מימוש מגמות ותקנים של אבטחת סייבר בהתקני FPGA

סמינר האבטחה של Lattice שנערך לאחרונה, נשא את הכותרת “מגמות ותקנים של אבטחת רשת להתקני FPGA בתעשייה” והתמקד במימוש אבטחה ברשת (אבטחת סייבר) ובנושאים קשורים במערכים תעשייתיים. לסמינר הצטרפו השותפים הטובים של Lattice, יועצי אבטחת המידע Perseus ו- Dekra Labs. מי שלא צפו באירוע החי, מוזמנים לבקש הקלטה של הסמינר או לקרוא אודותיו, כדי לגלות כמה מהנושאים החשובים שנדונו בו.

העידן Industry 4.0 מציג את המיזוג בין עולם ה- IT לעולם ה- OT ואת המעבר לענן, כפי שמגולם בתפישה של רשתות מוגדרות בתוכנה (SDN), אשר משפיעה על כל ההיבטים של העולם המחובר. כתוצאה, נקודות קצה אשר באופן מסורתי היו קרובות לגישה לרשת האינטרנט, כעת הן מקוונות “וניתנות לגילוי” – עובדה שעלולה להוביל לחולשת אבטחה (vulnerability) מורחבת ולהוות קרקע פורייה למה שמכונה “שלושת ה- V” של קרקע חדשה למתקפות רשת, אשר היה מי שציין זאת כרמה מוגברת של שחיתות [Venality], מהירות [Veloicity] ומהימנות [Veracity] בהתקפות.

קרדיט: Lattice

מטבעו, SDN תומך בממשקים פתוחים ובמערכת גומלין (ecosystem) עשירה, אבל מצב זה יכול להוות פוטנציאל לאיומי אבטחה חדשים. בעוד שהתמקדות רבה הופנתה לאבטחה של נתיב נתונים, חיוני שתהיה גישה הוליסטית יותר, שתיקח בחשבון את העובדה שלאיומי אבטחה ברמת הפלטפורמה יכולות להיות השלכות חמורות ביותר על שלמות הרשת ועל נתונים קנייניים רגישים שנכללים במערכות. עם Industry 4.0, ארכיטקטורות חיישנים תעשייתיים עד ארכיטקטורות קו השפה (edge) לענן יתפתחו במהירות בסביבת SDN חדשה זו, ואבטחה בכל הרמות תהיה בעלת חשיבות עליונה לשלמות המוצר. Lattice מספקת הגנה לכל אורך הדרך, מרצפת הייצור במפעל ועד לענן, והתקני FPGA מתאימים במיוחד לתפקיד זה, בהינתן זמן ההמתנה (latency) הקצר ויכולות המחשוב המקבילי שלהם. אלו מספקים יתרונות רבי ערך לתחומי הרובוטיקה, ראיית מכונה ובקרת מנועים בפעולות זמן אמת קריטיות למשימה ולרכיבי תקשורת, כגון רשתות דור 5 פרטיות ורשתות פנימיות, ולמערכות בטיחות ואבטחה (לדוגמה מצלמות HD מחוברות).

קרדיט: Lattice

נקודה חשובה נוספת שנדונה במהלך הסמינר הייתה התפישה של חוסן ברשת (cyberresiliency). בסביבה של איומים בעלי תחכום גובר והולך, ארגונים חייבים לנקוט צעדים לא רק כדי לאבטח את המערכות שלהם מפני איומים ברשת, אלא גם להפוך את המערכות שלהם לחסינות מספיק, כך שיוכלו לשכך התקפה בזמן אמת ולשמר באופן אוטומטי את התקני הקושחה [firmware] שלהם. כל זאת הופך להיות לא רק נושא של אבטחה, אלא גם של המשכיות העסק ושל חוזק הארגון כולו.

חולשות אבטחה של קושחה עלולות להיות מנוצלות לרעה על ידי בעלי כוונות זדון, והן יכולות לחשוף ארגונים לבעיות אבטחה שונות, לרבות גניבת נתונים, השחתת נתונים, ביצוע שינויים לא מוסמכים בחומרה, חטיפת ציוד, שיבוט (cloning) של המוצר, כופרה וגניבת תכנונים. וכפי שצוין במהלך הסמינר, לא די במערכות הגנה מבוססות MCU. למעשה, דוח שפורסם לאחרונה על ידי קבוצת Gartner קובע ש- 70 אחוזים מהארגונים שחסרים הגנה על קושחה יסבלו מפריצות למחשבים. חולשות אבטחה אלו בקושחה קיימות במשך כל מחזור החיים של מוצר והן משפיעות על רכיבים בודדים דרך שרשרת האספקה העולמית של רכיבים המשתנה כיום במהירות ובאופן בלתי צפוי – החל בייצור ובמשלוח הראשונים של הרכיבים דרך יצרנים על פי חוזה, עד לאינטגרציית מערכות, לאינטגרטורים של מערכות והלאה, דרך כל חיי הפעולה של ההתקן בשטח.

כולנו ראינו כבר דיווחי חדשות לגבי דרישות כופרה שמציקות לכל סוגי המערכות, החל בבתי חולים ועד ענקים תעשייתיים. הקדשנו חלק מהסמינר לסקירת הדרך שבה השירות של Latice Supply Guard מקטין את “שטח החשיפה” להתקפות כופרה. טוב יהיה לחשוב על האבטחה של שרשרת האספקה כעל “קצה הקרחון”, ומה שרואים הגופים השונים הפעילים בשרשרת האספקה – בעלי נכסים, מנהלי אינטגרציה, ספקי התקנים וכיו”ב – מהווה אולי 20 אחוזים בלבד מהבעיה. SupplyGuard מפרקת את החלק הזה של הקרחון, על ידי שימוש “בחלקים נעולים” ובמפתחות אבטחה, כדי לשחרר אותם. השתמשנו בפריצת Zombie Zero כדי להדגים את הנקודה הזו ואת הדרך שבה ל- SupplyGuard יש השפעה נטו בהפחתת העלויות של אספקת אבטחה מתאימה בייצור ובהעלאה משמעותית של העלויות והמאמצים שפצחן אפשרי יצטרך להשקיע.

אבטחת הקושחה הופכת להיות גם בעיה של תאימות – ואי עמידה בה יהפוך לבלתי אפשרי או לקשה מאוד את ניהול העסק במערך שמחובר יותר ויותר באופן גלובלי. למשל, גופי תקינה כדוגמת NIST, קבוצת המחשוב האמין (TCG), וארגון SAE ממליצים על סבילות קושחה בפלטפורמה (NIST 800–193) ועל “אבטחת מערכות פיסית ברשת” (SAE G32).

שעה שנושא סביבת התקנים המתפתחים בראשו, מערום הפתרונות Lattice Automate מאפשר יצירה של כמה יישומי אוטומציה תעשייתית בעלי חשיבות עליונה, לרבות גישור חיישנים, הימנעות מהתנגשויות ובקרים מתוכנתים. השותפים שלנו, דניז קאיה [Deniz Kaya] מחברת הייעוץ לאבטחת המידע Perseus וביט קרויטר [Beat Kreuter] מ- Dekra Labs, תיארו שניהם באופן מבריק את חשיבות ההיענות, בדיון לגבי תקן אחר ייחודי למערכים תעשייתיים – IEC 62443 – שמתייחס למחזור חיי המוצר של מערכות אוטומציה ובקרה תעשייתיות (IACS). תקן IEC 62443 חל על כל מי שפועל בתחום שרשרת האספקה המזוהה לעיל ומציב דרישות לגבי מוצרים ותהליכים אשר משמשים כדי לפשט את תהליך הערכת הסיכונים. דניז תיאר כיצד חמשת הצעדים בתהליך זה משמשים לחישוב “גורם הפחתת הסיכונים ברשת” (CRRF) וחשיבותו במערך ייצור. ביט המשיך והוסיף הסבר לגבי IECEE, שהיא מערכת הערכת התאימות של IEC ולגבי תהליך ההתעדה (Certification) של IECEE CB (גוף ההתעדה). ביט הדגיש את ההשפעה של IECEE בתארו את עבודתו כשיטת האבטחה המוצלחת ביותר ברחבי העולם וכמערכת מאובטחת של מסחר עולמי. לסיכום, תרחיש שימוש בתקן IEC 62443 כמו בסיס עם כלי סבילות ברשת של Lattice מעליו, יכול היה לייצג את חוד החנית העכשווי באבטחת קושחה.

שוב, אם לא הייתה לך אפשרות להצטרף לאירוע בזמן אמת, אתה מוזמן לצפות בסרטו וידיאו של הסמינר.

בשאלות לגבי הפתרונות של Lattice בסיוע לאבטחת קושחה של התקן, אתה מוזמן לשלוח שאילתות אל israelsales@latticesemi.com ולצפות בסמינר האבטחה הבא שלנו ברבעון הבא!


 

Eric Sivertson- Vice President. Security Business, Lattice

תגובות סגורות