Sieci przemysłowe w stanie zagrożenia.
Kontakt w sprawie artykułu: Kamil Zajdel - 2017-05-19
Z tego artykułu dowiesz się:
- Dlaczego cyberbezpieczeństwo jest ważne
- Jakie są główne zagrożenia w sieciach ICS
- Jakie są cechy skutecznego rozwiązania z zakresu cyberbezpieczeństwa
Czy da się w 100% zabezpieczyć sieć przemysłową? Jakie kryteria wyboru należy uwzględnić, wybierając rozwiązania zabezpieczające przed cyberatakami?
Dlaczego cyberbezpieczeństwo jest ważne?
Analizując ujawnione incydenty, niezależnie od przyczyn tych działań, dowiadujemy się, że atak od jego uruchomienia do wyrządzenia szkód zajmuje przynajmniej kilka miesięcy. Warto więc zapamiętać, że użytkownik ma dużo czasu na odpowiednią reakcję, jeżeli tylko uda mu się odpowiednio wcześnie wykryć, że stał się ofiarą cyberprzestępcy.
Użytkownicy, w celu podwyższenia efektywności i konkurencyjności swoich przedsiębiorstw, korzystają z danych na temat produkcji dostępnych w systemach automatyki. W związku z tym mitem jest stwierdzenie o rozdzielności sieci przemysłowej (OT – Operations Technology) od sieci korporacyjnej (IT – Information Technology). Sieci mają punkty styku i ten fakt trzeba przyjąć do wiadomości.
Sieci i protokoły przemysłowe były i są projektowane głównie pod kątem zapewnienia dostępności i niezawodności systemów automatyki. Dopiero od niedawna producenci oraz użytkownicy systemów automatyki zwracają uwagę na aspekty bezpieczeństwa i zabezpieczania. Powyższe przekłada się na to, że sieci przemysłowe są łatwym celem cyberataków.
Rozpoznaj główne zagrożenia w swoich sieciach ICS
Pytanie 1: Jakiego rodzaju zabezpieczenia stosujesz dla sieci przemysłowej?
Ruch w sieci przemysłowej OT oraz korporacyjnych IT, pomimo że bazuje na Ethernecie, jest zdecydowanie inny. Sieć przemysłowa jest deterministyczna, komunikują się w niej głównie maszyny i urządzenia – w sposób powtarzalny i przewidywalny. Zupełnie inaczej jest w sieci korporacyjnej, w której operują ludzie, wykonując różne czynności, których nie da się w dobrze zdefiniować i przewidzieć.
W sieciach IT, gdzie problem bezpieczeństwa nie jest niczym nowym, dostawcy oferują całe spektrum zabezpieczeń – takich jak np. oprogramowanie antywirusowe, firewalle, IPS itp.
Systemy komputerowe i zabezpieczenia są na bieżąco aktualizowane. Natomiast po wykryciu zagrożenia na konkretnej stacji, można ją bez większej straty wypiąć z sieci, aby zneutralizować zagrożenie, a jednocześnie nie narażać innych użytkowników sieci.
W przypadku sieci przemysłowych, których priorytetem jest zapewnienie pewnej i stabilnej komunikacji pomiędzy urządzeniami i maszynami, nie mamy komfortu aktualizowania stacji komputerowych czy systemów operacyjnych urządzeń sterujących (firmware). Normą jest, aby nawet ważne z punktu widzenia bezpieczeństwa aktualizacje wprowadzić nie wcześniej niż podczas przestoju remontowego, który może nadejść za rok lub później. Praktyka pokazuje, że aktualizacje do nowszych wersji systemów sterowania (SCADA/DCS), czy systemów operacyjnych, na których są zainstalowane, są przeprowadzane raz na kilka lat. Ten fakt należy przyjąć do wiadomości, bo systemy automatyki na produkcji są instalowane z założeniem, że nie będą często modernizowane, tylko zapewnią ciągłość produkcji.
Z drugiej strony na rynku nie znajdziemy tak bogatej oferty zabezpieczeń dla sieci OT. Co więcej często są to zabezpieczenia stosowane w sieciach informatycznych, które zostały dostosowywane do sieci przemysłowych. Z uwagi na odmienność sieci IT i OT, zabezpieczenia IT zaadoptowane do OT nie są w stanie poprawnie zabezpieczyć użytkownika przed incydentami. Należy szukać rozwiązań dedykowanych dla sieci przemysłowych.
Pytanie 2: Jaką stosujesz architekturę zabezpieczeń?
Użytkownicy, którzy zmierzyli się już z tematem bezpieczeństwa w sieciach przemysłowych, często kierują się polityką zabezpieczania przed incydentami „od zewnątrz”. Jest to słuszne podejście, szczególnie w kontekście wcześniej wspomnianych punktów styku pomiędzy sieciami IT i OT.
Nie można jednak zapominać, że wiele ataków i incydentów zostało przeprowadzonych od wewnątrz sieci. Sprawca nie musiał forsować zabezpieczeń zewnętrznych i dostać się z sieci Internet poprzez poszczególne warstwy sieci korporacyjnej, docierając do sieci przemysłowej. Złośliwe oprogramowanie mogą w sposób świadomy lub nieświadomy dostarczyć pracownicy atakowanej firmy, bądź zewnętrzni wykonawcy zleceń. W ten sposób atakujący uzyskuje dostęp do sieci przemysłowej od wewnątrz. Dlatego konieczne jest bieżące monitorowanie zagrożeń wewnątrz sieci przemysłowej, bo nie można założyć, że jest ona bezpieczna.
Pytanie 3: Czy monitorujesz podatności w systemach i urządzeniach automatyki?
Producenci systemów automatyki historycznie skupiali się na aspektach dostępności i wydajności urządzeń i protokołów komunikacyjnych. Bezawaryjność i pewność działania były są i będą głównymi kryteriami dla dostawców automatyki. Względy bezpieczeństwa zyskały na znaczeniu w ostatnim czasie. Warto odnotować dodatkowy nacisk na testowanie urządzeń i sieci przemysłowych pod kątem bezpieczeństwa.
Producenci szybko reagują na znalezione podatności w swoich urządzeniach, które naprawiają, wydając nowe wersje sprzętowe, bądź aktualizując ich oprogramowanie systemowe. Pozostaje jednak kwestia podatności na starych instalacjach przemysłowych wyposażonych w nierozwijane już urządzenia, których użytkownik jeszcze nie może, lub nie chce wymieniać. W takiej sytuacji monitoring powinien być niezbędnym minimum.
5 cech skutecznego rozwiązania z zakresu cyberbezpieczeństwa
1. Urządzenie pasywne
Bazując na powyższych informacjach powinniśmy oczekiwać, aby przede wszystkim zabezpieczenie sieci przemysłowej było dla niej bezinwazyjne. Głównym priorytetem stawianym sieci OT jest jej bezawaryjne i ciągłe działanie, dlatego zabezpieczenia nie powinny ingerować w istniejące połączenia pomiędzy urządzeniami, ani generować w niej dodatkowego ruchu. Innymi słowy zabezpieczenia powinny być pasywne dla sieci przemysłowej.
W innym wypadku wdrożenie zabezpieczenia będzie wymagało zatrzymania procesu produkcji, bądź przełożenia implementacji do czasu przestoju remontowego. Ponadto, stosując rozwiązania aktywne, nie mamy pewności, czy ich wykorzystanie nie będzie miało negatywnych skutków dla procesu produkcyjnego. Nowy, nieobecny wcześniej ruch sieciowy, albo zmiana topologii sieci OT podyktowana wdrożeniem zabezpieczeń, może wywołać niepoprawne działanie, a w konsekwencji np. zatrzymanie urządzeń sterujących.
2. Rozwiązanie dedykowane dla OT
Z punktu widzenia zachowania ciągłości procesu produkcyjnego ważne jest, aby użytkownik miał pełny wgląd w pracę sieci przemysłowej oraz był na bieżąco informowany o wszystkich nienaturalnych zdarzeniach i incydentach operacyjnych tak, aby mógł na nie odpowiednio zareagować. Równie istotne jest, aby system monitorujący ruch „rozumiał” zachowanie sieci przemysłowej i rozróżniał nienaturalne zachowania pomiędzy urządzeniami sieci OT, a jednocześnie nie generował fałszywych alarmów.
3. Łatwa implementacja
Należy pamiętać o tym, że osobami odpowiedzialnymi za bezpieczeństwo sieci przemysłowej są automatycy i/lub osoby z działów IT. Automatycy doskonale rozumieją to, co się dzieje w sieci OT, ale nie mają rozległej wiedzy na temat sieci i ich zabezpieczeń. Z drugiej strony pracownicy działów IT dogłębnie znają zagadnienia związane z sieciami komputerowymi oraz ich zabezpieczaniem przed zagrożeniami, natomiast mają mniejsze zrozumienie dla ruchu w sieci OT i jej charakterystyki innej niż sieci IT.
Wdrożenie zabezpieczenia powinno być nieskomplikowane – oczekuje się, aby rozwiązanie nie wymagało konfiguracji, definiowania reguł, dozwolonego ruchu sieciowego, czy interakcji między urządzeniami. Urządzenie zabezpieczające sieć OT powinno być w stanie samo nauczyć się zachowania sieci u użytkownika, bazując na fakcie, że zachowuje się ona deterministycznie. Wszystkie operacje w sieci OT niewykryte w procesie uczenia, ale poprawne, powinny być raportowane w fazie monitorowania, ale też w łatwy sposób zaklasyfikowane przez operatora jako poprawne.
4. Wykorzystanie analizy behawioralnej
Zabezpieczenie sieci OT nie powinno opierać się jedynie na sygnaturach złośliwego oprogramowania (malware), ani implementacji znanych protokołów komunikacyjnych. Rozwiązanie powinno także, poprzez analizę behawioralną zachowania pomiędzy urządzeniami w sieci OT, być stanie wykryć złośliwe oprogramowanie, które było dotychczas nieznane.
Podobnie jest w stanie stwierdzić, czy komunikacja pomiędzy urządzeniami w nieznanym (autorskim, bądź rzadko spotykanym) protokole komunikacyjnym jest poprawna, czy nosi znamiona cyberincydentu. Jako uzupełnienie, aktualizacja systemu o nowe sygnatury malware oraz dodawanie nowych protokołów komunikacyjnych są wskazane, ponieważ zaalarmowanie zagrożeń z nimi związanych będzie pełniejsze i bardziej szczegółowe.
5. Integracja z nadrzędnymi systemami bezpieczeństwa SIEM
Zabezpieczenie sieci przemysłowej jest fragmentem całości zabezpieczenia zakładu przemysłowego przed cyberincydentami. Rozumiejąc to, dostawca zabezpieczeń sieci OT powinien umożliwiać ich integrację z rozwiązaniami nadrzędnymi typu SIEM (Security Information and Event Management). Wybrane przez użytkownika zdarzenia powinny być w prosty sposób raportowane wyżej.
W przypadku cyberincydentów najważniejsza jest świadomość, że coś niepokojącego zaczęło się dziać w naszym środowisku produkcyjnym. Podejmowanie nagłych działań często jest niemożliwe z uwagi na zaburzenia, jakie by wprowadziły w procesie produkcji, ale warto pamiętać, że nie są one konieczne. Analiza dotychczasowych incydentów pokazuje, że trwają one miesiącami, gdzie powoli rozprzestrzeniają się w sieci infekując jak najwięcej urządzeń – po to, aby ostatecznie się aktywować i poczynić dotkliwe w skutkach zniszczenia. Tak naprawdę to długotrwała nieświadomość ich obecności doprowadziła do szkodliwych zdarzeń. Dlatego, inaczej niż to ma miejsce w przypadku sieci informatycznych, najważniejsza jest świadomość zdarzeń i sytuacji w sieci użytkownika i szybka ich detekcja. Jeżeli w procesie produkcyjnym, mimo świadomości zagrożeń nie możemy podjąć działań modernizacyjnych/migracyjnych, z uwagi na długotrwały brak możliwości jego zatrzymania – można rozważyć dodatkowe zabezpieczenie. Można skorzystać z np. urządzeń aktywnych typu firewall nowej generacji, który zablokuje dostęp do podatnych urządzeń.
Aby uniknąć zagrożeń, zakłady przemysłowe powinny przede wszystkim opracować odpowiednią politykę bezpieczeństwa. Zgodnie z nią np. każdy element systemu (w tym osoba czy program) powinien mieć dostęp tylko do tych informacji i zasobów, które są niezbędne do spełnienia wyznaczonego mu zadania.