Firewalle następnej generacji - więcej niż ochrona przedsiębiorstwa

Jakie są zagrożenia dla sieci przemysłowych ICS/SCADA oraz sieci mobilnych wykorzystujących protokół GTP. Czy można im zapobiec wykorzystując zapory sieciowe NGFW? Na pytania te odpowiadał podczas konferencji SEMAFOR 2018 Robert Dąbrowski z Fortinet.

W miarę ekspansji sieci IP na obszary wykraczające poza przedsiębiorstwa pojawiła się potrzeba kontroli ruchu w strukturach przemysłowych oraz operatorów telekomunikacyjnych. Od współczesnych zapór NGFW wymaga się nie tylko rozpoznawania i zabezpieczania aplikacji w internecie czy sieciach firm, ale także aktywnej ochrony protokołów wykorzystywanych do sterowania procesami produkcyjnymi oraz przepływem danych w sieciach mobilnych.

Podczas konferencji SEMAFOR 2018, Robert Dąbrowski, SE Manager w firmie Fortinet przedstawił zagrożenia związane z atakami na sieci przemysłowe i sieci mobilne należące do operatorów telekomunikacyjnych, a także możliwości ich zabezpieczania przy wykorzystaniu zapór sieciowych NGFW (Next Generation FireWall).

Zobacz również:

Sieci przemysłowe ICS i SCADA

Systemy ICS (Industrial Control Systems) są wykorzystywane w przemyśle do kontroli procesów produkcyjnych, zdalnego monitorowania działania infrastruktury (np. sieci energetycznych, rurociągów itd.) oraz automatyzacji niektórych procesów. Ich podstawowym elementem są systemy SCADA (Supervisory Control And Data Acquisition) służące do pobierania danych z różnych czujników zainstalowanych w infrastrukturze i przesyłających je do centralnych systemów zarządzających.

W ogólności ICS/SCADA wchodzą w skład technologii określanych jako OT (Operational Technology) czyli sprzętu oraz oprogramowania zarządzającego urządzeniami fizycznymi i procesami.

Obserwowana od pewnego czasu konwergencja systemów IT oraz OT spowodowała, że konieczna się stało nowe podejście do mechanizmów mających zabezpieczać dostęp i komunikację w rozwiązaniach ICS/SCADA, uważa Robert Dąbrowski.

Ewolucja systemów OT (Operational Technology)

Systemy OT w przeszłości…

- odizolowane od systemów IT

- wykorzystywały dedykowane protokoły

- wykorzystywały dedykowane połączenia

- stosowały specjalizowany sprzęt i dedykowane systemy operacyjne

Systemy OT dziś…

- stosują tunelowanie transmisji danych przez sieci korporacyjne

- wykorzystują standardowe protokoły

- wykorzystują standardowe sieci, na przykład Wi-Fi

- pracują przy zastosowaniu sprzętu i systemów operacyjnych ogólnego przeznaczenia

W przeszłości systemy OT były z zasady odizolowane od internetu i sieci IT, wykorzystywały dedykowane protokoły i łącza oraz firmowe, specjalizowane urządzenia i systemy operacyjne. To znacznie utrudniało przeprowadzenie skutecznych ataków i wymagało od przestępców zaawansowanej wiedzy technicznej.

Obecnie OT wykorzystuje tunelowanie transmisji danych przez sieci korporacyjne, standardowe powszechnie wykorzystywane protokoły i sieci, a także urządzenia i systemy operacyjne ogólnego przeznaczenia.

W efekcie systemy ICS/SCADA stały się znacznie łatwiejszym, a także bardziej niż kiedyś atrakcyjnym celem dla cyberprzestępców. A bezpieczeństwo sieci przemysłowych zależy od poziomu ochrony przesyłanych w nich wiadomości.

Podstawowe komponenty systemu SCADA

HMI (Human-Machine Interface): interfejs umożliwiający prezentację zebranych danych i interakcję operatora z systemem.

SCADA Master: moduł zarządzający kolekcjonowaniem danych i kontrolą procesów.

RTU (Remote Terminal Units): urządzenia obsługujące połączenia z czujnikami i przesyłające dane do kontrolera systemu.

PLC (Programmable Logic Controller): kontrolery programowalne coraz częściej używane zamiast dedykowanych urządzeń RTU ze względu na większą elastyczność i efektywność działania.

Najlepszym przykładem jest głośny, udany atak nie tak dawno przeprowadzony na ukraińskie systemy energetyczne. Najpierw cyberprzestępcy wykradli hasła dostępu do systemów sterujących ich pracą. Potem wykonali znacznie trudniejsze technicznie operacje. Przygotowali nowy firmware dla urządzeń kontrolujących sieć i zrobili jego upgrade. Wymagało to dobrego przygotowania i dostępu do informacji dotyczących specjalistycznego oprogramowania oraz najprawdopodobniej do tego samego typu urządzeń, jakie wykorzystywane były w systemie sterowania siecią energetyczną. Bo trzeba było sprawdzić czy po zainstalowaniu aktualizacji firmware urządzenia będą dalej funkcjonować.

Innym, najnowszym przykładem ewolucji i rozszerzania zakresu zagrożeń dotyczących systemów ICS/SCADA jest wiadomość ze stycznia 2018 roku informująca, że specjaliści ds. bezpieczeństwa wykryli blisko 150 podatności w mobilnych aplikacjach SCADA udostępnianych przez Google Play. Wynika z tego, że wykorzystanie standardowych smartfonów również może stwarzać okazję do ataku na sieci przemysłowe.

Pojawia się tu pytanie, co należy zrobić by zabezpieczyć się przed tego typu zagrożeniami. Robert Dąbrowski zaprezentował zestaw podstawowych rekomendacji pozwalających na istotne zwiększenie poziomu bezpieczeństwa systemów ICS/SCADA.

Trzeba wprowadzić segmentację sieci, mechanizmy szyfrowania połączeń, systemy kontroli dostępu oparte na rolach i zarządzające prawami użytkowników, urządzeń, aplikacji i protokołów, wykorzystywać bezpieczne sieci przewodowe i bezprzewodowe, stosować systemy do wykrywania podatności i szybkiej instalacji poprawek oraz narzędzia UEBA (User and Entity Behavior Analytics) do analizy behawioralnej.

UEBA to model uczenia maszynowego (sztuczna inteligencja) pozwalający na wykrywanie anomalii w systemie bezpieczeństwa. Oparte na nim narzędzia agregują dane z logów, raportów, monitorują ruch pakietów, plików i innych informacji przesyłanych w systemie, a następnie analizują dane próbując wykryć czy obserwowana aktywność i zachowania mogą być prawdopodobną oznaką przygotowania lub uruchomienia cyberataku.

Na większość przedstawionych problemów odpowiedzieć mogą nowoczesne modele zapór sieciowych NGFW wyposażonych w odpowiednie oprogramowanie. A prezentowany wyżej zestaw zabezpieczeń powinien zapewnić odporność na zdecydowaną większość potencjalnych ataków.

Rekomendowane zabezpieczenia

- Segmentacja sieci i szyfrowanie połączeń

- Szczegółowa kontrola dostępu uwzględniająca role użytkowników, urządzeń, aplikacji i protokołów

- Dobrze zabezpieczone sieci przewodowe i bezprzewodowe

- Efektywne wykrywanie i zarządzanie podatnościami oraz poprawkami bezpieczeństwa

- Instalacja narzędzi UEBA do analizy behawioralnej

Ochrona transmisji danych w sieciach telekomunikacyjnych

Zarówno z punktu widzenia bezpieczeństwa ICS/SCADA, jak i innych aplikacji ważnym elementem są sieci telekomunikacyjne. W tym przypadku ich ochrona przed atakami jest zadaniem operatora.

Zagrożenie stwarzają m.in. anomalie występujące w protokole GTP (GPRS Tunneling Protocol) mówi Robert Dąbrowski.

Pakiet GTP składa się z nagłówka, a następne informacje są prezentowane w formacie Type-Length-Value. Możliwe jest stworzenie pakietu GTP z nagłówkiem o długości niezgodnej z długością niezbędną do zaprezentowania kolejnych elementów informacyjnych. Oprócz tego atakujący może stworzyć pakiet z niewłaściwą długością elementów informacyjnych. Może to spowodować, że stosy protokołów zaalokują niewłaściwe ilości pamięci powodując zawieszenia systemu lub przepełnienie bufora.

Inny problem stwarza APN (Access Point Name), element zawarty w nagłówku pakietów GTP zawierający informacje o tym jak można uzyskać dostęp do sieci. Prezentuje on nazwy identyfikujące sieć (Network ID) oraz jej operatora (Operator ID). APN może być dostarczony przez stację mobilną lub sieć z niezweryfikowaną subskrypcją.

Najbezpieczniejszą metodą blokowania nieautoryzowanego użycie APN jest wymuszenie weryfikacji subskrypcji przesłanego APN. Można też wykorzystywać listy black/white zawierające odpowiednie nazwy APN.

Na szczęście większość problemów związanych z bezpieczeństwem sieci mobilnych można rozwiązać wdrażając odpowiednie zapory sieciowe NGFW kontrolujące sesje GTP.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona


TOP 200