Kedy ste naposledy posúdili bezpečnosť svojej OT siete? Ak sa vaša architektúra spolieha na jediný, plochý Active Directory (AD) model, vystavujete svoje kritické systémy zvýšenému riziku. V roku 2024 zaznamenal priemyselný sektor globálny nárast ransomvérových útokov, pričom v poslednom kvartáli došlo k približne 30 % nárastu oproti predchádzajúcim štvrťrokom.
Riziká jednotného AD doménového modelu
OT a IT siete predstavujú dva odlišné svety: OT je zameraná na prevádzkovú kontinuitu a kontrolu fyzických zariadení, IT je dynamické prostredie s prístupom k internetu, e-mailom a vzdialeným používateľom. Plochá AD doména medzi nimi funguje ako otvorený most, ktorý môže útočník po kompromitovaní IT časti využiť na laterálne šírenie do OT siete.
Väčšina útokov začína v IT – phishing, malvér, zneužité prihlasovacie údaje. Ak OT zariadenia používajú ten istý AD ako IT infraštruktúra, predstavujú ľahko dostupný cieľ. V roku 2024 vzniklo 32 % ransomvérových incidentov v dôsledku zneužitia známych zraniteľností.
Prečo oddelený AD forest pre OT?
Prípad Zerologon (CVE-2020-1472) ukázal, aké nebezpečné môže byť zdieľanie AD medzi IT a OT. Zraniteľnosť v Netlogon Remote Protocole umožnila útočníkom prevziať kontrolu nad celým doménovým kontrolérom bez autentifikácie. Organizácie, ktoré nemali izolovaný OT AD forest, utrpeli priamy dopad na svoje prevádzkové technológie.
Implementácia oddeleného AD forestu pre OT je dnes považovaná za best practice. Segregáciou identít a riadiacej infraštruktúry sa dosahuje vyššia odolnosť voči laterálnemu pohybu útočníka v prípade kompromitovania IT.
Výhody oddeleného AD forestu pre OT:
Zamedzenie priamemu prístupu: IT účty nemajú implicitný prístup k OT systémom.
Zníženie útokovej plochy: Kompromitované IT prostredie neohrozí OT aktíva.
Regulačná zhoda: Štandardy ako NIST alebo ISA/IEC 62443 vyžadujú oddelenie IT a OT prostredí.
Aj keď oddelenie znamená väčšie nároky na správu, prínosy z hľadiska bezpečnosti výrazne prevyšujú investície.
Kto by mal spravovať OT AD?
Správa OT AD forestu si vyžaduje znalosť OT prostredia – vysoká dostupnosť, obmedzené aktualizácie, proprietárne systémy a často prístup definovaný dodávateľmi. IT tímy zvyčajne nemajú dostatočné povedomie o týchto špecifikách. Až 66 % organizácií čelí problémom s personálnym zabezpečením OT bezpečnosti – preťažené tímy, nedostatok odborníkov.
Riešením je vytvoriť dedikovaný OT bezpečnostný tím. Organizácie so špecializovaným OT security tímom majú nižšiu mieru incidentov ako tie, kde bezpečnosť spravuje výhradne IT.
Kombinovaný, ale oddelený prístup – kde IT poskytuje expertízu v oblasti identity managementu a OT zabezpečuje kontinuitu prevádzky – sa ukazuje ako najefektívnejší model.
Nestačí len oddelený AD – segmentácia siete je kľúčová
Mnohé organizácie stále prevádzkujú ploché siete, v ktorých môžu zariadenia voľne komunikovať. To je zásadné bezpečnostné riziko. Aj oddelený AD forest nedokáže zabrániť útoku, ak je sieťovo OT prostredie prepojené s IT bez striktných bariér.
Odporúčaným rámcom je Purdue model (ISA-95), ktorý definuje:
Level 0–2: plná izolácia OT a ICS systémov,
Level 3: dedikovaný OT AD forest s kontrolovaným prístupom,
Level 4–5: IT prostredie s minimálnym a monitorovaným prechodom do OT.
Správne nasadená segmentácia zabezpečuje, že ani úspešný útok na IT nevedie automaticky ku kompromitácii OT.
Nezabúdajte na tretie strany
Externý prístup, napr. zo strany dodávateľov, je častou slabinou. Bez kontroly predstavuje otvorenú bránu do vašej OT siete.
Odporúčania:
Poskytujte krátkodobý prístup: Udeľujte prístup len na obmedzené časové obdobia (napr. štyri hodiny), po ktorom musí byť prístup automaticky odňatý alebo ukončený.
Monitorujte relácie: Používajte nástroje na sledovanie a logovanie všetkých aktivít tretích strán v reálnom čase.
Zavádzajte princípy zero trust: Predpokladajte, že každé externé spojenie je potenciálne nebezpečné, pokiaľ nie je explicitne overené a dôveryhodné.
Záver
Kybernetická bezpečnosť OT prostredí nie je len o ochrane technológií – je o ochrane prevádzky, ľudí a reputácie. Ransomvér v roku 2024 ukázal, že útočníci cielia na priemyselné odvetvia intenzívnejšie než kedykoľvek predtým.
Ak vaša organizácia ešte nezaviedla oddelený AD forest, robustnú sieťovú segmentáciu a kontrolu nad externým prístupom, vystavuje svoje OT aktíva zbytočnému riziku.
Otázka znie: Je vaša stratégia správy identít skutočne schopná ochrániť OT infraštruktúru – alebo ponecháva dvere útočníkom otvorené?