Na rynku są rozwiązania klasy IPS umożliwiające filtrowanie ruchu przechodzącego przez urządzenia automatyki przemysłowej, które komunikują się przy wykorzystaniu TCP/IP. Aby taka konfiguracja zapewniała bezpieczeństwo, inspekcji musi podlegać każdy ruch, także ten, który odbywać się będzie od laptopa serwisanta do kontrolerów. W praktyce można to łatwo zrobić, konfigurując ruch na poziomie przełączników sieciowych. Zatem połączenie przewidziane dla serwisanta, nawet jeśli gniazdo Ethernet znajduje się fizycznie przy kontrolerze, jest skonfigurowane tak, by ruch musiał przechodzić przez sondę urządzenia detekcji ataków – zapewnia to konfiguracja wirtualnych podsieci. Metoda ma wiele zalet: jest przezroczysta dla serwisanta, zapewnia radykalną redukcję ryzyka infekcji wrażliwych systemów, nie wprowadza dużych opóźnień ruchu sieciowego. Aby zmniejszyć ryzyko zdalnego przejęcia kontroli nad komputerem sterującym, należy unikać podłączania zewnętrznych urządzeń.

Windows w dotykowym panelu

W systemach automatyki przemysłowej spotyka się okrojone systemy operacyjne Microsoft Windows, w których pracuje dedykowane oprogramowanie. Do ochrony systemów nie stosuje się oprogramowania antywirusowego znanego z typowych stacji roboczych, ale dedykowane narzędzia zabezpieczające. Przyczyną jest niewielka wydajność obliczeniowa tych komputerów, która nie wystarczy do obsługi działającego tam oprogramowania po instalacji typowych antywirusów. Dedykowane oprogramowanie ma za zadanie utwardzić osadzone systemy Windows przy jak najmniejszym ich obciążeniu, przy czym nie stanowi ochrony antywirusowej w tradycyjnym rozumieniu tego słowa.

„Celem jest zabezpieczenie przed wykorzystaniem luki w systemach i aplikacjach nawet wtedy, gdy taka podatność się w nich znajduje. Utwardzenie to odbywa się od strony systemu operacyjnego i wychodzi poza to, co proponuje Microsoft w poradach dotyczących hardeningu” – wyjaśnia Maciej Iwanicki.

Ataki nie tylko dnia zerowego

Do przełamania zabezpieczeń przeważnie wykorzystuje się podatności, które jeszcze nie zostały usunięte przez aktualizacje wydane przez producenta systemu lub aplikacji. O ile serwery i stacje robocze są aktualizowane często, nie można tego powiedzieć o narzędziach automatyki przemysłowej. W tych systemach pracuje specyficzne oprogramowanie, dedykowane dla konkretnej platformy. Z reguły jest to aplikacja pracująca w starszej wersji systemu operacyjnego i zwykle spotyka się zarządzanie za pomocą aplikacji napisanej pod kątem systemu Windows 2000 lub Windows XP. Mimo że przykładowy system Windows 2000 dawno wyszedł ze wsparcia technicznego i nie są wydawane do niego żadne poprawki bezpieczeństwa, sterowanie robotem przemysłowym nadal musi działać tak samo niezawodnie, jak wtedy, gdy kupowano to urządzenie. Dostawcy rozwiązań zabezpieczających muszą uwzględnić także stare systemy eksploatowane o wiele dłużej, niż zakładał to ich producent, w tym przypadku firma Microsoft. Zadanie jest o wiele trudniejsze, niż się wydaje, gdyż wymaga analizy podatności starych systemów pod kątem nowych ataków. Lista podatności starego systemu jest znacznie dłuższa niż nowego, choćby ze względu na brak aktualizacji.