Părțile 1 și 2 au construit stack-ul cyber pe partea IT. Partea 3 acoperă disciplinele pe care instrumentele de grad IT nu le abordează: apărarea sistemelor de control industrial și a tehnologiei operaționale, pregătirea criminalisticii digitale pentru analiza post-compromis și soluțiile cross-domain care mișcă datele adecvate între enclavele clasificate. Fiecare este specializată, fiecare este relevantă pentru achiziții și fiecare este domeniul în care inginerii instruiți în IT greșesc cel mai des. Partea 3 le parcurge.

Cadrul de pilon se găsește în Ghidul complet al securității cibernetice pentru apărare. Mecanismul de clasificare pe partea de fuziune la care se conectează această parte se găsește în Construirea unui Pipeline de Fuziune pentru Apărare, Partea 3; disciplina de distribuibilitate a coaliției NATO se găsește în Implementarea Interoperabilității NATO, Partea 3.

Pasul 1: De ce apărarea ICS/OT diferă de IT

Prima greșeală pe care inginerii instruiți în IT o fac pe ICS/OT este aplicarea directă a tiparelor de apărare IT. Tiparele se transferă; valorile nu. Apărarea ICS/OT este modelată de diferențe structurale care fac disciplina IT insuficientă și uneori activ dăunătoare.

Diferențele structurale:

  • Protocoale diferite. Modbus, DNP3, IEC 61850, OPC UA, BACnet — niciunul din acestea nu apare în mediile IT. Instrumentele care decodează protocoalele IT (HTTP, TLS, SMB, DNS) nu decodează acestea. Este necesar instrumentar specific ICS.
  • Cadențe de patch diferite. Un controller ICS poate trece ani între actualizări — uneori niciodată. Ferestrele de întreținere sunt programate în jurul ritmurilor operaționale, nu al calendarelor de securitate. "Patch-uiți-l pur și simplu" este rar o opțiune.
  • Consecințe diferite. O întrerupere IT costă disponibilitate. O întrerupere ICS poate avea consecințe cinetice — curent tăiat, flux de apă perturbat, sistem de armament dezactivat, logistică întreruptă. Raza de explozie modelează calculul riscului.
  • Peisaj de furnizori diferit. Honeywell, Siemens, Schneider Electric, Rockwell, Yokogawa — fiecare cu propriile convenții de inginerie, protocoale proprietare și contracte de suport cu furnizorii. Relațiile cu furnizorii IT nu se transferă.
  • Cultura operatorului diferită. Operatorii ICS au pregătire în inginerie, nu în securitate IT. Conversația de securitate trebuie să fie tehnico-inginerească, nu de securitate-inginerie. Vocabularul diferă.
  • Politici de scanare diferite. O scanare de vulnerabilități pe care un SOC IT o consideră de rutină poate opri offline un PLC vintage. Scanarea activă este implicită în IT; implicitnul greșit în ICS.

Tratamentul detaliat de inginerie al tiparelor de detectare a intruziunilor ICS/OT specifice rețelelor militare se găsește în Detectarea intruziunilor ICS/OT în rețelele militare.

Pasul 2: Monitorizarea pasivă ca implicit

Tiparul de apărare ICS/OT care funcționează: monitorizare pasivă implicit, răspuns activ numai cu coordonare extinsă a operatorilor.

Arhitectura de monitorizare pasivă:

Colectare prin tap de rețea sau port SPAN. Senzorul de detectare vede tot traficul de rețea ICS, dar nu injectează niciodată pachete. Senzorul nu poate afecta procesul controlat.

Inspecție profundă a pachetelor conștientă de protocol. Senzorul decodează Modbus, DNP3, IEC 61850, OPC UA, identifică operațiunile efectuate și detectează anomaliile (comenzi neașteptate, pachete malformate, perechi sursă-destinație neobișnuite).

Descoperire de active din observație pasivă. Senzorul identifică activele ICS din comportamentul lor de rețea — furnizor, model, versiune firmware, rol — fără sondare activă. Inventarul de active din Partea 1 este îmbogățit cu descoperirile.

Bazarea comportamentală. Pe parcursul săptămânilor de observație, senzorul construiește o bază a comportamentului normal ICS. Devierile (comenzi la momente neașteptate, secvențe care nu sunt în bază, trafic spre active care nu ar trebui să comunice) devin alerte.

Răspuns condus de operator. Când senzorul detectează o anomalie, răspunsul este de a alerta echipa de operații, nu de a lua acțiuni automate. Operatorii ICS au contextul pentru a evalua dacă anomalia este malicioasă sau operațională.

Produse furnizor care implementează acest tipar: Dragos Platform, Claroty xDome, Nozomi Vantage, Tenable OT Security. Fiecare are punctele sale forte de decodare a protocoalelor; achizițiile de apărare le evaluează în funcție de mediul OT specific.

Pasul 3: Informații despre amenințări specifice ICS/OT

Informațiile despre amenințări ICS/OT sunt o disciplină proprie. Fluxurile generice de CTI IT (acoperite în Partea 1) ratează TTP-urile specifice ICS: tehnici din familia Stuxnet, variante Industroyer, TRITON, PIPEDREAM. Sursele dedicate de CTI ICS:

Dragos WorldView. Informații de top din industrie despre amenințările ICS. Acoperă actorii de stat ICS (ELECTRUM, XENOTIME, ALLANITE, alții) cu TTP-uri și conținut de detectare.

Avize CISA ICS-CERT. Avize ICS din sectorul public de la U.S. Cybersecurity and Infrastructure Security Agency. Acces gratuit, bine îngrijite.

CSIRT-uri NATO și naționale. Avize relevante ICS de la NCIRC, BSI, ANSSI și echivalente — în special în perioadele de amenințare crescută.

Avize de securitate ale furnizorilor. Fiecare furnizor ICS publică ale sale. Abonați-vă; integrați în pipeline-ul CTI; urmăriți obligațiile de patching.

CTI ICS circulă în stratul de detectare specific OT separat de CTI IT. Amestecarea lor diluează semnalul — cea mai mare parte din CTI IT este irelevantă pentru OT, iar mediile OT nu pot consuma volumul IT.

Pasul 4: Pregătirea criminalisticii digitale

Detectarea fără analiza post-compromis reprezintă jumătate din capacitate. Programele de securitate cibernetică pentru apărare au nevoie de pregătire pentru criminalistică digitală — investițiile de inginerie care permit reconstruirea a ce s-a întâmplat după un compromis.

Componentele pregătirii criminalisticii:

Agregarea jurnalelor cu retenție lungă. Campaniile stat-națiune rezidă luni. Un SOC care reține 30 de zile de jurnale nu poate reconstrui o campanie de 18 luni. Bugetul de retenție suportă orizonturi de timp de investigație; stocarea stratificată gestionează costul. Arhitectura pipeline-ului din Partea 2 trebuie să acomodeze aceasta.

Capturare profundă de pachete acolo unde amenințarea o justifică. Capturare selectivă de pachete complete pentru segmentele cu risc ridicat. Stocarea este semnificativă; valoarea este de neînlocuit când un compromis necesită reconstrucție la nivel de rețea.

Telemetrie de endpoint cu suficientă adâncime. Sysmon, agent EDR al furnizorului, auditare linie de comandă, capturare arbore de procese. Telemetria superficială este insuficientă pentru investigațiile stat-națiune; adâncimea contează.

Lanț de custodie din colectare. Dovezile criminalistice trebuie să suporte revizuirea juridică și de acreditare. Proceduri de colectare, verificare hash la fiecare transfer, documentare custodie. Dovezile colectate fără lanț de custodie sunt interesante operațional dar inutilizabile juridic.

Mediul de analiză criminalistică. Rețea de analiză izolată, instrumente verificate (Volatility, Autopsy, suita SANS DFIR), analiști instruiți. Mediul este provizionat în avans, nu ridicat în timpul incidentului.

Pipeline-uri de analiză reproductibile. Analizele repetabile (criminalistică memorie, sandboxing malware, extragere indicatori) sunt scriptate și versionat controlate. Analizele manuale nu scalează și nu supraviețuiesc rotației analiștilor.

Tratamentul detaliat al criminalisticii cyber militare se găsește în Criminalistică digitală pentru cyber militar.

Pasul 5: Soluții cross-domain

Rețelele de apărare nu sunt enclave singulare. Datele se mișcă legitim între nivelurile de clasificare — un flux de informații despre amenințări neclasificat spre un SOC SECRET, un rezumat de incident cu distribuibilitate curățată spre un partener de coaliție, OSINT colectat pe o rețea low-side circulând spre analiștii high-side. Aceste mișcări au loc prin soluții cross-domain (CDS).

Peisajul CDS:

Diode de date unidirecționale. Legături unidirecționale impuse hardware. Datele circulă doar în direcția aprobată (de obicei high-to-low pentru produse distribuibile, low-to-high pentru ingestia informațiilor publice). Owl Cyber Defense, Forcepoint, Garrison sunt furnizori comuni.

Garduri de transfer cross-domain. Soluții software-și-hardware care inspectează, sanitizează și transmit date între nivelurile de clasificare. Mai flexibile decât diodele (bidirecțional este posibil) dar cu overhead mai mare de acreditare.

Fluxuri de lucru cu revizuire manuală. Acolo unde automatizarea nu poate decide în siguranță, revizuitorii umani aprobă mișcările specifice de date. Platforma prezintă candidatul, captează decizia umană cu atribuire și propagă transferul aprobat cu audit.

Integrarea de inginerie:

  • Stack-ul cyber se integrează cu infrastructura CDS, nu o înlocuiește. CDS este furnizat de vendori acreditați cu aprobarea autorității de securitate națională; construirea unuia în casă este rar justificată.
  • Jurnal de audit per transfer. Fiecare transfer cross-domain este înregistrat cu atribuire, justificare și referință de conținut. Jurnalul de audit este dovada de acreditare.
  • Verificarea clasificării la limită. Datele care intră în CDS sunt verificate să aibă etichete adecvate (STANAG 4774 conform Părții 3 a seriei NATO interop); datele care ies sunt re-verificate.
  • Așteptări de lățime de bandă și latență. CDS adaugă latență. Fluxurile de lucru operaționale acomodează latența mai degrabă decât să lupte cu ea.

Concluzie cheie: Apărarea ICS/OT și soluțiile cross-domain sunt cele două domenii în care inginerii cyber IT eșuează cel mai previzibil în contextele de apărare. Motivul este același în ambele: tiparele din IT comercial nu se transferă curat, iar inginerii care le aplică oricum produc platforme care eșuează la acreditare, eșuează în operații sau ambele. Disciplina de a trata acestea ca specialități distincte este structurală.

Pasul 6: Segmentarea rețelei între IT și OT

Modelul Purdue este referința canonică pentru segmentarea rețelei IT-OT. Mediile de apărare îl extind adesea cu segmentare conștientă de clasificare. Tiparul care funcționează:

Nivelul 0-1 (Proces și Senzori). Controlul fizic real — PLC-uri, RTU-uri, senzori, actuatori. Izolat de IT. Fără conectivitate directă pe partea IT.

Nivelul 2 (Control Supervizor). HMI-uri locale și stații de lucru de inginerie. Conectat la Nivelul 0-1; conectat minim în sus.

Nivelul 3 (Operații de Sit). Baze de date de operații, gestionare batch, servere de control. Unde trăiesc sistemele la nivel ICS.

Nivelul 3.5 (DMZ). Punctul de trecere între OT și IT. Toată comunicarea IT-OT trece prin aici, cu politici explicite de flux de date și detectare.

Nivelul 4-5 (IT Enterprise). Mediu IT standard. Unde operează în mare parte SIEM/SOAR din Partea 2.

Extensiile de apărare adaugă segmentare pe niveluri de clasificare ortogonală nivelurilor Purdue: o rețea OT neclasificată pentru infrastructura de facilitate, o rețea OT NATO-RESTRICȚIONAT pentru infrastructura de exerciții de coaliție, o rețea OT clasificată național pentru OT-ul platformelor de armament. Fiecare este propriul mediu segmentat cu propriile soluții cross-domain acolo unde datele trebuie să circule.

Pasul 7: Coordonarea răspunsului la incidente ICS/OT

Când apare un incident ICS, răspunsul este multi-parte. Răspunsul la incidente pe partea IT gestionează componentele IT; operatorii OT gestionează componentele operaționale; inginerii de siguranță gestionează riscul procesului fizic; departamentul juridic gestionează raportarea reglementară (care are termene specifice pentru ICS în unele jurisdicții); conducerea coordonează mesajele publice.

Investițiile de inginerie care susțin această coordonare:

Playbook-uri pre-stabilite. Playbook-uri de incident specifice ICS, exersate periodic, care nominalizează rolurile și căile de comunicare. Playbook-ul este în depozitar, versionat, revizuit anual.

Exerciții tabletop. Exerciții anuale sau semi-anuale care parcurg scenariile de incident ICS. Evidențiază lacunele în playbook-uri, căile de comunicare, capabilitățile tehnice. Disciplina de testare C2 detaliată care informează această practică se găsește în Testarea sistemelor C2 critice pentru misiune.

Instruire cross-team. Analiștii SOC IT care nu văd niciodată mediile OT nu pot răspunde eficient la incidentele OT. Instruire încrucișată, familiarizare cu mediul OT, exerciții comune.

Căi de escaladare la furnizori. Relații de suport pre-stabilite cu furnizorii ICS. În timpul unui incident nu este momentul să descoperiți că relația de suport este doar contractuală.

Ce urmează

Partea 3 a acoperit straturile specializate. Apărarea ICS/OT cu monitorizare pasivă ca implicit, informații dedicate despre amenințările OT, pregătire pentru criminalistică digitală cu retenție lungă și lanț de custodie, soluții cross-domain pentru fluxurile de date inter-enclavă, segmentarea rețelei după modelul Purdue, coordonarea răspunsului la incidente ICS.

Partea 4 închide seria cu disciplinele de pipeline de inginerie și arhitecturale: DevSecOps care generează dovezi de acreditare ca efect secundar, rețele militare zero-trust, integritatea SBOM și a lanțului de aprovizionare, alinierea ISO 27001 și AQAP-2110 și postura de conformitate continuă care menține stack-ul cyber acreditat pe durate de viață operaționale de 15-20 de ani.