Inwentaryzacja zasobów w środowisku ICS - fundament cyberbezpieczeństwa OT
Inwentaryzacja zasobów ICS/OT - metody (manualna, pasywna, aktywna), narzędzia, wymagania IEC 62443 i NIST. Jak zbudować rejestr zasobów OT krok po kroku.
W środowiskach OT systemy ICS mają cykl życia mierzony w dekadach. Przez ten czas instalacje przechodzą modernizacje, wymiany komponentów i integracje z nowymi systemami - a dokumentacja nie nadąża. Z naszych doświadczeń wynika, że aktualna wiedza o architekturze i konfiguracji środowiska OT często istnieje wyłącznie w głowach kluczowych pracowników.
Inwentaryzacja zasobów sprzętowych i programowych jest pierwszym krokiem w każdym programie cyberbezpieczeństwa OT. Bez aktualnego rejestru zasobów nie można ocenić, czy opublikowana podatność dotyczy urządzeń w instalacji. Nie można zaprojektować segmentacji sieci opartej na rzeczywistej topologii ani wdrożyć polityk zdalnego dostępu dopasowanych do posiadanego środowiska. Brak inwentaryzacji blokuje też spełnienie wymagań IEC 62443 i NIS2/KSC.
organizacji inwestuje w widoczność zasobów OT (priorytet nr 1)
ocen Dragos - brak widoczności w sieciach OT
organizacji bez scentralizowanej inwentaryzacji zdalnego dostępu OT
wymaganych atrybutów zasobu OT wg wytycznych CISA/NSA/FBI
Źródło: SANS State of ICS/OT Security 2025, Dragos 2026 OT Cybersecurity Year in Review, CISA Asset Inventory Guidance (sierpień 2025)
Dlaczego inwentaryzacja OT jest trudniejsza niż w IT
W sieciach korporacyjnych inwentaryzacja jest zautomatyzowana - Active Directory, SCCM, agenty endpoint. W OT standardowe narzędzia IT nie działają, a próba ich użycia może zakłócić proces produkcyjny. Główne wyzwania:
| Wyzwanie | Opis | Konsekwencja |
|---|---|---|
| Brak agentów | Sterowniki PLC, RTU, urządzenia pomiarowe nie obsługują agentów software’owych | Nie można zainstalować oprogramowania inwentaryzacyjnego na urządzeniach OT |
| Protokoły własnościowe | Wiele urządzeń komunikuje się protokołami serial (Modbus RTU, PROFIBUS) niewizualnymi w sieci Ethernet | Pasywne nasłuchiwanie ruchu sieciowego nie wykryje urządzeń poniżej warstwy Ethernet |
| Wrażliwość na skanowanie | Aktywne skanowanie (np. Nmap) może spowodować awarię starszych sterowników PLC | Metody inwentaryzacji aktywnej wymagają starannego planowania i okna serwisowego |
| Długi cykl życia | Urządzenia pracują 15-25 lat, dokumentacja z momentu instalacji jest nieaktualna | Wersje firmware, konfiguracja sieci, adresy IP mogły się zmienić wielokrotnie |
| Izolowane segmenty | Niektóre podsieci OT nie mają łączności z siecią korporacyjną (air gap) | Narzędzia automatyczne nie mają dostępu do wszystkich segmentów |
Trzy metody inwentaryzacji
Wybór metody zależy od celu inwentaryzacji, akceptowalnego poziomu inwazyjności i dostępnych zasobów. W praktyce najskuteczniejsze jest łączenie wszystkich trzech metod.
Metoda manualna (spis z natury)
Spis z natury to jedyna metoda, która obejmuje wszystkie urządzenia - nie tylko te podłączone do sieci Ethernet, ale też urządzenia na magistralach fieldbus (Modbus RTU, PROFIBUS, HART), urządzenia autonomiczne i komponenty bez komunikacji sieciowej. Wymaga fizycznej obecności na obiekcie i znajomości schematów P&ID (Piping and Instrumentation Diagram).
TIP
Przy spisie z natury przygotuj formularz z polami: nazwa urządzenia, producent, model, numer seryjny, wersja firmware, adres sieciowy (IP lub adres na magistrali), lokalizacja fizyczna (budynek/szafa/slot), funkcja w procesie. Dopasuj formularz do specyfiki instalacji. Uzupełnij o zdjęcia tabliczek znamionowych - wersja firmware z tabliczki jest pewniejsza niż z dokumentacji.
Zalety: kompletność, brak wpływu na proces, możliwość weryfikacji stanu fizycznego. Ograniczenia: czasochłonność, wymaga dostępu fizycznego, dane szybko się dezaktualizują.
Metoda automatyczna pasywna
Inwentaryzacja pasywna polega na agregacji i analizie ruchu sieciowego bez inicjowania komunikacji z urządzeniami. Narzędzie monitorujące podłącza się do portu mirror (SPAN) na przełączniku i nasłuchuje pakietów. Na podstawie analizy nagłówków, metadanych i protokołów buduje listę urządzeń komunikujących się w sieci.
Metoda pozwala na wykrycie: adresów IP i MAC, wykorzystywanych protokołów (w tym przemysłowych - Modbus TCP, OPC, S7comm, EtherNet/IP), nagłówków zawierających informacje o producencie i modelu, oraz wzorców komunikacji między urządzeniami.
NOTE
Inwentaryzacja pasywna wykrywa tylko urządzenia, które komunikowały się w czasie analizy. Urządzenia uśpione, komunikujące się rzadko lub podłączone do oddzielnych segmentów nie zostaną wykryte. Czas nasłuchiwania powinien obejmować pełny cykl operacyjny instalacji (typowo 1-4 tygodni).
Zalety: nieinwazyjna, nie wymaga okna serwisowego, buduje jednocześnie baseline komunikacji (przydatny do IDS). Ograniczenia: wykrywa tylko aktywne urządzenia, nie ustala wersji firmware, wymaga rekonfiguracji przełącznika (SPAN port).
Metoda automatyczna aktywna (selektywna)
Inwentaryzacja aktywna wysyła zapytania do pojedynczych urządzeń OT - wykorzystując interfejsy i protokoły przeznaczone do parametryzacji (te same, których używa oprogramowanie inżynierskie). Dzięki temu uzyskuje znacznie pełniejsze informacje: model, numer seryjny, wersja firmware, skonfigurowane usługi, dane diagnostyczne, logi.
WARNING
Inwentaryzacja aktywna jest bardziej inwazyjna niż pasywna. Przed uruchomieniem skanowania aktywnego należy: uzyskać zgodę operatora procesu, przeprowadzić test na identycznym urządzeniu w środowisku laboratoryjnym, zaplanować okno serwisowe, przygotować procedurę rollback i mieć kontakt do wsparcia producenta sterownika.
Zalety: pełna informacja o wersjach (niezbędna do zarządzania podatnościami), wykrywa urządzenia niewysyłające ruchu. Ograniczenia: wymaga okna serwisowego, potencjalny wpływ na starsze urządzenia, nie obejmuje urządzeń serial/fieldbus.
Porównanie metod
| Kryterium | Manualna | Pasywna | Aktywna |
|---|---|---|---|
| Kompletność | Pełna (w tym fieldbus) | Tylko urządzenia sieciowe aktywne | Urządzenia sieciowe (w tym uśpione) |
| Szczegółowość | Zależy od formularza | Podstawowa (IP, MAC, protokoły) | Pełna (firmware, config, logi) |
| Inwazyjność | Brak | Minimalna (SPAN port) | Umiarkowana (zapytania do urządzeń) |
| Automatyzacja | Brak | Ciągła | Okresowa |
| Wymagane okno serwisowe | Nie | Nie (ale rekonfiguracja switcha) | Tak |
| Zastosowanie | Baseline, spis z natury | IDS, monitoring ciągły, baseline ruchu | Zarządzanie podatnościami, audyt |
Narzędzia do automatycznej inwentaryzacji OT
Rynek narzędzi do inwentaryzacji OT rozwinął się znacząco od 2020 roku. Poniżej porównanie wiodących rozwiązań - podajemy je jako informację o dostępnych opcjach na rynku:
| Narzędzie | Metody | Protokoły OT | Dodatkowe funkcje |
|---|---|---|---|
| Tenable OT (dawniej Indegy) | Pasywna + aktywna selektywna | Modbus, S7, OPC, EtherNet/IP, PROFINET, BACnet | Zarządzanie podatnościami, compliance IEC 62443, SBOM |
| Nozomi Networks Guardian | Pasywna + aktywna (Smart Polling) | 100+ protokołów OT/IoT | Anomaly detection, threat intelligence, OT/IoT visibility |
| Claroty xDome | Pasywna + aktywna (AppDB) | Modbus, S7, OPC UA, DNP3, EtherNet/IP | Risk scoring, secure remote access, SRA integration |
| Dragos Platform | Pasywna | Modbus, S7, OPC, DNP3, IEC 104 | Threat detection, playbooks, ICS threat intelligence |
| OTORIO RAM2 | Pasywna + aktywna | Modbus, S7, OPC UA, BACnet | Risk assessment, attack graph, mitigation prioritization |
TIP
Przy wyborze narzędzia kluczowe pytania to: czy obsługuje protokoły stosowane w naszej instalacji (np. PROFIBUS, BACnet dla budynków), czy metoda aktywna została przetestowana z urządzeniami konkretnych producentów (Siemens, Rockwell, Schneider), oraz czy narzędzie integruje się z istniejącym SIEM/SOC. Przed zakupem poproś o proof-of-concept w środowisku testowym lub na niewielkim segmencie produkcyjnym.
Wymagania norm i regulacji
IEC 62443
IEC 62443-2-1 wymaga ustanowienia i utrzymywania inwentaryzacji zasobów IACS (Industrial Automation and Control System) jako elementu systemu zarządzania cyberbezpieczeństwem. Norma wymaga identyfikacji wszystkich zasobów sprzętowych i programowych, klasyfikacji zasobów według krytyczności i przypisania zasobów do stref bezpieczeństwa (zones) zdefiniowanych w IEC 62443-3-2.
NIST SP 800-82 Rev. 3 i CISA Asset Inventory Guidance
NIST SP 800-82 Rev. 3 wskazuje inwentaryzację zasobów jako fundament programu bezpieczeństwa OT. 13 sierpnia 2025 CISA opublikowała wspólne wytyczne “Foundations for OT Cybersecurity: Asset Inventory Guidance” (współpodpisane przez NSA, FBI, EPA oraz agencje z Australii, Kanady, Niemiec, Holandii i Nowej Zelandii).
Wytyczne definiują 14 wymaganych atrybutów dla każdego zasobu OT:
| Nr | Atrybut | Opis |
|---|---|---|
| 1 | Active communication protocols | Protokoły komunikacyjne używane przez zasób |
| 2 | Asset criticality | Krytyczność zasobu dla procesu |
| 3 | Asset number | Unikalny identyfikator |
| 4 | Asset role/type | Rola w procesie (PLC, HMI, RTU, switch) |
| 5 | Hostname | Nazwa hosta w sieci |
| 6 | IP address | Adres IP |
| 7 | Logging configuration | Konfiguracja logowania zdarzeń |
| 8 | MAC address | Adres fizyczny |
| 9 | Manufacturer | Producent |
| 10 | Model | Model urządzenia |
| 11 | Operating system | System operacyjny / firmware |
| 12 | Physical location | Lokalizacja fizyczna (budynek/szafa/slot) |
| 13 | Ports/services | Otwarte porty i usługi |
| 14 | User accounts | Konta użytkowników z dostępem |
TIP
Wytyczne CISA powstały na podstawie 8 sesji roboczych z udziałem 33 ekspertów z agencji rządowych i sektora prywatnego. Można je wykorzystać jako punkt wyjścia do budowy rejestru zasobów OT - nawet jeśli organizacja nie podlega bezpośrednio regulacjom amerykańskim, 14 atrybutów stanowi dobrą praktykę branżową.
NIS2 / KSC
Dyrektywa NIS2 (transpozycja: KSC w Polsce) wymaga od podmiotów kluczowych i ważnych wdrożenia polityk analizy ryzyka - co jest niemożliwe bez aktualnej inwentaryzacji zasobów. Bez aktualnego rejestru zasobów nie można przeprowadzić analizy ryzyka wymaganej przez NIS2. Podmiot, który nie potrafi wykazać podstawy do tej oceny, jest narażony na stwierdzenie niezgodności podczas kontroli.
CIS Controls v8
CIS Control 1 (Inventory and Control of Enterprise Assets) to pierwszy i najwyższy priorytet. Dla OT oznacza to: prowadzenie rejestru wszystkich urządzeń podłączonych do sieci, identyfikację nieautoryzowanych urządzeń i możliwość blokowania dostępu nieznanym urządzeniom (NAC).
WARNING
Bez aktualnego rejestru zasobów nie można ocenić, czy opublikowana podatność (np. w sterowniku Siemens S7-1500 lub Schneider M340) dotyczy urządzeń w Twojej instalacji. Raport Dragos 2026 wskazuje, że 25% porad ICS-CERT i NVD miało nieprawidłowe oceny CVSS, a 26% porad nie zawierało poprawki od producenta. Jedynym sposobem na priorytetyzację podatności jest znajomość dokładnych wersji firmware urządzeń - co wymaga aktywnej inwentaryzacji. Mapowanie zasobów na techniki MITRE ATT&CK for ICS pozwala dodatkowo ocenić, które urządzenia są narażone na konkretne scenariusze ataku.
Jak zbudować program inwentaryzacji OT - krok po kroku
| Etap | Działanie | Wynik | Narzędzia |
|---|---|---|---|
| 1. Spis z natury | Fizyczna wizyta na obiekcie, weryfikacja dokumentacji P&ID, formularz inwentaryzacyjny | Baseline - lista wszystkich urządzeń | Arkusz kalkulacyjny, zdjęcia, formularze |
| 2. Inwentaryzacja pasywna | Podłączenie sensora do SPAN portu, nasłuchiwanie 2-4 tygodnie | Mapa komunikacji sieciowej, wykryte urządzenia Ethernet | Nozomi Guardian, Tenable OT, Claroty |
| 3. Inwentaryzacja aktywna | Selektywne skanowanie w oknie serwisowym | Pełne dane o wersjach firmware, konfiguracji, podatnościach | Tenable OT, Claroty, Nozomi Smart Polling |
| 4. Konsolidacja | Połączenie danych z 3 metod, uzupełnienie braków | Kompletny rejestr zasobów OT | CMDB / dedykowane narzędzie |
| 5. Klasyfikacja | Przypisanie zasobów do stref IEC 62443, określenie krytyczności | Zasoby sklasyfikowane według ryzyka | Matryca krytyczności |
| 6. Utrzymanie | Ciągły monitoring pasywny + okresowe skany aktywne + procedura rejestracji zmian | Aktualny rejestr zasobów | Automatyzacja + proces MOC |
TIP
Rejestr zasobów OT powinien zawierać minimum: identyfikator, lokalizację fizyczną, producent/model/numer seryjny, wersja firmware/OS, adres sieciowy, strefa IEC 62443, krytyczność, data ostatniej weryfikacji, właściciel zasobu. Dla urządzeń fieldbus dodaj: adres na magistrali, typ protokołu, master/slave. Aktualizuj rejestr przy każdej zmianie (procedura Management of Change).
Mapowanie kontroli NIST SP 800-53
| Działanie | Kontrola NIST SP 800-53 | Opis |
|---|---|---|
| Rejestr zasobów sprzętowych | CM-8 | System Component Inventory |
| Rejestr oprogramowania | CM-8(3) | Automated Unauthorized Component Detection |
| Wykrywanie nieautoryzowanych urządzeń | CM-8(3), IA-3 | Device Identification and Authentication |
| Klasyfikacja krytyczności | RA-2 | Security Categorization |
| Zarządzanie zmianami | CM-3 | Configuration Change Control |
| Zarządzanie podatnościami | RA-5, SI-2 | Vulnerability Monitoring, Flaw Remediation |
| Kontrola dostępu do sieci (NAC) | AC-3, IA-3 | Access Enforcement, Device I&A |
Źródło: NIST SP 800-53 Rev. 5.
Źródła
- NIST SP 800-82 Rev. 3 “Guide to OT Security” (2023)
- IEC 62443-2-1 “Security Management System for IACS”
- NIST SP 800-53 Rev. 5
- CIS Controls v8 - Control 1: Inventory and Control of Enterprise Assets
- CISA ICS Recommended Practices
- CISA “Foundations for OT Cybersecurity: Asset Inventory Guidance” (sierpień 2025)
- SANS State of ICS/OT Security 2025
- Dragos 2026 OT Cybersecurity Year in Review