W miarę ekspansji sieci IP na obszary wykraczające poza przedsiębiorstwa pojawiła się potrzeba kontroli ruchu w strukturach przemysłowych oraz operatorów telekomunikacyjnych. Od współczesnych zapór NGFW wymaga się nie tylko rozpoznawania i zabezpieczania aplikacji w internecie czy sieciach firm, ale także aktywnej ochrony protokołów wykorzystywanych do sterowania procesami produkcyjnymi oraz przepływem danych w sieciach mobilnych.

Podczas konferencji SEMAFOR 2018, Robert Dąbrowski, SE Manager w firmie Fortinet przedstawił zagrożenia związane z atakami na sieci przemysłowe i sieci mobilne należące do operatorów telekomunikacyjnych, a także możliwości ich zabezpieczania przy wykorzystaniu zapór sieciowych NGFW (Next Generation FireWall).

Sieci przemysłowe ICS i SCADA

Systemy ICS (Industrial Control Systems) są wykorzystywane w przemyśle do kontroli procesów produkcyjnych, zdalnego monitorowania działania infrastruktury (np. sieci energetycznych, rurociągów itd.) oraz automatyzacji niektórych procesów. Ich podstawowym elementem są systemy SCADA (Supervisory Control And Data Acquisition) służące do pobierania danych z różnych czujników zainstalowanych w infrastrukturze i przesyłających je do centralnych systemów zarządzających.

W ogólności ICS/SCADA wchodzą w skład technologii określanych jako OT (Operational Technology) czyli sprzętu oraz oprogramowania zarządzającego urządzeniami fizycznymi i procesami.

Obserwowana od pewnego czasu konwergencja systemów IT oraz OT spowodowała, że konieczna się stało nowe podejście do mechanizmów mających zabezpieczać dostęp i komunikację w rozwiązaniach ICS/SCADA, uważa Robert Dąbrowski.

W przeszłości systemy OT były z zasady odizolowane od internetu i sieci IT, wykorzystywały dedykowane protokoły i łącza oraz firmowe, specjalizowane urządzenia i systemy operacyjne. To znacznie utrudniało przeprowadzenie skutecznych ataków i wymagało od przestępców zaawansowanej wiedzy technicznej.

Obecnie OT wykorzystuje tunelowanie transmisji danych przez sieci korporacyjne, standardowe powszechnie wykorzystywane protokoły i sieci, a także urządzenia i systemy operacyjne ogólnego przeznaczenia.

W efekcie systemy ICS/SCADA stały się znacznie łatwiejszym, a także bardziej niż kiedyś atrakcyjnym celem dla cyberprzestępców. A bezpieczeństwo sieci przemysłowych zależy od poziomu ochrony przesyłanych w nich wiadomości.

Najlepszym przykładem jest głośny, udany atak nie tak dawno przeprowadzony na ukraińskie systemy energetyczne. Najpierw cyberprzestępcy wykradli hasła dostępu do systemów sterujących ich pracą. Potem wykonali znacznie trudniejsze technicznie operacje. Przygotowali nowy firmware dla urządzeń kontrolujących sieć i zrobili jego upgrade. Wymagało to dobrego przygotowania i dostępu do informacji dotyczących specjalistycznego oprogramowania oraz najprawdopodobniej do tego samego typu urządzeń, jakie wykorzystywane były w systemie sterowania siecią energetyczną. Bo trzeba było sprawdzić czy po zainstalowaniu aktualizacji firmware urządzenia będą dalej funkcjonować.

Innym, najnowszym przykładem ewolucji i rozszerzania zakresu zagrożeń dotyczących systemów ICS/SCADA jest wiadomość ze stycznia 2018 roku informująca, że specjaliści ds. bezpieczeństwa wykryli blisko 150 podatności w mobilnych aplikacjach SCADA udostępnianych przez Google Play. Wynika z tego, że wykorzystanie standardowych smartfonów również może stwarzać okazję do ataku na sieci przemysłowe.

Pojawia się tu pytanie, co należy zrobić by zabezpieczyć się przed tego typu zagrożeniami. Robert Dąbrowski zaprezentował zestaw podstawowych rekomendacji pozwalających na istotne zwiększenie poziomu bezpieczeństwa systemów ICS/SCADA.

Trzeba wprowadzić segmentację sieci, mechanizmy szyfrowania połączeń, systemy kontroli dostępu oparte na rolach i zarządzające prawami użytkowników, urządzeń, aplikacji i protokołów, wykorzystywać bezpieczne sieci przewodowe i bezprzewodowe, stosować systemy do wykrywania podatności i szybkiej instalacji poprawek oraz narzędzia UEBA (User and Entity Behavior Analytics) do analizy behawioralnej.

UEBA to model uczenia maszynowego (sztuczna inteligencja) pozwalający na wykrywanie anomalii w systemie bezpieczeństwa. Oparte na nim narzędzia agregują dane z logów, raportów, monitorują ruch pakietów, plików i innych informacji przesyłanych w systemie, a następnie analizują dane próbując wykryć czy obserwowana aktywność i zachowania mogą być prawdopodobną oznaką przygotowania lub uruchomienia cyberataku.

Na większość przedstawionych problemów odpowiedzieć mogą nowoczesne modele zapór sieciowych NGFW wyposażonych w odpowiednie oprogramowanie. A prezentowany wyżej zestaw zabezpieczeń powinien zapewnić odporność na zdecydowaną większość potencjalnych ataków.

Ochrona transmisji danych w sieciach telekomunikacyjnych

Zarówno z punktu widzenia bezpieczeństwa ICS/SCADA, jak i innych aplikacji ważnym elementem są sieci telekomunikacyjne. W tym przypadku ich ochrona przed atakami jest zadaniem operatora.

Zagrożenie stwarzają m.in. anomalie występujące w protokole GTP (GPRS Tunneling Protocol) mówi Robert Dąbrowski.

Pakiet GTP składa się z nagłówka, a następne informacje są prezentowane w formacie Type-Length-Value. Możliwe jest stworzenie pakietu GTP z nagłówkiem o długości niezgodnej z długością niezbędną do zaprezentowania kolejnych elementów informacyjnych. Oprócz tego atakujący może stworzyć pakiet z niewłaściwą długością elementów informacyjnych. Może to spowodować, że stosy protokołów zaalokują niewłaściwe ilości pamięci powodując zawieszenia systemu lub przepełnienie bufora.

Inny problem stwarza APN (Access Point Name), element zawarty w nagłówku pakietów GTP zawierający informacje o tym jak można uzyskać dostęp do sieci. Prezentuje on nazwy identyfikujące sieć (Network ID) oraz jej operatora (Operator ID). APN może być dostarczony przez stację mobilną lub sieć z niezweryfikowaną subskrypcją.

Najbezpieczniejszą metodą blokowania nieautoryzowanego użycie APN jest wymuszenie weryfikacji subskrypcji przesłanego APN. Można też wykorzystywać listy black/white zawierające odpowiednie nazwy APN.

Na szczęście większość problemów związanych z bezpieczeństwem sieci mobilnych można rozwiązać wdrażając odpowiednie zapory sieciowe NGFW kontrolujące sesje GTP.

Organizatorzy: Partner główny: Mecenasi: Partnerzy merytoryczni: Wystawcy: Patroni medialni: