Εάν διαβάζετε αυτό το διαδικτυακό, σε τηλέφωνο ή φορητό υπολογιστή, το πιθανότερο είναι ότι το έχετε. Ένας κωδικός πρόσβασης. Οι κωδικοί πρόσβασης ήταν οι έμπιστοι φύλακές μας στον ψηφιακό κόσμο, εξασφαλίζοντας τα πάντα, από λογαριασμούς κοινωνικών μέσων έως τραπεζικές πληροφορίες. Και είναι το ίδιο στον επιχειρηματικό χώρο, με τις εταιρείες να βασίζονται συχνά σε κωδικούς πρόσβασης για να προστατεύουν τα αρχεία τους και τις ψηφιακά ενεργοποιημένες λειτουργίες τους. Με την αυξανόμενη ενσωμάτωση συστημάτων
IoT
και OT στους επιχειρηματικούς και κατασκευαστικούς τομείς, αναδύεται ένα κρίσιμο ερώτημα: Μπορεί ένας απλός κωδικός πρόσβασης να κρατήσει τα πάντα ασφαλή;
Το πρόβλημα του κωδικού πρόσβασης
Μια φορά κι έναν καιρό, ένας ισχυρός κωδικός πρόσβασης ήταν το μόνο που χρειαζόσουν για την ασφάλεια στο διαδίκτυο. Αλλά αυτές τις μέρες, το να το πιστεύεις αυτό είναι μια φαντασίωση. Οι κωδικοί πρόσβασης μπορεί να ήταν οι φύλακες των υπολογιστών μας για χρόνια, αλλά δεν μπορούν πλέον να είναι ο μοναδικός φύλακας.
Εξετάστε οποιαδήποτε κρίσιμη υποδομή, όπως το δίκτυο ηλεκτροδότησης ή το σύστημα μετρό μιας μεγάλης πόλης. Ένας αδύναμος κωδικός πρόσβασης θα μπορούσε να είναι το τσούξιμο στην πανοπλία που οδηγεί στο εσωτερικό άδυτο του ελέγχου και. ανοίγοντας το δρόμο προς το ανατρεπτικό χάος από κακούς ηθοποιούς. , Οι επιθέσεις ωμής βίας μπορούν να σπάσουν αδύναμους κωδικούς πρόσβασης σε έναν καρδιακό παλμό και οι απάτες ηλεκτρονικού ψαρέματος γίνονται όλο και πιο περίπλοκες. Ένας εισβολέας που εκμεταλλεύεται την ανθρώπινη φύση, όπως η σιωπηρή εμπιστοσύνη ή η περιέργεια, μπορεί να οδηγήσει σε ένα φαινόμενο ντόμινο, διακυβεύοντας ολόκληρα συστήματα εάν κάποιος πέσει σε ένα έξυπνα συγκαλυμμένο
email
.
Η αλήθεια είναι ότι οι σημερινές απειλές στον κυβερνοχώρο είναι πολύ προηγμένες για μια προσέγγιση που ταιριάζει σε όλους, όπως οι κωδικοί πρόσβασης. Χρειαζόμαστε ισχυρότερες, πιο στιβαρές άμυνες για να διατηρήσουμε ασφαλή τον διασυνδεδεμένο κόσμο μας.
Τεχνικός Αρχιτέκτονας, Διατηρητέος.
Η έννοια της πολυεπίπεδης άμυνας στην επιχειρησιακή τεχνολογία
Ας θέσουμε για λίγο τη συζήτησή μας για τους κωδικούς πρόσβασης – θα
επα
νέλθουμε σε αυτό. Πέρα από τους κωδικούς πρόσβασης, υπάρχει μια πολυεπίπεδη προσέγγιση ασφάλειας που προστατεύει τα συστήματα IoT και OT. Τα δίκτυα επιχειρησιακής τεχνολογίας έχουν από καιρό τμηματοποιηθεί σε «Επίπεδα», όπως περιγράφεται συχνά από το
μοντέλο
Purdue. Αυτό το μοντέλο διασπά την υποδομή με βάση τις λειτουργίες που παρέχονται από ένα δεδομένο επίπεδο. Αν το κοιτάξουμε, το Επίπεδο 0 αντιπροσωπεύει τις φυσικές μηχανές, το Επίπεδο 1 αντιπροσωπεύει το επίπεδο «Cyber-physical», όπου ο κινητικός κόσμος τέμνεται με τον ψηφιακό κόσμο και οι «ελεγκτές» ζουν. Το Επίπεδο 2 αντιπροσωπεύει πού μπαίνουν στο παιχνίδι οι άνθρωποι και διευκολύνει το επίπεδο «Διεπαφή Ανθρώπινου Μηχανήματος» (HMI), όπου οι άνθρωποι διοικούν τις διάφορες διαδικασίες. Τέλος, το Επίπεδο 3 παρέχει υπηρεσίες στις οποίες βασίζονται τα άλλα δύο επίπεδα.
Σαφώς, από την άποψη της ασφάλειας, μπορούμε να εκμεταλλευτούμε αυτούς τους διαχωρισμούς. Γενικά, η πλειονότητα της επισκεψιμότητας πρέπει να ρέει μεταξύ οποιωνδήποτε δύο επιπέδων – για παράδειγμα των επιπέδων 1 και 2 και των επιπέδων 2 και 3. Υπάρχουν φυσικά εξαιρέσεις σε αυτό, αλλά αυτές οι εξαιρέσεις θα πρέπει να είναι αρκετά περιορισμένες. Εάν εκμεταλλευτούμε αυτόν τον φυσικό διαχωρισμό, μπορούμε να θεσπίσουμε κανόνες ασφαλείας για να ελέγξουμε ποια κίνηση επιτρέπεται να πάει. Αυτή η τμηματοποίηση περιορίζει την επικοινωνία μεταξύ των ζωνών, ελαχιστοποιώντας τις πιθανές επιπτώσεις μιας παραβίασης. Θα ονομάσουμε τον διαχωρισμό που παρέχεται από το μοντέλο Purdue ως «Οριζόντιος διαχωρισμός», καθώς τα τμήματα εκτελούνται οριζόντια.
Όμως, οι εγκαταστάσεις OT είναι ΤΕΡΑΣΤΙΕΣ. Φανταστείτε έναν θερμοηλεκτρικό σταθμό τεσσάρων μονάδων ή μια εγκατάσταση κατασκευής αυτοκινήτων. Ακόμα κι αν έχουμε αυστηρούς ελέγχους για τον Οριζόντιο Διαχωρισμό, τι συμβαίνει όταν κάποιος μπαίνει μέσα σε ένα φυτό και προσπαθεί να κινηθεί δίπλα-δίπλα και όχι πάνω-κάτω; Στο παράδειγμά μας του θερμοηλεκτρικού σταθμού τεσσάρων μονάδων, εάν μια μονάδα τεθεί σε κίνδυνο, τότε ο εισβολέας μπορεί να μετακινηθεί στις άλλες τρεις μονάδες. Ομοίως, στο παράδειγμά μας στο εργοστάσιο αυτοκινήτων, κάποιος που εισβάλλει στην εγκατάσταση βαφής μπορεί να μετακινηθεί λοξά στο φανοποιείο.
Πρέπει λοιπόν να εφαρμοστεί και ο Κάθετος διαχωρισμός. Για το παράδειγμά μας στο εργοστάσιο ηλεκτροπαραγωγής, δεν θα πρέπει να υπάρχει τρόπος για να διοχετεύεται η κυκλοφορία στο Επίπεδο 1 του Purdue στη Μονάδα 2 στις Μονάδες 1, 3 και 4. Ομοίως, εάν ένας εισβολέας πάρει τον έλεγχο του χρωματοπωλείου σε ένα εργοστάσιο αυτοκινήτων, αυτός ο εισβολέας θα πρέπει να εμποδίζεται να μετακινηθεί σε άλλα μέρη.
Συνοψίζοντας, κάθε ζώνη έχει τη συγκεκριμένη δουλειά της και η κυκλοφορία μεταξύ τους πρέπει να ελέγχεται αυστηρά. Με αυτόν τον τρόπο, εάν ένας χάκερ καταφέρει να εισχωρήσει κρυφά σε μια ζώνη, δεν μπορεί εύκολα να μετακινηθεί σε μια άλλη.
Οι ζώνες κάθετου διαχωρισμού και οριζόντιου διαχωρισμού διατηρούνται από τους «φρουρούς ασφαλείας» του ψηφιακού κόσμου – τείχη προστασίας και λίστες ελέγχου πρόσβασης (ACL). Αυτοί είναι σαν ψεύτικοι στο πάρτι. Ελέγχουν κάθε μήνυμα και κομμάτι δεδομένων που προσπαθεί να εισέλθει σε μια ζώνη, διασφαλίζοντας ότι έχει νόμιμο λόγο να βρίσκεται εκεί. Διαβιβάζονται μόνο εξουσιοδοτημένες πληροφορίες, διατηρώντας την ομαλή λειτουργία του συστήματος.
Η πολυεπίπεδη ασφάλεια μοιάζει με ένα καλοσχεδιασμένο δίκτυο μεταφορών με σημεία ελέγχου, ελεγχόμενες διασταυρώσεις και αποκλειστικές λωρίδες προς κάθε κατεύθυνση, διασφαλίζοντας ομαλή και ασφαλή λειτουργία.
Συνδέοντας τα όλα μαζί – 2FA, κλειδιά και ψηφιακά πιστοποιητικά;
Άλλοι μηχανισμοί ελέγχου ταυτότητας και εξουσιοδότησης χρησιμοποιούνται συχνά για την ενίσχυση της ασφάλειας πέρα από αυτό που είναι δυνατό μόνο με τους κωδικούς πρόσβασης. Το γενικό θέμα είναι “κάτι που έχετε και κάτι που γνωρίζετε” και ο πιο ασφαλής έλεγχος ταυτότητας πραγματοποιείται όταν χρησιμοποιούνται δύο παράγοντες (2FA).
Η χρήση ψηφιακών πιστοποιητικών ή κωδικών πρόσβασης μίας χρήσης (με βάση την εφαρμογή ή το FOB), όταν συνδυάζονται με κωδικούς πρόσβασης ικανοποιούν την απαίτηση «κάτι που έχετε και κάτι που γνωρίζετε» του 2FA. ή/και τα βιομετρικά στοιχεία προσφέρουν μια πιο ισχυρή εναλλακτική στους κωδικούς πρόσβασης. Επιπλέον, στις επικοινωνίες από μηχανή με μηχανή, τα Ψηφιακά Πιστοποιητικά χρησιμεύουν για να επιτρέπουν την αμοιβαία επαλήθευση ταυτότητας και την ισχυρή κρυπτογράφηση των επικοινωνιών μεταξύ μηχανών. Τέλος, τα Ψηφιακά Πιστοποιητικά χρησιμοποιούνται για την ψηφιακή «υπογραφή» μηνυμάτων σε ασφαλείς επικοινωνίες, αποτρέποντας παρεμβολές στο περιεχόμενο του μηνύματος κατά τη μεταφορά τους. Βλέπουμε αυτή την εφαρμογή να χρησιμοποιείται καθημερινά καθώς χρησιμοποιούμε τον Ιστό με HTTPS.
Έτσι, οι κωδικοί πρόσβασης συνεχίζουν να αποτελούν σημαντικό μέρος του ελέγχου ταυτότητας, αλλά όταν χρησιμοποιούνται μόνοι γίνονται πιο επικίνδυνοι κάθε μέρα. Γι’ αυτό πολλοί πάροχοι διαδικτυακών υπηρεσιών στρέφονται προς τους «Passkeys». Αυτά χρησιμεύουν ως ο δεύτερος παράγοντας στο 2FA. Αντί να χρησιμοποιείτε έναν αριθμό από μια εφαρμογή ή ένα fob, το βιομετρικό σας (πρόσωπο/δαχτυλικό αποτύπωμα) χρησιμοποιείται για να επιβεβαιώσει ότι ΕΣΕΙΣ χρησιμοποιείτε το σύστημα. Σκεφτείτε τους κωδικούς πρόσβασης ως κλειδί της μπροστινής πόρτας. Σε παίρνει μέσα, αλλά όποιος έχει ένα αντίγραφο μπορεί επίσης να ξεκλειδώσει την πόρτα. Καθώς η κλοπή διαπιστευτηρίων είναι συχνό γεγονός, οι κωδικοί πρόσβασης δεν είναι πλέον ασφαλείς.
Επομένως, πρέπει να επαυξηθούν με ισχυρότερες μεθόδους ελέγχου ταυτότητας που περιλαμβάνουν κάτι άλλο. Είτε ένα πιστοποιητικό είτε ένα σωστό 2FA είναι απολύτως απαραίτητο. Στην πραγματικότητα, ακόμα κι αν κάποιος λάβει έναν κωδικό πρόσβασης, με σωστά εφαρμοσμένο 2FA είναι αδύνατο να τον χρησιμοποιήσει – το σύστημα χρειάζεται τον δεύτερο παράγοντα για έλεγχο ταυτότητας ή θα απαγορευτεί η πρόσβαση. Η σφυρηλάτηση ενός κλειδιού RSA 1024 ή 2048 bit παραμένει υπολογιστικά ανέφικτη. Το ίδιο ισχύει και για το πρόσωπο ή το αποτύπωμά σας.
Μετάβαση σε ένα μέλλον βασισμένο σε κλειδιά: Προκλήσεις και προβληματισμοί
Ενώ τα κρυπτογραφικά κλειδιά προσφέρουν αναμφισβήτητα πλεονεκτήματα, υπάρχουν προκλήσεις. Πρώτον, τα παλαιού τύπου συστήματα επιβάλλουν αδράνεια – ίσως αυτά τα συστήματα να παραμείνουν σε λειτουργία μέχρι να είναι οικονομικά αδύνατη η λειτουργία τους.
Η διαχείριση κλειδιών απαιτεί εξειδικευμένες δεξιότητες και πιστοποιητικό εξουσιοδότησης. Η προσεκτική διαχείριση είναι ζωτικής σημασίας για την αποφυγή της λήξης του πιστοποιητικού και πιθανών διαταραχών του συστήματος. Η πρόσθετη πολυπλοκότητα απαιτεί ανάλυση κινδύνου-οφέλους για τον προσδιορισμό των κατάλληλων σεναρίων ανάπτυξης. Η μετάβαση σε ένα σύστημα βασισμένο σε κλειδιά συνεπάγεται επίσης κόστος που σχετίζεται με τις νέες τεχνολογίες, την εκπαίδευση του προσωπικού και την ανάπτυξη πολιτικής. Ωστόσο, τα μακροπρόθεσμα οφέλη υπερτερούν της αρχικής επένδυσης, με αποτέλεσμα ένα πιο ασφαλές και ανθεκτικό περιβάλλον.
Έχουμε κολλήσει με τους κωδικούς πρόσβασης (προς το παρόν)
Οι κωδικοί πρόσβασης παραμένουν μια ατυχής πραγματικότητα για ορισμένες παλαιού τύπου συσκευές OT που δεν υποστηρίζουν κρυπτογραφικά κλειδιά. Η πλήρης αντικατάστασή τους μπορεί να μην είναι μια επιλογή. νιώθουμε άνετα με αυτά που γνωρίζουμε και μερικές φορές το κόστος της αλλαγής των πραγμάτων είναι πολύ υψηλό. Επιπλέον, ορισμένοι θα αμφισβητούσαν την πρόταση αξίας της προηγμένης ασφάλειας σε χαμηλότερα επίπεδα ενός μοντέλου ασφαλείας με στρώσεις, ειδικά όταν αυτά τα επίπεδα προστατεύονται καλά από πολλαπλά υψηλότερα επίπεδα Λοιπόν, τι μπορούμε να κάνουμε; Για τέτοια σενάρια, η ισχυρή υγιεινή του κωδικού πρόσβασης είναι κρίσιμη. Αυτό περιλαμβάνει την επιβολή απαιτήσεων πολυπλοκότητας, την τακτική εναλλαγή και την ανάπτυξη ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) όπου είναι δυνατόν. Οι διαχειριστές κωδικών πρόσβασης ενισχύουν περαιτέρω την ασφάλεια με την ασφαλή αποθήκευση και διαχείριση κωδικών πρόσβασης, μειώνοντας τους κινδύνους που σχετίζονται με κακές πρακτικές κωδικών πρόσβασης.
Το μέλλον της ασφάλειας IoT/OT: Μια ολιστική προσέγγιση
Καθώς το
IT
και το OT συνδυάζονται, η διαχείριση έκθεσης, η διασφάλιση ενεργών καταλόγων και η Αρχιτεκτονική Zero Trust (ZTA) γίνονται όλο και πιο σημαντικά. Αυτό είναι εξαιρετικό για την αποτελεσματικότητα, αλλά δημιουργεί επίσης νέες προκλήσεις ασφάλειας. Ο χρυσός κανόνας είναι να βλέπεις ολόκληρη την εικόνα, όχι μόνο μεμονωμένα συστήματα.
Η διαχείριση έκθεσης περιλαμβάνει συνεχή παρακολούθηση και αξιολόγηση της επιφάνειας επίθεσης για τον εντοπισμό και τον μετριασμό των τρωτών σημείων. Η διασφάλιση ενεργών καταλόγων διασφαλίζει ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση σε κρίσιμα συστήματα, ενώ το ZTA επιβάλλει αυστηρούς ελέγχους πρόσβασης. Η διάδοση των συστημάτων πληροφορικής και OT, ενώ εισάγει κινδύνους για την ασφάλεια, παρουσιάζει επίσης ευκαιρίες για εκσυγχρονισμό των στρατηγικών ασφάλειας. Υιοθετώντας μια ολοκληρωμένη προσέγγιση, οι οργανισμοί μπορούν να προστατεύσουν τα ευαίσθητα περιουσιακά τους στοιχεία και να ενισχύσουν την επιχειρησιακή ανθεκτικότητα.
Χτίζοντας ένα φρούριο για τον συνδεδεμένο κόσμο
Οι κωδικοί πρόσβασης μας έχουν εξυπηρετήσει καλά, αλλά το εξελισσόμενο τοπίο της ασφάλειας IoT/OT απαιτεί περισσότερα. Με τους τόνους νέων συσκευών που συνδέονται στο διαδίκτυο, χρειαζόμαστε μια σοβαρή αναβάθμιση ασφαλείας. Τα κρυπτογραφικά κλειδιά, η πολυεπίπεδη ασφάλεια και η δέσμευση για συνεχή εκπαίδευση σχετικά με τις βέλτιστες πρακτικές κωδικών πρόσβασης είναι όλα ζωτικής σημασίας για μια ισχυρή άμυνα. Αυτό απαιτεί συνεχή επαγρύπνηση και προσαρμογή, αλλά τα οφέλη μιας ισχυρής άμυνας έναντι των κυβερνοεπιθέσεων είναι ανυπολόγιστα. Ο συνεχώς διευρυνόμενος κόσμος των διασυνδεδεμένων συσκευών απαιτεί την ακλόνητη δέσμευσή μας να τις προστατεύσουμε.
Παραθέτουμε τους καλύτερους διαχειριστές κωδικών πρόσβασης επιχειρήσεων.
Αυτό το άρθρο δημιουργήθηκε ως μέρος του καναλιού Expert Insights της TechRadarPro, όπου παρουσιάζουμε τα καλύτερα και πιο έξυπνα μυαλά στον κλάδο της τεχνολογίας σήμερα. Οι απόψεις που εκφράζονται εδώ είναι αυτές του συγγραφέα και δεν είναι απαραίτητα αυτές της TechRadarPro ή της Future plc. Αν ενδιαφέρεστε να συνεισφέρετε, μάθετε περισσότερα εδώ:
https://www.techradar.com/news/submit-your-story-to-techradar-pro
VIA:
TechRadar.com/
0