב את האבטחה בקביעות על פני כל ה-IIoT והתקני הרשת, יחד עם בינה מלאכותית מתקדמת ופתרון איתור ותגובה לנקודות קצה (EDR) לקבלת נראות בזמן אמת ותגובה אוטומטית. זה חיוני במידה וצוותי ה-IT יצטרכו לאתר ולנתח איומים ולאכוף אבטחה קבועה לאורך רשת OT מבוזרת, הכוללת LAN, WAN וקצות ענן – במהירות של סביבת ה-5G שלהם.
אתגר: שטח התקיפה לא מוגן
התקני IIoT אלחוטיים התומכים ב-5G לא תמיד כוללים אבטחה מובנית, מה שהופך אותם לפגיעים לשימוש על ידי תוקפים כגורם מגשר לתוך סביבת הייצור. כאשר התקנים ומערכות המאפשרים 5G התחילו לשחק תפקיד מרכזי בסביבות אלו, שטח התקיפה המתרחב והמבוזר מאוד, גורמי תקיפה חדשים ומרחב פעילות מורכב של משתמשים – יביאו עמם אתגרי אבטחה חדשים.
פתרון: שימוש בתשתית אבטחה מודולרית ומחולקת
הצעד הראשון הוא להבטיח כי קישור ה-5G והתקני ה-IIoT ממוקמים על מקטעים נפרדים מרשת ה-OT המשמשת לייצור באמצעות פיירוול של הדור הבא. יחד עם זאת, החלוקה לבדה לא מספיקה. התמודדות עם האתגרים הטמונים בסביבת 5G מבוזרת, היפר-מקושרת ובעלת ביצועים גבוהים דורשת הטמעה של ארכיטקטורת אבטחה קבועה לאורך סביבות ה-IT וה-OT.
גישה משולבת זו מספקת נראות רחבה לאורך התשתית כולה, אשר מסייעת להגדיר ולתזמר מדיניות לצורך ניהול סיכונים יעיל. באמצעות שילוב מחשוב קצה ואבטחת 5G עם אסטרטגיית אבטחה קבועה ומשולבת הבנויה סביב פלטפורמת אבטחה אחודה ובעלת פריסה גלובלית, אתם מבטיחים כי כל ההתקנים, נקודות הקצה, הפונקציות והרשתות נשארים מוגנים גם בסביבות דינמיות מאוד.
גישה מודולרית לאבטחת תשתיות ה-5G, בה מערכות מבוזרות פועלות יחד כמערכת אחת מאוחדת, צריכה להיות מתוכננת כדי להיות הוליסטית ומקיפה. אבני היסוד של תשתית אבטחה מודולרית מוצלחת כוללים:
נראות – אתם לא יכולים להגן על מה שאתם לא רואים. כל מרכיב – בין אם מדובר ברשת או אבטחה – חייב להיות בעל יכולת נראות, שיתוף ועבודה כפתרון מאוחד אחד.
ידע – ה-IT וה-OT כבר מתמודדים עם אתגרי אבטחת הקצוות ונקודות הקצה שלהם. ה-5G יכול להפוך את העניין לגרוע יותר, כאשר האיומים מתרחשים כעת במהירות רבה יותר מזמן האיתור והתגובה של מרבית המערכות הישנות. ה-5G מצריך לשדרג את מערכות האבטחה באמצעות בינה מלאכותית, למידת מכונה וכלי אוטומציה כך שהן יוכלו לאסוף, לנתח, לתאם ולזקק נתונים כמעט בזמן אמת כדי לאתר ולהגיב לאיומים.
בקרה – בקרה פירושה להיות בעלי היכולת לנקוט בפעולה בכל זמן ובכל מקום נדרש כדי למזער את השפעת האיום בכל מקום לאורך רשת ה-5G. כדי שזה יקרה, יש צורך לבנות פתרונות אבטחת OT חזקים סביב ספק או ספקים אשר מאפשרים נראות ובקרה ברמה פרטנית.
הימנעו מהאתגרים
כדי לממש את יתרונות ה-5G, האבטחה צריכה להיות חלק מהותי מהתהליך. אם מערכות האבטחה יצטרכו להמתין כדי לשנות את ההתראות ממערכת ה-5G לפני התאמת המדיניות או הפרוטוקולים, הדבר יגרום לפערי אבטחה בתוך הסביבה שניתן יהיה לנצל בקלות. כדי להתמודד עם פער זה, האבטחה חייבת ללוות את התפתחות ה-5G ולא לעקוב אחריה. אסטרטגיית אבטחת 5G מקיפה צריכה להשתרע בקביעות על פני סביבות תעשייתיות, רשתות IT, רשתות ארגוניות, סביבות של ספקי שירותי 5G, רשתות 5G ציבוריות ולא ציבוריות.
כמו כן, היא חייבת לכסות את רשת רדיו ה-5G, אתרי מחשוב קצה, WAN מבוזר, כל סביבות הענן וליבת ה-5G. כדי לעמוד בקצב ה-5G, פתרונות האבטחה צריכים לבצע החלטות מהירות, אוטומטיות ומדויקות לצורך הגנה פרואקטיבית. באופן אידיאלי, בנוסף ליישומים בעלי ביצועים גבוהים ויכולת גדילה דינמית בסביבות ענן, הדבר יכלול שדרוגי בינה מלאכותית כדי להאיץ את יכולות הניתוח והתגובה. גישה מודולרית, בה ניתן לפרוס את אותו הפתרון בצורה עקבית בכל סביבה שהיא, תאפשר להסתגל למקרי שימוש ודרישות ספציפיות, תוך תמיכה בצרכי הביצועים הגבוהים והשיהוי הנמוך של ה-5G.
ההבטחה של ה-5G עולה בהרבה על הסיכונים האפשריים, אך רק כאשר האבטחה מלווה את התהליך. הפתרונות המיועדים לתמוך ב-5G מספקים הגנה מקיפה מבלי להתפשר על נראות, אוטומציה או אכיפה לאורך שטח התקיפה של מרחב הפעילות. כאשר האבטחה והרשת יפעלו כמערכת אחת, ארגונים יוכלו לבזר בצורה בטוחה את שירותי ה-5G מליבת הרשת שלהם החוצה לכל נקודות הקצה, תוך הימנעות מהאתגרים אשר ללא ספק יופיעו.
מאת: ג'ו רוברטסון, מנהל אבטחת מידע בפורטינט
ג׳ו רוברטסון, מנהל אבטחת מידע בחברת פורטינט, מסביר על האפשרויות שמביאות עמן רשתות אלה עבור ארגונים תעשייתיים הנמצאים בתהליך דיגיטציה, ועל אתגרי ההגנה על נקודות הקצה המתרחבות
ג׳ו רוברטסון, מחבר המאמר. צילום: באדיבות חברת פורטינט
רשתות ה-5G מביאות עמן אפשרויות רבות עבור ארגונים תעשייתיים אשר נמצאים בתהליך של דיגיטציה. מהירות גבוהה, ביצועים אלחוטיים בשיהוי נמוך והיכולת להגביר את הניידות ואת יכולת הגדילה הופכים את טכנולוגיית ה-5G למתאימה ביותר לשיפור אוטומציית הייצור ולשימוש ביישומים חדשים, במיוחד כאלו הפועלים במערכות שבהן הזמן הוא מרכיב קריטי.
יחד עם זאת, טכנולוגיית ה-5G חושפת את הארגונים ואת רשתות ה-IT והטלקום אליה היא מחוברת כעת, לסיכוני אבטחת סייבר חדשים, הנובעים מההתכנסות של טכנולוגיות התקשורת, המחשוב, אחסון הנתונים וניתוח ביג דאטה, יחד עם גישה מוגברת למערכות בקרה תעשייתיות ולסביבות ייצור. אם אנחנו רוצים לסמוך על טכנולוגיית ה-5G לשימושים קריטיים, לא מספיק להתייחס רק לאבטחת רשת ו-OT, אלא יש צורך בפתרון אבטחה מקיף.
עד לאחרונה, רשתות ה-OT תפקדו כסביבות מבודדות (air-gapped), כאשר בסביבות של תעשיות קריטיות ובסביבות ייצור, הזמינות תמיד הייתה בעדיפות גבוהה יותר מאשר אבטחת סייבר. הופעתם של יישומי IT אשר מנתחים ומנהלים סביבות ייצור בזמן אמת הובילו לאיחוד בין רשתות ה-OT וה-IT, אשר חשפה את רשתות ה-OT לאיומי אבטחת הסייבר שה-IT מתמודד עמם כבר עשורים, אך בניגוד ל-IT, ל-OT לא היו עשורים של ניסיון באבטחת סייבר ופתרונות עבור הסביבות הרגישות.
טכנולוגיית ה-5G משדרגת טכנולוגיות חדשות, כמו האינטרנט של הדברים התעשייתיים (IIoT) באמצעות חיישנים המחוברים ביניהם, כלים המשמשים לניטור או בקרת מערכות והתקנים אחרים המחוברים עם יישומים תעשייתיים. כך, מופעל לחץ נוסף על היכולת לאתר ולהגיב במהירות לאיומים הפועלים במהירות של 5G.
ה-IIoT מורכב מאלפי חיישנים, אמצעי בדיקות ומפעילים פוטנציאליים אשר ניתן לגשת אליהם מרחוק לצורך בקרה, אבחון ותחזוקה. הם מציגים סיכון גבוה עקב השפעתם הישירה והפוטנציאל לגרום לנזק בסביבת הייצור בזמן אמת. כאשר ניתן לכפות את השבתת המערכת הקריטית או לגרום לה להתנהג בצורה לא יציבה, יש צורך להקדיש תשומת לב רבה יותר לאבטחת סייבר.
טכנולוגיית ה-5G מוסיפה נדבך נוסף ל-IIoT ולטרנספורמציה הדיגיטלית שעוברים הארגונים התעשייתיים. היא מביאה עמה את ההבטחה של יכולת גדילה פשוטה, אמינות גבוהה במיוחד ושיהוי נמוך לקישוריות אלחוטית. לצד זאת, היא מגיעה גם עם אתגרי אבטחה חדשים. לפניכם מספר אתגרים ופתרונות שמנהלי מערכות ה-OT צריכים לשים לב אליהם.
אתגר: הגנה על הקצה שממשיך להתפרש
תהליכים רבים בזמן אמת מגיבים כמעט מידית לתנאים משתנים ובסביבות רבות, שינויים אלו יכולים להתרחש באופן קבוע. הזנת נתונים בחזרה למערכת מרכזית לצורך ניתוח וקבלת החלטות יכולה לקחת זמן רב יותר מהנחוץ עבור מערכות רגישות לזמן. במקום זאת, אסטרטגיית מחשוב קצה ממקמת את היישומים על רצפת הייצור ומאפשרת איסוף נתונים וקבלת החלטות באופן מקומי באמצעות שימוש ב-5G.
יחד עם זאת, ארגונים אשר פורסים מחשוב קצה לא תמיד לוקחים בחשבון את ההשלכות על האבטחה. כאשר נקודות קצה נוספות לרשת, שטח התקיפה מתרחב והופך לקשה יותר לניהול. היות והרבה מהמערכות הללו תוכננו ונפרסו לצורך ספציפי, חלק מהארגונים מוצאים את עצמם מנסים לנהל שפע של ספקים ופתרונות, אשר יכולים להכביד על משאבי ה-IT המוגבלים.
נקודות קצה רבות מידי יחד עם מיעוט בכוח אדם ומשאבי אבטחה, משמעם ריבוי של גורמי תקיפה, בייחוד כאשר איום המתמקד בהתקן קצה עובר מתחת לרדאר של מערכת האבטחה המרכזית ומתגלה רק כשנהיה מאוחר מידי.
פתרון: נראות ואוטומציה
כדי שמחשוב הקצה יעבוד בצורה נכונה, הפעולות, הרשת (כולל כל התקני הקצה המבוזרים) והאבטחה צריכות לראות ולתקשר ביניהן בזמן אמת. התקני מחשוב קצה צריכים להיות מוגנים מאחורי פיירוולים של הדור הבא, כלי אנטי-וירוס והתקנים המגינים מפני חדירות.
בנוסף לכך, יש צורך לשלב את האבטחה בקביעות על פני כל ה-IIoT והתקני הרשת, יחד עם בינה מלאכותית מתקדמת ופתרון איתור ותגובה לנקודות קצה (EDR) לקבלת נראות בזמן אמת ותגובה אוטומטית. זה חיוני במידה וצוותי ה-IT יצטרכו לאתר ולנתח איומים ולאכוף אבטחה קבועה לאורך רשת OT מבוזרת, הכוללת LAN, WAN וקצות ענן – במהירות של סביבת ה-5G שלהם.
אתגר: שטח התקיפה לא מוגן
התקני IIoT אלחוטיים התומכים ב-5G לא תמיד כוללים אבטחה מובנית, מה שהופך אותם לפגיעים לשימוש על ידי תוקפים כגורם מגשר לתוך סביבת הייצור. כאשר התקנים ומערכות המאפשרים 5G התחילו לשחק תפקיד מרכזי בסביבות אלו, שטח התקיפה המתרחב והמבוזר מאוד, גורמי תקיפה חדשים ומרחב פעילות מורכב של משתמשים – יביאו עמם אתגרי אבטחה חדשים.
פתרון: שימוש בתשתית אבטחה מודולרית ומחולקת
הצעד הראשון הוא להבטיח כי קישור ה-5G והתקני ה-IIoT ממוקמים על מקטעים נפרדים מרשת ה-OT המשמשת לייצור באמצעות פיירוול של הדור הבא. יחד עם זאת, החלוקה לבדה לא מספיקה. התמודדות עם האתגרים הטמונים בסביבת 5G מבוזרת, היפר-מקושרת ובעלת ביצועים גבוהים דורשת הטמעה של ארכיטקטורת אבטחה קבועה לאורך סביבות ה-IT וה-OT.
גישה משולבת זו מספקת נראות רחבה לאורך התשתית כולה, אשר מסייעת להגדיר ולתזמר מדיניות לצורך ניהול סיכונים יעיל. באמצעות שילוב מחשוב קצה ואבטחת 5G עם אסטרטגיית אבטחה קבועה ומשולבת הבנויה סביב פלטפורמת אבטחה אחודה ובעלת פריסה גלובלית, אתם מבטיחים כי כל ההתקנים, נקודות הקצה, הפונקציות והרשתות נשארים מוגנים גם בסביבות דינמיות מאוד.
גישה מודולרית לאבטחת תשתיות ה-5G, בה מערכות מבוזרות פועלות יחד כמערכת אחת מאוחדת, צריכה להיות מתוכננת כדי להיות הוליסטית ומקיפה. אבני היסוד של תשתית אבטחה מודולרית מוצלחת כוללים:
נראות – אתם לא יכולים להגן על מה שאתם לא רואים. כל מרכיב – בין אם מדובר ברשת או אבטחה – חייב להיות בעל יכולת נראות, שיתוף ועבודה כפתרון מאוחד אחד.
ידע – ה-IT וה-OT כבר מתמודדים עם אתגרי אבטחת הקצוות ונקודות הקצה שלהם. ה-5G יכול להפוך את העניין לגרוע יותר, כאשר האיומים מתרחשים כעת במהירות רבה יותר מזמן האיתור והתגובה של מרבית המערכות הישנות. ה-5G מצריך לשדרג את מערכות האבטחה באמצעות בינה מלאכותית, למידת מכונה וכלי אוטומציה כך שהן יוכלו לאסוף, לנתח, לתאם ולזקק נתונים כמעט בזמן אמת כדי לאתר ולהגיב לאיומים.
בקרה – בקרה פירושה להיות בעלי היכולת לנקוט בפעולה בכל זמן ובכל מקום נדרש כדי למזער את השפעת האיום בכל מקום לאורך רשת ה-5G. כדי שזה יקרה, יש צורך לבנות פתרונות אבטחת OT חזקים סביב ספק או ספקים אשר מאפשרים נראות ובקרה ברמה פרטנית.
הימנעו מהאתגרים
כדי לממש את יתרונות ה-5G, האבטחה צריכה להיות חלק מהותי מהתהליך. אם מערכות האבטחה יצטרכו להמתין כדי לשנות את ההתראות ממערכת ה-5G לפני התאמת המדיניות או הפרוטוקולים, הדבר יגרום לפערי אבטחה בתוך הסביבה שניתן יהיה לנצל בקלות. כדי להתמודד עם פער זה, האבטחה חייבת ללוות את התפתחות ה-5G ולא לעקוב אחריה. אסטרטגיית אבטחת 5G מקיפה צריכה להשתרע בקביעות על פני סביבות תעשייתיות, רשתות IT, רשתות ארגוניות, סביבות של ספקי שירותי 5G, רשתות 5G ציבוריות ולא ציבוריות.
כמו כן, היא חייבת לכסות את רשת רדיו ה-5G, אתרי מחשוב קצה, WAN מבוזר, כל סביבות הענן וליבת ה-5G. כדי לעמוד בקצב ה-5G, פתרונות האבטחה צריכים לבצע החלטות מהירות, אוטומטיות ומדויקות לצורך הגנה פרואקטיבית. באופן אידיאלי, בנוסף ליישומים בעלי ביצועים גבוהים ויכולת גדילה דינמית בסביבות ענן, הדבר יכלול שדרוגי בינה מלאכותית כדי להאיץ את יכולות הניתוח והתגובה. גישה מודולרית, בה ניתן לפרוס את אותו הפתרון בצורה עקבית בכל סביבה שהיא, תאפשר להסתגל למקרי שימוש ודרישות ספציפיות, תוך תמיכה בצרכי הביצועים הגבוהים והשיהוי הנמוך של ה-5G.
ההבטחה של ה-5G עולה בהרבה על הסיכונים האפשריים, אך רק כאשר האבטחה מלווה את התהליך. הפתרונות המיועדים לתמוך ב-5G מספקים הגנה מקיפה מבלי להתפשר על נראות, אוטומציה או אכיפה לאורך שטח התקיפה של מרחב הפעילות. כאשר האבטחה והרשת יפעלו כמערכת אחת, ארגונים יוכלו לבזר בצורה בטוחה את שירותי ה-5G מליבת הרשת שלהם החוצה לכל נקודות הקצה, תוך הימנעות מהאתגרים אשר ללא ספק יופיעו.
מאת: ג'ו רוברטסון, מנהל אבטחת מידע בפורטינט
