Az OT környezeteket a megbízhatóságra és a folyamatos üzemidőre tervezték. Ahogy azonban ezek a hálózatok növekednek, a szakemberek gyakran szembesülnek azzal, hogy a több adat nem feltétlenül jelent jobb védelmet. Sőt, precíziós szűrés nélkül a túl sok információ teherré válik, amely megbéníthatja a védelmi eszközöket.

Amikor a láthatóság zajt generál

Sok modern ipari létesítményben több ezer IP-alapú biztonsági kamera üzemel. A probléma nem magukkal a kamerákkal van, hanem az általuk generált hatalmas videóforgalommal.

Egy globális exportőr példája jól szemlélteti a helyzetet: a biztonsági csapatnak tudnia kellett, hogy a kamerák üzemelnek, de ehhez nem volt szükségük minden egyes képkocka elemzésére a behatolásjelző rendszerben. Azonban a hálózat válogatás nélkül küldte a teljes videóstreamet a szenzorokra. Ez egy klasszikus OT-láthatósági hiba: olyan adatokat gyűjtünk óriási sávszélességgel, amelyekre nincs szükségünk, azon adatok rovására, amelyekre viszont igen.

A következmény: túlterhelt szenzorok, lassuló észlelés és az adatforgalom alapján árazott licenccel bíró IDS-rendszerek drasztikusan megugró költségei.

Intelligens csomagszűrés

Ahelyett, hogy még több méregdrága szenzorokat vásárolnánk, a megoldás a probléma forrásának történő kezelése. A packet broker eszközök alkalmazásával az említett szervezet a következőket érte el:

1. Forgalomazonosítás: Programozott módon azonosították a videófolyamokat meghatározott jellemzők alapján.
2. Szelektív szűrés: Az NPB-ket úgy konfigurálták, hogy még azelőtt „lecsupaszítsák” a videócsomagokat, mielőtt azok elérnék az IDS-t.
3. Jelmegőrzés: A kamerák elérhetőségére és állapotára vonatkozó kritikus metaadatok megmaradtak, így a felügyelet nem sérült.

Mérhető előnyök

Ez a megközelítés azonnali javulást eredményezett az OT-monitorozásban. A felesleges forgalom kiiktatásával az IDS hatékonyabbá vált: csak a releváns adatokat dolgozta fel, ami javította az észlelési sebességet és pontosságot.

A szervezetnek nem kellett bővítenie a licenckeretét, elkerülve a felesleges beruházásokat. A rendszerben lévő kisebb zaj pontosabb veszélyelemzést tett lehetővé, így az elemzők a valódi incidensekre koncentrálhattak. Végül, a Garland Technology örökös hardverlicenc-modelljének köszönhetően megszűntek az ismétlődő előfizetési díjak.

Tanulság: Előbb szűrjünk, aztán elemezzünk

Az OT-hálózati mérnökök számára a legfontosabb lecke, hogy nem minden forgalom érdemel egyenlő figyelmet. Mielőtt minden egyes csomagot elküldenénk a monitorozó eszközökre, fel kell mérni, hogy az adat valódi biztonsági vagy üzemeltetési ellenőrzést igényel.

A csomagszűrés bevezetésével jelentősen csökkenthető a feldolgozási overhead, meghosszabbítható a meglévő szenzorok élettartama, és javítható az észlelés hatékonysága. A cél ugyanis nem az, hogy mindent lássunk, hanem az, hogy azt lássuk, ami számít.

Szeretné kiküszöbölni a nem kívánt forgalmat, de nem tudja, hol kezdje? Mérnökeink segítenek Önnek optimalizálni hálózati láthatóságát. Keressen minket bizalommal!

Forrás

Precision Visibility: How Packet Filtering Transforms OT Monitoring

Kapcsolódó tartalom

Garland Technology képzések a RelNet eLearning programban