ניהול סיכונים תעשייתיים בסביבה משולבת IT ו-OT
דוד אשר, מנהל מוצר, קלארוטי, מסביר כי ארגונים צריכים ליישם אסטרטגיה מקיפה לניהול פגיעויות מבוססת סיכונים
הגנה לישראל
| 25/02/2024
דוד אשר | תמונה: קלארוטי
לארגוני תעשייה בכל המגזרים יש מטרת על משותפת: צמצום הסיכונים האורבים להם במרחב הסייבר. עם זאת, ארגוני תשתיות קריטיות מתקשים יותר ויותר לעמוד ביעד זה והסיבה לכך היא הטרנספורמציה הדיגיטלית.
מכשירים ומערכות טכנולוגיים תפעוליים (OT) המותקנים בסביבות אלה, הפכו מחוברים יותר ויותר לאינטרנט ובכך הרחיבו את משטח התקיפה עבור פושעי סייבר ומקשים על אבטחתם.
בתנאים מאתגרים אלה, ארגוני תשתיות קריטיות זקוקים יותר מאי פעם לאסטרטגיות ופתרונות לניהול סיכונים תעשייתיים, כדי להגן טוב יותר על המערכות הסייבר-פיזיות שלהם מפני איומי סייבר.
מהו ניהול סיכונים תעשייתיים?
ניהול סיכונים תעשייתיים כולל זיהוי, הערכה, תעדוף, ניהול וניטור סיכונים למערכות סייבר-פיזיות של הארגון. במהלך העשור האחרון, ניהול סיכונים תעשייתיים הפך קשה יותר להשגה בשל השילוב בין טכנולוגיית המידע (IT) לסביבת ה- OT.
מצד אחד ההתכנסות של מערכות IT ו-OT אפשרה לארגונים להאיץ מאוד את יוזמות הטרנספורמציה הדיגיטלית שלהם, אך מצד שני יצרה סיכונים של חשיפה לאיומי סייבר.
ארגונים תעשייתיים שנחשפים לאיומים אלה עלולים להינזק קשות משיבושים תפעוליים, נזק פיזי, ואף איומים על ביטחון הציבור.
ברור שלא ניתן לבטל לגמרי סיכונים, אך יישום אסטרטגיות ניהול סיכונים תעשייתיות ויישום בקרות סיכונים, יכולים לסייע לארגונים להפחית את הסבירות לסיכון בסביבות הקריטיות שלהם.
האתגרים בניהול סיכונים תעשייתיים
אחד הנושאים הדחופים ביותר הוא דירוגי סיכון ספציפיים למערכות סייבר-פיזיות, שנוצרו על בסיס פתרונות סטנדרטיים. דירוגים אלה נוטים להיות מטעים מאוד מהסיבות הבאות:
מגבלות נראות: כל סביבה סייבר-פיזית היא ייחודית ורוב הפתרונות הסטנדרטיים אינם תואמים לפחות לחלק מהפרוטוקולים הקנייניים, המערכות מהדור הקודם ומורכבויות אחרות הקיימות בסביבות תעשייתיות.
ללא נראות מלאה והבנת החשיפה של המערכות הסייבר-פיזיות בסביבה הארגונית הספציפית, בלתי אפשרי להגן עליהן.
מגבלות היקף: פתרונות סטנדרטיים אינם לוקחים בחשבון את ההיקף המלא של סביבות סייבר-פיזיות המשקללות בקרות וגורמי סיכון שונים בחישובים שלהם - ופערים אלה רק מחריפים על ידי מגבלות הנראות.
כתוצאה מכך, דירוגי הסיכון שהם מספקים צפויים להיות גבוהים מדי או נמוכים מדי, ולהציף את צוותי תפעול האבטחה בבעיות שכבר צומצמו.
מגבלות גמישות: רוב הפתרונות הסטנדרטיים לחישוב סיכונים, נוקטים בגישה של "מידה אחת מתאימה לכולם", למרות שכל סביבה תעשייתית היא ייחודית.
עם חוסר היכולת להתאים אישית את האופן שבו גורמי סיכון שונים משוקללים, צוותי אבטחה יתקשו לכמת את הסיכון שמציבות המערכות הסייבר-פיזיות שלהם בהקשר האמיתי של הארגון שלהם.
איך נכון לנהל סיכונים תעשייתיים?
כדי להתגבר על אתגרים אלה ולהגן טוב יותר על המערכות הסייבר-פיזיות, ארגונים צריכים ליישם אסטרטגיה מקיפה לניהול פגיעויות מבוססת סיכונים (RBVM).
אסטרטגיה כזאת תסייע להם לקבל נראות מלאה של הנכסים בסביבה הסייבר-פיזית: יישום כלי אבטחה ייעודיים לסביבה זאת, בשילוב שיטות גילוי רבות וגמישות, יאפשר לארגונים תעשייתיים להבין לעומק את נקודות התורפה שלהם ושל וקטורי תקיפה פוטנציאליים, ולהתמקד תחילה בנושאים הקריטיים ביותר עבורם.
להטמיע מסגרת פרטנית וגמישה לדירוג סיכונים: ארגונים צריכים להטמיע כלי לניהול סיכונים שלוקח בחשבון מגוון רחב של גורמים שיכולים להגדיל את הסיכון, כמו גם בקרות מפצות המקזזות סיכון.
מסגרת פרטנית וגמישה עם יכולות אלה תאפשר לארגונים שרק החלו לנהל סיכונים תעשייתיים, להעריך במדויק ובאופן מידי את מצב סיכוני ה-OT שלהם.
לתעדף נקודות תורפה בהתבסס על סבירות הניצול שלהן: הדרך היעילה ביותר לתעדף פגיעויות בהתבסס על סבירות הניצול שלהן, היא באמצעות שילוב של שני מדדי סיכון - קטלוג נקודות תורפה ידועות מנוצלות (KEV) ומערכת ניקוד חיזוי ניצול (EPSS).
שילוב אוטומטי של שני מדדים אלה, מאפשר לארגונים להבין ולתעדף בצורה יעילה יותר את אותן נקודות תורפה בסביבתם שגורמים זדוניים נוטים ביותר למנף.
דוד אשר, מנהל מוצר, קלארוטי, מסביר כי ארגונים צריכים ליישם אסטרטגיה מקיפה לניהול פגיעויות מבוססת סיכונים
דוד אשר | תמונה: קלארוטי
לארגוני תעשייה בכל המגזרים יש מטרת על משותפת: צמצום הסיכונים האורבים להם במרחב הסייבר. עם זאת, ארגוני תשתיות קריטיות מתקשים יותר ויותר לעמוד ביעד זה והסיבה לכך היא הטרנספורמציה הדיגיטלית.
מכשירים ומערכות טכנולוגיים תפעוליים (OT) המותקנים בסביבות אלה, הפכו מחוברים יותר ויותר לאינטרנט ובכך הרחיבו את משטח התקיפה עבור פושעי סייבר ומקשים על אבטחתם.
בתנאים מאתגרים אלה, ארגוני תשתיות קריטיות זקוקים יותר מאי פעם לאסטרטגיות ופתרונות לניהול סיכונים תעשייתיים, כדי להגן טוב יותר על המערכות הסייבר-פיזיות שלהם מפני איומי סייבר.
מהו ניהול סיכונים תעשייתיים?
ניהול סיכונים תעשייתיים כולל זיהוי, הערכה, תעדוף, ניהול וניטור סיכונים למערכות סייבר-פיזיות של הארגון. במהלך העשור האחרון, ניהול סיכונים תעשייתיים הפך קשה יותר להשגה בשל השילוב בין טכנולוגיית המידע (IT) לסביבת ה- OT.
מצד אחד ההתכנסות של מערכות IT ו-OT אפשרה לארגונים להאיץ מאוד את יוזמות הטרנספורמציה הדיגיטלית שלהם, אך מצד שני יצרה סיכונים של חשיפה לאיומי סייבר.
ארגונים תעשייתיים שנחשפים לאיומים אלה עלולים להינזק קשות משיבושים תפעוליים, נזק פיזי, ואף איומים על ביטחון הציבור.
ברור שלא ניתן לבטל לגמרי סיכונים, אך יישום אסטרטגיות ניהול סיכונים תעשייתיות ויישום בקרות סיכונים, יכולים לסייע לארגונים להפחית את הסבירות לסיכון בסביבות הקריטיות שלהם.
האתגרים בניהול סיכונים תעשייתיים
אחד הנושאים הדחופים ביותר הוא דירוגי סיכון ספציפיים למערכות סייבר-פיזיות, שנוצרו על בסיס פתרונות סטנדרטיים. דירוגים אלה נוטים להיות מטעים מאוד מהסיבות הבאות:
מגבלות נראות: כל סביבה סייבר-פיזית היא ייחודית ורוב הפתרונות הסטנדרטיים אינם תואמים לפחות לחלק מהפרוטוקולים הקנייניים, המערכות מהדור הקודם ומורכבויות אחרות הקיימות בסביבות תעשייתיות.
ללא נראות מלאה והבנת החשיפה של המערכות הסייבר-פיזיות בסביבה הארגונית הספציפית, בלתי אפשרי להגן עליהן.
מגבלות היקף: פתרונות סטנדרטיים אינם לוקחים בחשבון את ההיקף המלא של סביבות סייבר-פיזיות המשקללות בקרות וגורמי סיכון שונים בחישובים שלהם - ופערים אלה רק מחריפים על ידי מגבלות הנראות.
כתוצאה מכך, דירוגי הסיכון שהם מספקים צפויים להיות גבוהים מדי או נמוכים מדי, ולהציף את צוותי תפעול האבטחה בבעיות שכבר צומצמו.
מגבלות גמישות: רוב הפתרונות הסטנדרטיים לחישוב סיכונים, נוקטים בגישה של "מידה אחת מתאימה לכולם", למרות שכל סביבה תעשייתית היא ייחודית.
עם חוסר היכולת להתאים אישית את האופן שבו גורמי סיכון שונים משוקללים, צוותי אבטחה יתקשו לכמת את הסיכון שמציבות המערכות הסייבר-פיזיות שלהם בהקשר האמיתי של הארגון שלהם.
איך נכון לנהל סיכונים תעשייתיים?
כדי להתגבר על אתגרים אלה ולהגן טוב יותר על המערכות הסייבר-פיזיות, ארגונים צריכים ליישם אסטרטגיה מקיפה לניהול פגיעויות מבוססת סיכונים (RBVM).
אסטרטגיה כזאת תסייע להם לקבל נראות מלאה של הנכסים בסביבה הסייבר-פיזית: יישום כלי אבטחה ייעודיים לסביבה זאת, בשילוב שיטות גילוי רבות וגמישות, יאפשר לארגונים תעשייתיים להבין לעומק את נקודות התורפה שלהם ושל וקטורי תקיפה פוטנציאליים, ולהתמקד תחילה בנושאים הקריטיים ביותר עבורם.
להטמיע מסגרת פרטנית וגמישה לדירוג סיכונים: ארגונים צריכים להטמיע כלי לניהול סיכונים שלוקח בחשבון מגוון רחב של גורמים שיכולים להגדיל את הסיכון, כמו גם בקרות מפצות המקזזות סיכון.
מסגרת פרטנית וגמישה עם יכולות אלה תאפשר לארגונים שרק החלו לנהל סיכונים תעשייתיים, להעריך במדויק ובאופן מידי את מצב סיכוני ה-OT שלהם.
לתעדף נקודות תורפה בהתבסס על סבירות הניצול שלהן: הדרך היעילה ביותר לתעדף פגיעויות בהתבסס על סבירות הניצול שלהן, היא באמצעות שילוב של שני מדדי סיכון - קטלוג נקודות תורפה ידועות מנוצלות (KEV) ומערכת ניקוד חיזוי ניצול (EPSS).
שילוב אוטומטי של שני מדדים אלה, מאפשר לארגונים להבין ולתעדף בצורה יעילה יותר את אותן נקודות תורפה בסביבתם שגורמים זדוניים נוטים ביותר למנף.
