שער חד כיווני: כשהפרדה לוגית בין רשתות תקשורת אינה מספקת

הדרישה הגוברת לביטחון רשתות OT ורשתות מסווגות הוביל בשנים האחרונות לשימוש הולך וגדל באמצעי פיזי להפרדת רשתות תקשורת/מידע, המאפשר יישום תקשורת חד כיוונית מנוטרת ובטוחה בין רשתות

20/04/2021 12:44
גיא חורש, מהנדס פריסייל בחברת בינת תקשורת מחשבים. צילום: יח"צ

שנת 2020 תיזכר בעיקר בשל התפרצות נגיף ה-COVID19. שנה זו גם חידדה את התלות של האנושות, הכלכלה והייצור ביכולות המחשוב, ובמקביל התעצמה הרגישות לשיבושים כתוצאה מטעויות או מפעולות זדוניות – אלה התעצמו מאוד במהלך 2020 וברבעון הראשון של 2021.

התלות הגדלה בפעולה תקינה של בקרים אוטומטיים לביצוע פעולות תפעול בתחומי האנרגיה, הבריאות, התחבורה, המים, המזון, הביטחון וברשתות תקשורת – שבהן השפעה של שיבוש או הפסקת פעולה עלולה לעלות בכסף רב במקרה הטוב, ובחיי אדם במקרה הפחות טוב – הופכת רכיבים אלו לקריטיים מתמיד ומגדילה את הצורך באבטחתם.

על אף שימוש באמצעי אבטחת מידע והגנת סייבר מתקדמים, הכוללים שימוש בבינה מלאכותית ובלמידת מכונה, תוקפים ופורצים מצליחים לחדור לארגונים, גם כאלה שהשקיעו הון רב בטכנולוגיות הגנה. התפיסה "זה לא עניין של אם, אלה מתי ארגון יחווה פריצה" רק התחזקה במהלך השנה החולפת.

הדרישה הגוברת לביטחון רשתות OT ורשתות מסווגות הוביל בשנים האחרונות לשימוש הולך וגדל באמצעי פיזי להפרדת רשתות תקשורת/מידע (Unidirectional Gateway – שער חד כיווני), המאפשר יישום תקשורת חד כיוונית מנוטרת ובטוחה בין רשתות. השימוש בשער חד כיווני מאפשר ביצוע אינטגרציה בטוחה בין רשתות IT  ו-OT, כזו המאפשרת שליטה ברשתות הIndustrial-.

בעוד נתבי תקשורת מאפשרים יישום של הפרדת כתובות ברשתות תקשורת, רכיבי Firewall ומתגים הפועלים בשכבה 3 מאפשרים הפרדה לוגית של רשתות וקביעת פרוטוקולים שיעברו/ייחסמו ברשת, ואף ביצוע בדיקה או חסימה של תוכן המידע המועבר בתווך, מה שמאפשר להגן על הארגון מפני כניסת תוקפים, אבל הם אינם מסוגלים להגן מפני תקשורת חוזרת (כמו Acknowledge), הנדרשת לפעילות תקינה של פרוטוקול TCP אך עלולה להיות מנוצלת על ידי תוקפים.

מה קורה אם שימוש ברכיב Firewall אינו "בטוח" דיו, או אינו עונה לדרישות אבטחת המידע?

בשנים האחרונות חווינו האצה וגידול משמעותיים בחיבור רשתות תקשורת ורשתות המכילות רכבי OT. רשתות IoT איחדו בין העולמות ואפשרו חיבור ושליטה של רכיבי IT ברכיביOT , דוגמת בקרים המשמשים החל מתעשיות מסורתיות, דרך פקדים שונים ברשתות החשמל ואף במוצרים הנמצאים בבית, כמו מזגן ומקרר.

השער החד כיווני

שער חד כיווני מחליף את רכיב ה-Firewall ברשתות תעשייתיות ורשתות רגישות ומספק רמת אבטחה מוחלטת מפני התקפות שמקורם ברשת חיצונית (השער החד כיווני קוטע את התקשורת ואינו מאפשר החזרה או הוצאה של מידע מהרשת המוגנת).

במקביל לקטיעת התקשורת החוזרת, שער חד כיווני מאפשר לארגון נראות, לצד ניטור של התקשורת העוברת דרך השער בין רשת ה-IT לרשת ה-OT, הדבר מושג באמצעות התוכנה המתקשרת עם חומרת השער החד כיווני. כתוצאה מכך, שער חד כיווני מהווה תחליף ל-Firewall ברשתות תעשייתיות, אך ללא הסיכונים ותקורות התחזוקה הנלוות לתפעול רכיב Firewall בארגון.

שער חד כיווני מאפשר אכיפת הפרדה פיזית בין רשתות, קטיעת שרשרת מתקפות מרשת חיצונית ויצירה של הגנה גבוהה מזו שניתן להשיג באמצעות שימוש ב-Firewall.

כיצד שער חד כיווני עובד?

ההפרדה הפיזית מושגת באמצעות שימוש ברכיבי תוכנה וחומרה שתפקידם להפריד בין הרשתות, לדוגמה: שימוש במודולים אופטיים שאינם מאפשרים חזרת מידע לאחור. אלו ממירים את תקשורת המבוססת TCP/IP לפרוטוקול אופטי ומשדרים אותות אופטיים באמצעות משדרים. בנוסף, רכיבי התוכנה מוודאים את תקינותו ושלמותו של המידע המועבר מרשת אחת לרשת השנייה, זאת מבלי להזדקק למידע חוזר, גם לא ל-Acknowledge על העברת Packets התקשורת.

שערים חד כיוונים אינם מוגבלים לחיבור רשתות מקומיות בלבד. קיימים פתרונות המאפשרים עבודה מול סביבת הענן, ובכך מתאפשר לחבר סביבות היברידיות לסביבת ה-OT או לרשת שפעילותה קריטית. בתסריט הפוך, שימוש בשער חד כיווני מרשת ה-OT לרשת הארגונית או הענן מאפשר לארגון התגוננות מפני  מעבר של מתקפות, כגון וירוסים, DDOS ומתקפות רשת אחרות, מרשת ה-ICS לרשת המוגנת.

 

הכותב הוא מהנדס פריסייל בחברת בינת תקשורת מחשבים.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים