Każdy, nawet najmniejszy, pojedynczy incydent związany z bezpieczeństwem może zaszkodzić reputacji marki, spowodować utratę przewagi konkurencyjnej, wywołać niezgodności prawne lub regulacyjne, a także znaczne straty finansowe oraz szkody dla środowiska i społeczności.
Systemy sterowania przemysłowego niestety, ku rozczarowaniu wielu osób, nie są odporne na naruszenie zabezpieczeń danych, ataki typu ransomware (blokada dostępu do danych przez ich zaszyfrowanie), wirusy, złośliwe oprogramowanie, ataki wewnętrzne lub inne formy ataków hakerskich. Ponadto jest wielu ekspertów, którzy twierdzą, że potrzebują namacalnych dowodów, iż ataki naprawdę się zdarzają. Takie dowody istnieją.
Wystarczy spojrzeć na raport firmy Verizon z dochodzenia w sprawie naruszenia zabezpieczeń danych z 2016 roku. W raporcie tym wyszczególniono 16 wspólnych scenariuszy naruszenia zabezpieczeń, a wszystkie te przypadki są opowiedziane z perspektywy zaangażowanych, zainteresowanych stron, takich jak dział komunikacji korporacyjnej, radcy prawni lub specjaliści ds. zasobów ludzkich.
Jeden ze szczególnie poważnych i groźnych scenariuszy dotyczył firmy produkcyjnej, która padła ofiarą ataku i musiała błyskawicznie uporządkować swoje systemy i informacje. Oto jak incydent ten został opisany w raporcie: Pewna firma, którą będziemy nazywać Gator-Grasp Fasteners, zatrudniła zespół Verizon RISK do przeprowadzenia kontroli kondycji jej środowiska przemysłowego. Ów konkretny klient zajmował się produkcją specjalistycznych łączników, które muszą spełniać szczegółowe wymagania techniczne, takie jak osiągnięcie lub przekroczenie pewnej wytrzymałości, naprężenia rozciągającego, właściwości mechanicznych i progów zawartości materiału. Na początku badania kondycji inżynierowie automatyki firmy Gator-Grasp Fasteners wyrazili ze swej strony sceptycyzm i łagodny sprzeciw, twierdząc, że „kontrola kondycji” nie jest konieczna. W ciągu wieloletniej pracy „pacjent” zawsze funkcjonował prawidłowo i nie wykazywał oznak jakiegokolwiek pogorszenia kondycji. Po co więc robić bałagan? Zapewniali kierownictwo, że środowisko technologii operacyjnej (OT) było bezpieczne oraz że nie spodziewają się żadnych znaczących negatywnych wyników kontroli. W końcu ci inżynierowie automatyki to doświadczeni eksperci, którzy wiedzą, co robią. Mimo to kierownictwo nalegało, a inżynierowie automatyki niechętnie zgodzili się współpracować z zespołem RISK.
Nie u mnie
Podobnie jak w przypadku wszystkich innych zleceń, na początku odbyło się spotkanie wstępne, które było okazją, aby wszystkich przedstawić, ustalić początkowe oczekiwania, omówić środowisko wchodzące w zakres pracy, poprosić o dodatkowe informacje oraz zaplanować wizytę na miejscu.
Żądane informacje obejmowały listę segmentów sieci, zakresy adresów IP, przypisania adresów IP oraz spis zasobów. Zespół firmy Gator-Grasp Fasteners został poinstruowany, aby nie tworzyć nowej dokumentacji w celu uniknięcia sytuacji, w której utworzenie nowej dokumentacji mogło potencjalnie zamaskować niedociągnięcia proceduralne. Podczas przygotowywania żądanych informacji firma Gator-Grasp Fasteners szybko zdała sobie sprawę, że to, czym dysponowała, było niewystarczające.
Podczas wizyty na miejscu inżynierowie automatyki, specjaliści zespołu RISK ds. ochrony infrastruktury krytycznej/cyberbezpieczeństwa (CIP/CS) oraz inni eksperci merytoryczni (SME) omówili różne systemy OT, wdrożone środki bezpieczeństwa i inne procedury operacyjne. Obejmowało to procesy oraz praktyki (tj. „wiedzę instytucjonalną”), które są przestrzegane, ale niekoniecznie zostały udokumentowane. W trakcie tych rozmów okazało się, że w ciągu ostatnich kilku miesięcy wydawało się, iż działanie sieci jest spowolnione, co inżynierowie automatyki wiązali ze starszym sprzętem. Mając dobre rozeznanie w sytuacji, odwiedziliśmy różne lokalizacje, w których obeszliśmy hale produkcyjne oraz dokonaliśmy dodatkowych obserwacji.
Jedną z pierwszych rzeczy, które zauważyliśmy, było to, że niektóre systemy OT miały ochronę antywirusową, a inne nie. Powiedziano nam, że te, które jej nie mają, były odizolowane, więc jej nie potrzebowały. Co zaskakujące, gdy sprawdziliśmy dzienniki antywirusowe systemów OT, które były zabezpieczone przed złośliwym oprogramowaniem, stwierdziliśmy, że są one pełne wykrytych szkodliwych programów, usunięć i alertów kwarantanny. Na 33 spośród wszystkich 57 systemów występował najmniej jeden alert dotyczący złośliwego oprogramowania, lecz na wielu systemach alertów było bardzo dużo.
Gdy zapytaliśmy o te alerty, okazało się, że inżynierowie automatyki i operatorzy są tego świadomi. Uznali, że skoro ochrona przed szkodliwym oprogramowaniem „naprawia” problemy, wszystko jest akceptowalne. Wyjaśniliśmy, że istniał oczywisty problem, który prowadził do wielokrotnych infekcji, i zaleciliśmy bardziej szczegółowy przegląd w celu zidentyfikowania głównej przyczyny.
Potrzeba rejestrowania
Firma Gator-Grasp Fasteners nie dysponowała żadnym udokumentowanym procesem reagowania na incydenty (IR), służącym do badania incydentów, toteż objęliśmy prowadzenie. Firma nie posiadała scentralizowanego rozwiązania do rejestrowania, a dane rejestrowane przez urządzenia nie zapewniały szczegółowych informacji na temat tego, w jaki sposób złośliwe oprogramowanie przedostawało się do sieci. Potrzebna była lepsza widoczność, monitoring stanu sieci i jej łączy.
We współpracy z firmą Gator-Grasp Fasteners skonfigurowaliśmy port SPAN (switched port analyzer) oraz wdrożyliśmy pasywny analizator sieci w celu gromadzenia danych oraz analizowania ruchu. Wykorzystując wskaźniki związane ze zidentyfikowanym złośliwym oprogramowaniem, sprawdziliśmy ruch sieciowy i szybko zidentyfikowaliśmy wiele potencjalnie zainfekowanych systemów. Zgodnie z oczekiwaniami ruch sieciowy ujawnił infekcje powiązane ze starszymi systemami OT, które nie miały ochrony antywirusowej. Dalsza analiza wykazała, że istniało wiele nieprawidłowych konfiguracji, które umożliwiały nieautoryzowaną komunikację sieciową.
Zainfekowane systemy, z których wiele aktywnie wyszukiwało nowych systemów, były dobrym kandydatem na przyczynę problemu spowolnionego działania sieci, zidentyfikowanego podczas wcześniejszych rozmów. Wykorzystując zgromadzone dane o ruchu sieciowym, przygotowaliśmy statystyki dotyczące szybkości transferu danych i szybko zdaliśmy sobie sprawę, że próby skanowania poprzez sondowanie przeciążały starsze połączenia sieciowe. Mając listę konkretnych zainfekowanych systemów, wzięliśmy na cel populację punktów końcowych, których bezpieczeństwo zostało naruszone.
Firma Gator-Grasp Fasteners miała szczęście, mimo szerokiej skali infekcji. Przegląd szkodliwego oprogramowania rezydującego w każdym z systemów ujawnił powszechne infekcje typu drive-by, mające na celu kradzież danych bankowych. Jako że żaden z zainfekowanych systemów OT nie był stosowany do celów innych niż zarządzanie procesami, wystąpienie dalszych szkód było mało prawdopodobne. Problemy z siecią były niezamierzonym efektem ubocznym prób złośliwego oprogramowania, które miały na celu wyszukanie nowych systemów, w połączeniu ze zbyt permisywnymi regułami zapory sieciowej. Dostarczyliśmy firmie Gator-Grasp Fasteners listę znanych zainfekowanych systemów, a jej pracownicy szybko przystąpili do rekonstrukcji z użyciem znanych dobrych obrazów backup.
Aby nie dopuścić do naruszenia zabezpieczeń skorygowanych systemów w trakcie tego procesu, kontynuowaliśmy monitorowanie ruchu sieciowego pod kątem znanych wskaźników i zachowań związanych ze zidentyfikowanym złośliwym oprogramowaniem. Gdy ten bieżący problem był już w trakcie rozwiązania, uwagę skierowaliśmy na te niezainfekowane, lecz wciąż problematyczne systemy OT.
Zespół RISK firmy Verizon podzielił niektóre zalecenia na trzy kategorie obejmujące całe środowisko OT firmy:
- Niepotrzebne starsze systemy w nieobsadzonych lokalizacjach. Te systemy zostały usunięte z sieci i wycofane z eksploatacji. Były one trudne do wykrycia, ponieważ nie były udokumentowane, co utrudniało ich znalezienie i ostatecznie opóźniło działania mające na celu ograniczenie i wyeliminowanie problemu.
- Niezbędne starsze systemy, które nie mogły być zabezpieczone za pomocą rozwiązania antywirusowego. Zespół RISK ręcznie usunął istniejące złośliwe oprogramowanie, a systemy zostały wzmocnione z perspektywy najlepszych praktyk. Wdrożono rygorystyczne reguły zapory, aby zablokować dostęp do tych systemów w celu ograniczenia zasięgu wszelkich przyszłych przypadków naruszenia zabezpieczeń.
- Nowe systemy, które nie miały zainstalowanych poprawek oraz nie były chronione przez rozwiązanie antywirusowe. Na tych systemach komputerowych zainstalowano poprawki oraz zabezpieczenie przed złośliwym oprogramowaniem.
DANE LICZBOWE:
30% użytkowników końcowych jest poważnie zaniepokojonych kwestią cyberbezpieczeństwa bezprzewodowych urządzeń komunikacyjnych i protokołów w swoich obiektach.
Źródło: Control Engineering, badanie dotyczące cyberbezpieczeństwa
Najlepsze praktyki
Tak jak w przypadku zastosowań innych niż ICS, incydent związany z bezpieczeństwem może zaszkodzić reputacji marki, spowodować utratę przewagi konkurencyjnej, wywołać niezgodności prawne lub regulacyjne, a także znaczne straty finansowe oraz szkody dla środowiska i społeczności.
Najważniejsze wnioski można podsumować słowami jednego z inżynierów automatyki: „Sądziłem, że znam wszystko na wylot, skoro pracuję tu ponad 25 lat. Nie uznawałem dokumentacji za szczególnie istotną, lecz w końcu dotarło do mnie, że istnieje wiele rzeczy, których nie jestem świadom. Okazało się, że wiele rzeczy dla mnie niewiadomych stanowi dużą część problemu”.
Zespół RISK wskazał wiele działań naprawczych, które firma Gator-Grasp Fasteners musiała wykonać, aby wzmocnić procesy wykrywania i ograniczenia ryzyka oraz reagowania na nie, w tym:
Stworzenie planu reagowania na incydenty (IR). Plan IR ma krytyczne znaczenie dla rozwiązania problemów dotyczących zabezpieczeń przez określenie kierunku działań oraz wskazówek dla reagujących.
Przeprowadzenie szkolenia z zakresu wczesnego reagowania. Należy przeszkolić w zakresie planu IR osoby, które mają największe szanse zidentyfikować problemy z zabezpieczeniami. Powinny one zostać przeszkolone w dziedzinie gromadzenia informacji oraz natychmiastowej klasyfikacji problemów.
Wzmocnienie systemów OT. Urządzenia ze zbyt permisywnymi domyślnymi konfiguracjami powinny zostać sprawdzone, a niepotrzebne opcje konfiguracji powinny zostać wyłączone w celu zredukowania ryzyka nieprawidłowego użycia.
Częste instalowanie poprawek. Należy opracować program zarządzania poprawkami dla systemu sieciowego w celu prawidłowego zabezpieczenia zasobów oraz samej sieci. Poprawki bezpieczeństwa umożliwiają naprawienie znanych luk w zabezpieczeniach oraz ograniczenie rozprzestrzeniania się złośliwego oprogramowania.
Korzystanie z oprogramowania antywirusowego/systemu wykrywania nieautoryzowanego dostępu (IDS). Należy zainstalować oprogramowanie antywirusowe lub system wykrywania nieautoryzowanego dostępu bez wyjątku na wszystkich systemach IT/OT oraz na bieżąco aktualizować definicje.
Skonfigurowanie rejestrowania, monitorowania oraz alertów. Należy scentralizować rejestrowanie na wszystkich urządzeniach w jednej lokalizacji oraz okresowo przeglądać dzienniki pod kątem oznak podejrzanej aktywności, takiej jak alerty antywirusowe, nieudane próby logowania lub komunikacja sieciowa z udziałem systemów zewnętrznych.
Utrzymywanie planów IR/odzyskiwania awaryjnego. Posiadanie dobrze udokumentowanego oraz sprawdzonego planu IR oraz planu odzyskiwania awaryjnego ma kluczowe znaczenie. W przeciwnym razie proces reagowania i odzyskiwania sprawności będzie zdezorganizowany, potencjalnie niekompletny oraz potrwa o wiele dłużej.
Gregory Hale to redaktor i założyciel Industrial Safety and Security Source (ISSSource.com), serwisu informacyjnego poświęconego zagadnieniom bezpieczeństwa w branży automatyki przemysłowej.
