Osat 1 ja 2 rakensivat IT-puolen kyberpinoston. Osa 3 käsittelee disipliinit, joihin IT-tason työkalut eivät riitä: teollisuuden ohjausjärjestelmien ja operatiivisen teknologian puolustus, digitaalinen rikostekninen tutkimusvalmius kompromissin jälkeistä analyysiä varten ja verkkotunnusten väliset ratkaisut, jotka siirtävät asianmukaista dataa luokiteltujen enklaavienvälillä. Jokainen on erikoistunut, jokainen on hankintarelevanttti ja jokainen on alue, jossa IT-koulutetut insinöörit useimmiten tekevät virheitä. Osa 3 käy ne läpi.

Pääartikkelin viitekehys on artikkelissa Täydellinen opas puolustuksen kyberturvallisuuteen. Fuusiopuolen luokittelukoneisto, johon tämä osa yhdistyy, on artikkelissa Puolustuksen fuusioputkilinjan rakentaminen, osa 3; NATO-koalition julkaisukelpoisuuskuri on artikkelissa NATO-yhteentoimivuuden toteutus, osa 3.

Vaihe 1: Miksi ICS/OT-puolustus on erilaista kuin IT

Ensimmäinen virhe, jonka IT-koulutetut insinöörit tekevät ICS/OT:ssä, on soveltaa IT-puolustuksen malleja suoraan. Mallit siirtyvät; arvot eivät. ICS/OT-puolustusta muovaavat rakenteelliset erot, jotka tekevät IT-kurinalaisuuden riittämättömäksi ja joskus aktiivisesti haitalliseksi.

Rakenteelliset erot:

  • Erilaiset protokollat. Modbus, DNP3, IEC 61850, OPC UA, BACnet — näistä mikään ei esiinny IT-ympäristöissä. Työkalut, jotka purkavat IT-protokollia (HTTP, TLS, SMB, DNS), eivät pura näitä. ICS-kohtaiset työkalut ovat välttämättömiä.
  • Erilaiset päivityssyklit. ICS-ohjain saattaa olla vuosia päivittämättä — joskus ei koskaan. Huoltokatkot aikataulutetaan operatiivisten rytmien mukaan, ei turvallisuuskalentereiden mukaan. "Päivitä vain" on harvoin vaihtoehto.
  • Erilaiset seuraukset. IT-katkos maksaa saatavuuden. ICS-katkoksella voi olla kineettisiä seurauksia — virta katkeaa, vedenvirta häiriintyy, asejärjestelmä poistuu käytöstä, logistiikka keskeytyy. Vaikutusalue muokkaa riskitarkkailua.
  • Erilainen toimittajakenttä. Honeywell, Siemens, Schneider Electric, Rockwell, Yokogawa — jokaisella omat suunnittelukäytäntönsä, proprietääriset protokollansa ja toimittajatukisopimuksensa. IT-toimittajasuhteet eivät siirry.
  • Erilainen operaattorikulttuuri. ICS-operaattoreilla on insinööritausta, ei IT-tietoturvatausta. Tietoturvakeskustelu on oltava teknistä insinöörikieltä, ei tietoturvainsinöörikieltä. Sanasto eroaa.
  • Erilaiset skannauskäytännöt. Haavoittuvuusskannaus, jota IT-SOC pitää rutiinina, voi ottaa vanhan PLC:n offline-tilaan. Aktiivinen skannaus on oletus IT:ssä; väärä oletus ICS:ssä.

Yksityiskohtainen insinöörinen käsittely sotilasverkkoihin erityisistä ICS/OT-tunkeutumisen havaitsemismalleista on artikkelissa ICS/OT-tunkeutumisen havaitseminen sotilasverkoissa.

Vaihe 2: Passiivinen monitorointi oletuksena

Toimiva ICS/OT-puolustuksen malli: passiivinen monitorointi oletuksena, aktiivinen reagointi vain laajan operaattorikoordinaation kanssa.

Passiivisen monitoroinnin arkkitehtuuri:

Verkon haavauttaminen tai SPAN-porttikeräys. Havaintoanturi näkee kaiken ICS-verkkoliikenteen mutta ei koskaan injektoi paketteja. Anturi ei voi vaikuttaa ohjattuun prosessiin.

Protokollatietoinen syväpakettitarkistus. Anturi purkaa Modbusin, DNP3:n, IEC 61850:n, OPC UA:n, tunnistaa suoritettavat operaatiot ja havaitsee poikkeamat (odottamattomat komennot, virheelliset paketit, epätavalliset lähde-kohdeparit).

Omaisuuden löytö passiivisesta havainnoinnista. Anturi tunnistaa ICS-omaisuudet niiden verkkokäyttäytymisestä — toimittaja, malli, firmware-versio, rooli — ilman aktiivista luotausta. Osan 1 omaisuusluettelo rikastetaan löydöillä.

Käyttäytymisen perustaso. Viikkojen havainnoinnin jälkeen anturi rakentaa perustason normaalista ICS-käyttäytymisestä. Poikkeamat (komennot odottamattomina aikoina, sekvensseejä jotka eivät ole perustasossa, liikennettä omaisuudelle joiden ei pitäisi kommunikoida) tulevat hälytyksiksi.

Operaattorin ohjaama reagointi. Kun anturi havaitsee poikkeaman, reagointi on hälyttää operaatiotiimi, ei ottaa automatisoitua toimintaa. ICS-operaattoreilla on konteksti arvioidakseen onko poikkeama haitallinen vai operatiivinen.

Toimittajatuotteet, jotka toteuttavat tämän mallin: Dragos Platform, Claroty xDome, Nozomi Vantage, Tenable OT Security. Jokaisella on omat protokollanpurkuvahvuutensa; puolustushankinta arvioi ne erityisen OT-ympäristön mukaan.

Vaihe 3: ICS/OT-erityinen uhkatieto

ICS/OT-uhkatieto on oma disipliininä. Yleiset IT CTI -syötteet (käsitelty osassa 1) ohittavat ICS-erityiset TTP:t: Stuxnet-perheen tekniikat, Industroyer-variantit, TRITON, PIPEDREAM. Omistetut ICS CTI -lähteet:

Dragos WorldView. Alan johtava ICS-uhkatieto. Kattaa valtion tason ICS-toimijat (ELECTRUM, XENOTIME, ALLANITE, muut) TTP:eineen ja havaintosisältöineen.

CISA ICS-CERT -tiedotteet. Julkisen sektorin ICS-tiedotteet Yhdysvaltain Cybersecurity and Infrastructure Security Agency:ltä. Vapaasti saatavilla, hyvin kuratoitu.

NATO ja kansalliset CSIRT:t. ICS-relevantit tiedotteet NCIRC:ltä, BSI:ltä, ANSSI:ltä ja vastineilta — erityisesti kohonneen uhkan aikoina.

Toimittajien tietoturvatiedotteet. Jokainen ICS-toimittaja julkaisee omansa. Tilaa; integroi CTI-putkilinjaan; seuraa päivitysvelvollisuuksia.

ICS CTI:n virta menee OT-erityiseen havaintekerrokseen erillään IT CTI:stä. Niiden sekoittaminen laimentaa signaalia — suurin osa IT CTI:stä on epärelevantttia OT:lle, eivätkä OT-ympäristöt pysty kuluttamaan IT:n volyymia.

Vaihe 4: Digitaalinen rikostekninen tutkimusvalmius

Havaitseminen ilman kompromissin jälkeistä analyysiä on puoli kykyä. Puolustuksen kyberturvallisuusohjelmat tarvitsevat digitaalista rikosteknistä tutkimusvalmiutta — insinöörisiä investointeja, jotka mahdollistavat tapahtuneen rekonstruoinnin kompromissin jälkeen.

Rikosteknisen tutkimusvalmiuden osat:

Pitkäaikainen lokien koostaminen. Valtion tason kampanjat piilevät kuukausia. SOC, joka säilyttää 30 päivän lokit, ei pysty rekonstruoimaan 18 kuukauden kampanjaa. Säilytysbudjetti tukee tutkimuksen aikarajoja; tasoporraste tallennuksessa hallitsee kustannuksia. Osan 2 putkilinja-arkkitehtuurin on sovittava tähän.

Syväpakettitallennus, missä uhkaperuste tukee sitä. Valikoiva täysiä paketteja tallentava keräys korkean riskin segmenteille. Tallennus on merkittävä; arvo on korvaamaton, kun kompromissi tarvitsee verkkotason rekonstruointia.

Päätepisteiden telemetria riittävällä syvyydellä. Sysmon, EDR-toimittajan agentti, komentorivin auditointi, prosessipuun kaappaus. Pintatelemetria on riittämätön valtion tason tutkimukseen; syvyys on tärkeää.

Säilytysketju keräyksestä alkaen. Rikosteknisen tutkimuksen todisteiden on tuettava oikeudellista ja akkreditointitarkastusta. Keräysmenettelyt, tiivisteen varmennus jokaisessa siirrossa, holhouksen dokumentointi. Ilman säilytysketjua kerätty todiste on operatiivisesti kiinnostavaa mutta oikeudellisesti käyttökelvotonta.

Rikostekninen analyysikympäristö. Eristetty analyysivekkro, tarkkailtu työkalutus (Volatility, Autopsy, SANS DFIR -paketti), koulutetut analyytikot. Ympäristö on provisisoitu etukäteen, ei perustettu tapahtuman aikana.

Toistettavat analyysikputkilinjat. Toistettavat analyysit (muistin rikostekninen tutkimus, haittaohjelmien hiekkalaatikkoanalyysi, tunnisteiden uuttaminen) ovat skriptattuja ja versioituja. Manuaaliset analyysit eivät skaalaudu eivätkä selviä analyytikkovaihdoksista.

Sotilaalliseen kyberrikostutkimukseen liittyvä yksityiskohtainen käsittely on artikkelissa Digitaalinen rikostekninen tutkimus sotilaskyberille.

Vaihe 5: Verkkotunnusten väliset ratkaisut

Puolustusverkot eivät ole yksittäisiä enklaavieja. Data liikkuu laillisesti luokittelutasojen välillä — luokittelematon uhkatietosyöte SECRET-SOC:lle, julkaisukelpoisuudeltaan siivottu tapahtumatiivistelmä koalition kumppanille, matalan verkon OSINT:ia keräiltynä virtaavaksi korkean tason analyytikoille. Nämä siirrot tapahtuvat verkkotunnusten välisten ratkaisujen (CDS) kautta.

CDS-kenttä:

Yksisuuntaiset datadiodiot. Laitteistossa pakotetut yksisuuntaiset linkit. Data kulkee vain hyväksyttyyn suuntaan (tyypillisesti korkea-matalaan julkaistaville tuotteille, matala-korkeaan julkisen tiedon sisäänsyöttöä varten). Owl Cyber Defense, Forcepoint, Garrison ovat yleisiä toimittajia.

Verkkotunnusten väliset siirtovartijat. Ohjelmisto-laitteistoratkaisut, jotka tarkastavat, puhdistaa ja välittävät dataa luokittelutasojen välillä. Joustavampia kuin diodiot (kaksisuuntainen on mahdollinen) mutta korkeammalla akkreditoinnin yläkuormalla.

Manuaaliset tarkistustyönkulut. Missä automaatio ei pysty turvallisesti päättämään, ihmistarkastajat hyväksyvät tiettyjä datasiirtoja. Alusta esittää ehdokkaan, kaappaa ihmispäätöksen attribuutiolla ja levittää hyväksytyn siirron auditoinnilla.

Insinöörinen integraatio:

  • Kyberipino integroituu CDS-infrastruktuuriin, ei koskaan korvaa sitä. CDS:n tarjoavat akkreditoidut toimittajat, joilla on kansallisen turvallisuusviranomaisen hyväksyntä; sen rakentaminen sisäisesti on harvoin perusteltua.
  • Siirtokohtainen auditoinnin lokitus. Jokainen verkkotunnusten välinen siirto kirjataan lokiin attribuutiolla, perusteluilla ja sisältöviitteellä. Auditointiloki on akkreditoinnin todiste.
  • Luokittelun varmennus rajalla. CDS:lle tuleva data tarkistetaan oikeiden merkintöjen suhteen (STANAG 4774 NATO-yhteentoimivuussarjan osan 3 mukaan); poistuva data tarkistetaan uudelleen.
  • Kaistanleveys- ja viivausodotukset. CDS lisää viivettä. Operatiiviset työnkulut sopeutuvat viiveeseen sen sijaan että taistelevat sitä vastaan.

Keskeinen oivallus: ICS/OT-puolustus ja verkkotunnusten väliset ratkaisut ovat kaksi aluetta, joissa IT-kyberinsinöörit ennakoitavimmin epäonnistuvat puolustuskonteksteissa. Syy on sama molemmissa: kaupallisen IT:n mallit eivät siirry puhtaasti, ja insinöörit, jotka niitä kuitenkin soveltavat, tuottavat alustoja, jotka epäonnistuvat akkreditoinnissa, operaatioissa tai molemmissa. Kuri käsitellä näitä erillisinä erikoisaloina on rakenteellista.

Vaihe 6: Verkon segmentointi IT:n ja OT:n välillä

Purdue-malli on kanoninen viite IT-OT-verkon segmentoinnille. Puolustusympäristöt laajentavat sitä usein luokittelutietoisella segmentoinnilla. Toimiva malli:

Tasot 0-1 (Prosessi ja havainnointi). Varsinainen fyysinen ohjaus — PLC:t, RTU:t, anturit, toimilaitteet. Eristetty IT:stä. Ei suoraa IT-puolen yhteyttä.

Taso 2 (Valvontaohjaus). Paikalliset HMI:t ja insinöörityöasemat. Yhdistetty tasoihin 0-1; minimaalisesti yhdistetty ylöspäin.

Taso 3 (Sivuston toiminta). Operaatiotietokannat, erätöiden hallinta, ohjauspalvelimet. Missä ICS-tason järjestelmät asuvat.

Taso 3,5 (DMZ). Ylityspiste OT:n ja IT:n välillä. Kaikki IT-OT-kommunikaatio kulkee tässä, eksplisiittisillä datavirtapolitiikoilla ja havaitsemisella.

Tasot 4-5 (Yrityksen IT). Vakio-IT-ympäristö. Missä osan 2 SIEM/SOAR pääasiassa toimii.

Puolustuksen laajennukset lisäävät luokittelutason segmentoinnin Purdue-tasojen ortogonaalisti: luokittelematon OT-verkko tilainfrastruktuurille, NATO-RESTRICTED OT-verkko koalitioharjoitusinfrastruktuurille, kansallisesti luokiteltu OT-verkko asealustan OT:lle. Jokainen on oma segmentoitu ympäristönsä omine verkkotunnusten välisine ratkaisuineen siellä missä data tarvitsee virrata.

Vaihe 7: ICS/OT-tapausten reagointikoordinointi

Kun ICS-tapahtuma tapahtuu, reagointi on moniosapuolinen. IT-puolen tapaustenhallinta käsittelee IT-komponentit; OT-operaattorit käsittelevät operatiiviset komponentit; turvallisuusinsinöörit käsittelevät fyysisen prosessin riskin; lakiala käsittelee sääntelyraportoinnin (jolla on erityiset aikarajat ICS:lle joissakin lainkäyttöalueissa); johtajuus koordinoi julkista viestintää.

Insinöörisiä investointeja, jotka tukevat tätä koordinaatiota:

Ennalta laaditut playbokit. ICS-erityiset tapahtumaplaybokit, joita harjoitellaan säännöllisesti, jotka nimeävät roolit ja viestintäpolut. Playbook on säilytyspaikkassa, versioitu, tarkastettu vuosittain.

Tauluharjoitukset. Vuotuiset tai puolivuotiset harjoitukset, jotka käyvät läpi ICS-tapahtumaaiheita. Nostavat esiin puutteet playbookeissa, viestintäpoluissa, teknisissä kyvyissä. Yksityiskohtainen C2-testauskuri, joka kertoo tästä käytännöstä, on artikkelissa Tehtäväkriittisten C2-järjestelmien testaaminen.

Tiimienvälinen koulutus. IT-SOC-analyytikot, jotka eivät koskaan näe OT-ympäristöjä, eivät pysty reagoimaan tehokkaasti OT-tapahtumiin. Ristikoulutus, OT-ympäristötutustuminen, yhteisharjoitukset.

Toimittajan eskalaatiopolut. Ennalta laaditut tukisuhteet ICS-toimittajien kanssa. Tapahtuman aikana ei ole aika selvittää, että tukisuhde on vain sopimuksellinen.

Mitä seuraavaksi

Osa 3 on käsitellyt erikoistuneet kerrokset. ICS/OT-puolustus passiivisena monitorointina oletuksena, omistettu OT-uhkatieto, digitaalinen rikostekninen tutkimusvalmius pitkällä säilytyksellä ja säilytysketjulla, verkkotunnusten väliset ratkaisut enklaavien välisille datavirroille, Purdue-mallin mukainen verkon segmentointi, ICS-tapausten reagointikoordinointi.

Osa 4 päättää sarjan suunnitteluputkilinja- ja arkkitehtuuridisipliineillä: DevSecOps, joka tuottaa akkreditointitodisteet sivuvaikutuksena, Zero-Trust-sotilasverkot, SBOM ja toimitusketjun eheys, ISO 27001 ja AQAP-2110 -linjaus ja jatkuva vaatimustenmukaisuusasento, joka pitää kyberpinoston akkreditoituna 15-20 vuoden operatiivisten elinkaarien aikana.