Nie można wyciągnąć wtyczki

Co zrobić, jeśli w firmie znajdują się podsieci z urządzeniami szczególnie wrażliwymi na atak, takimi jak systemy SCADA, a zastosowanie powszechnie znanego rozwiązania separacji sieci nie jest możliwe.

Przez wiele lat nie było potrzeby wprowadzania specjalnych zabezpieczeń do środowisk automatyki przemysłowej, gdyż były to sieci całkowicie odseparowane. Gdy sieci IP stały się standardem rozpoczął się proces stopniowej migracji do połączeń za pomocą IP. Kolejnym etapem stało się wprowadzanie interfejsów webowych, które są łatwe w obsłudze i zapewniają kontrolę z dowolnego miejsca, także z innej sieci. Łatwość łączenia sieci IP oraz korzyści biznesowe sprawiają, że coraz częściej oba segmenty są ze sobą integrowane. Niekiedy odbywa się to z rażącym naruszeniem podstawowych zasad bezpieczeństwa. Powstanie dedykowanych wyszukiwarek, takich jak Shodan sprawia, że napastnik z łatwością wyszukuje podatne urządzenia i przy minimalnym wysiłku przeprowadza atak.

Głębokie ukrycie, które nic nie ukrywa

Interfejsy webowe są łatwe w integracji i firmy tę korzyść doceniają. Coraz częściej decydują się na dołączanie serwerów obsługujących systemy automatycznej obsługi procesów do sieci biurowej. Niekiedy systemy te są dostępne przez Internet, bez korzystania z wirtualnych sieci prywatnych. Niektóre działy IT uważają, że ukrycie adresu w gąszczu różnych usług ochroni portal przed atakiem. Jest to błędne mniemanie, gdyż w Internecie są obecne specjalne wyszukiwarki (takie jak Shodan), które mają na celu poszukiwanie konkretnych usług, platform lub wersji oprogramowania obsługującego portal webowy. Brak kontroli dostępu sprawia, że włamywacz nie musi przełamywać zabezpieczeń, wystarczy, by się połączył do atakowanego serwisu i uruchomił standardowe polecenia.

Zobacz również:

Krótki przegląd wyników wyszukiwania za pomocą wyszukiwarki Shodan udowadnia, że przez Internet dostępne są setki urządzeń. Interfejsy webowe takich urządzeń zostały dołączone do sieci, do której można połączyć się z Internetu, a same mechanizmy uwierzytelnienia są słabe, korzystają z domyślnych haseł lub zostały w ogóle wyłączone. Obecność dedykowanych wyszukiwarek sprawia, że przy udostępnianiu podobnych urządzeń partnerom należy korzystać wyłącznie z wirtualnych sieci prywatnych, stosując przy tym uznane zabezpieczenia techniczne i mocne uwierzytelnienie.

Wprowadzenie tych zasad ochrony sprawia, że włamanie od strony Internetu staje się o wiele trudniejsze, niż dotąd. Ponadto sam system nie jest widoczny dla okazjonalnych włamywaczy.

Wiedza powszechnie dostępna

Złożoność systemów automatyki przemysłowej i stosowane tam specyficzne narzędzia sprawiają, że ktoś związany wyłącznie z klasycznymi systemami IT może mieć problemy z rozpoznaniem połączeń, funkcji i rozwiązań. Nie jest to jednak już środowisko tak hermetyczne, jak było jeszcze kilka lat temu. Rozwój sieci społecznościowych oraz fora tematyczne sprawiają, że bardzo wiele informacji można pozyskać z powszechnie dostępnych źródeł. Na specjalizowanych forach aktywnie działają wysokiej klasy specjaliści, którzy w wielu przypadkach są doświadczonymi automatykami, dysponującymi dużą wiedzą. Pozyskanie wiedzy od takich ludzi nie jest szczególnie trudne, ponadto znacząca część stosowanych dziś rozwiązań posiada prosty interfejs użytkownika. Można zatem stwierdzić, że bariera wiedzy, niezbędna do przeprowadzenia udanego włamania do sieci automatyki przemysłowej, już nie istnieje.

Okna podatności

Podobnie, jak w klasycznych systemach IT, w przypadku automatyki przemysłowej również występuje zjawisko nazywane oknem podatności. Polega ono na tym, że po wykryciu luki (usługi, urządzenia, oprogramowania, całego rozwiązania) następuje atak za pomocą eksploita wykorzystującego daną podatność. Infrastruktura pozostaje jednak nadal podatna, do czasu, aż producent rozwiązania opracuje aktualizację usuwającą daną podatność i łata zostanie wprowadzona w danej sieci. W przypadku rozwiązań automatyki przemysłowej proces usuwania podatności trwa znacznie dłużej niż w zwykłych środowiskach IT.

Okno podatności systemów IT

Okno podatności systemów IT

W systemach osadzonych dość często mamy do czynienia z przypadkiem, w którym nie można usunąć luk w bezpieczeństwie systemów operacyjnych, nawet jeśli poprawki bezpieczeństwa (na przykład od Microsoftu) są od dawna dostępne. Barierą jest konieczność dokładnego przetestowania działających tam rozwiązań przez producenta systemów automatyki, co radykalnie przedłuża okres od ujawnienia informacji o podatności do wprowadzenia wydanych poprawek. Konflikty sprzętowe i programowe mają dość długą historię. W niektórych systemach nie można było wprowadzić istotnej poprawki Service Pack 2 do systemu Windows XP. Podobny przypadek w przeszłości dotyczył poprawki Service Pack 4 dla systemu Windows NT 4.0 oraz jednej z krytycznych poprawek bezpieczeństwa dla Windows 2000 - wprowadzenie poprawki powodowało załamanie aplikacji związanej z pracą jednego z robotów przemysłowych.

Problemem związanym z utrzymaniem sieci SCADA jest także długi planowany czas eksploatacji takich urządzeń. Panele oraz serwery korzystające z systemów takich jak Windows 2000 nadal można spotkać w wielu firmach mimo to, że system ten od pięciu lat nie otrzymuje poprawek bezpieczeństwa. Nie można jednak przeprowadzić migracji do nowszych wersji systemu, gdyż producent rozwiązania nie gwarantuje, że będzie ono działać poprawnie w najnowszych wydaniach systemu operacyjnego Windows. To samo dotyczy kompatybilności z systemami open source, które charakteryzują się jeszcze większą zmiennością spowodowaną bardzo szybkim tempem rozwoju.

Czy można „wyciągnąć wtyczkę”?

Chociaż naturalnym rozwiązaniem ochrony może być powrót do separacji (w tym osobne urządzenia i brak przenoszenia plików z zewnątrz), model ten nie będzie spełniać potrzeb biznesu. Zamknięcie dostępu do zasobów sieci technologicznych sprawia, że istniejące tam informacji nie będzie można analizować, a zatem nie da się wyzyskać wartości, która się w nich znajduje. Niemożliwe staje się antycypowanie problemów, poszukiwanie anomalii wskazujących na naturalne zużycie podzespołów lub nadchodzące problemy techniczne. Tymczasem analiza danych i konsultacje z partnerem technologicznym mogą przyczynić się do zmniejszenia kosztów eksploatacji urządzeń, a także pomóc przy unikaniu nieplanowanych przestojów.

Wyliczyć koszty, planować remonty, zarządzać ryzykiem

Pewne symptomy zbliżającej się awarii można z niedużym wyprzedzeniem określić przy pomocy analizy danych pochodzące z systemów technicznych. Integracja usług sprawia, że dział utrzymania może dokonać analizy ryzyka związanego z eksploatacją każdego newralgicznego elementu infrastruktury, na podstawie parametrów pracy może określić prawdopodobieństwo awarii, koszty przestojów i optymalnie zaplanować okna serwisowe. Analiza danych pochodzących z eksploatacji pod kątem planowania napraw przynosi istotne korzyści biznesowe w wielu branżach (m.in. w transporcie lotniczym, przy eksploatacji dużych centrów przetwarzania danych, a także w przemyśle).

Jak zabezpieczyć sieć technologiczną

Sieć technologiczna, w której pracują urządzenia automatyki przemysłowej zarządzające obsługą procesów technologicznych jest dość statyczna. Wszelkie zmiany wprowadzane są tam względnie wolno, model połączeń oraz stosowane protokoły są znane od początku wdrożenia i pozostają niezmienne przez lata. W takiej sieci obcego ruchu w ogóle być nie powinno i można z powodzeniem wprowadzić zasadę białych list, a także zdefiniować działanie punktów styku między siecią technologiczną a wydzieloną podsiecią IT. W tych punktach styku będzie odbywać się wymiana informacji między systemami zarządzania przedsiębiorstwem a serwerami w sieci technologicznej. Wprowadzanie zasady ograniczonego zaufania do pozostałych sieci umożliwia minimalizację ryzyka związanego z zagrożeniem cybernetycznym przychodzącym z tych obszarów, w których kontrola IT jest ograniczona.

Podobny model w praktyce zastosowała Energa-Operator, wdrażając zabezpieczenia sieci technologicznej TAN w ramach projektu BBS-TAN (bezpieczeństwo brzegu sieci technologicznej).

Najważniejsze elementy wprowadzonej ochrony sieci TAN obejmują:

  • zasadę zerowego zaufania do ruchu spoza podsieci (usunięcie skrośnych połączeń na brzegu sieci TAN),
  • klasyfikację ruchu na podstawie protokołów, a nie portów i adresów,
  • uwierzytelnienie użytkowników (a nie tylko adresów IP),
  • inspekcję ruchu razem z detekcją intruzów oraz prewencją sieciową,
  • narzędzia wykrywające obecność złośliwego oprogramowania,
  • deszyfrowanie ruchu SSL na punkcie styku, analiza pod kątem anomalii,
  • wdrożenie dwuskładnikowego uwierzytelnienia, wymaganego do zalogowania się użytkowników w obrębie sieci TAN,
  • brak dostępu do Internetu (włącznie z brakiem routingu),
  • terminowanie połączeń na brzegu z użyciem chronionych i dedykowanych aplikacji,
  • prowadzenie regularnych audytów zabezpieczeń,
  • wdrożenie systemów korelacji zdarzeń, połączonego z systemem zarządzania konfiguracją oraz kopiami bezpieczeństwa,
  • wdrożenie procedur i rozwiązań umożliwiających szybkie przywrócenie kompletnej konfiguracji do stanu ostatniej dobrej konfiguracji.


TOP 200