Wirtualne łatanie systemów kontroli procesów

Wczesne wykrywanie zagrożeń i zwiększona ochrona umożliwia lepsze zarządzanie utrzymaniem sieci.
W dzisiejszych przedsiębiorstwach przemysłowych regularnie przeprowadza się aktualizacje oprogramowania sterującego procesem, aby wyeliminować znane luki zagrażające bezpieczeństwu, chociaż proces aktualizacji sam w sobie stwarza pewne zagrożenia. Jednym z nich jest regresja oprogramowania. Z drugiej strony zaniechanie aktualizacji to proszenie się o kłopoty.

Decyzja o aktualizacji systemu to często wybór mniejszego zła – ryzykujemy instalację wadliwej łatki albo narażenie na cyberataki. Wadliwa łatka może zablokować podstawową funkcjonalność systemu, jej brak stworzyć lukę w zabezpieczeniach.
Kompromis nie dotyczy wyłącznie kwestii bezpieczeństwa. Niezależnie, czy aktualizacje są przeprowadzane ręcznie, czy automatycznie ich instalacja wymaga zasobów, które muszą być uwzględniane w globalnym planie aktualizacji.
Innowacyjna technika znana jako wirtualne łatanie zapewnia poprawę procesu aktualizacji systemu bez wpływu na jego podatność na zagrożenia. Komponenty, takie jak filtry zagrożeń zapewniają ochronę niezaktualizowanych systemów, umożliwiając lepsze dostosowanie procesu aktualizacji do wymagań produkcji.
Dzisiejsze zagrożenia
W zakładach wytwórczych i innych obiektach przemysłowych ku uciesze kadry biznesowej na dobre zadomowiły się otwarte architektury sterowania i otwarte standardowe protokoły komunikacyjne. Z jednej strony ewolucja z zamkniętych, chronionych aplikacji do otwartych technologii umożliwiła rozbudowanie procesu i połączenie go z warstwą biznesową, z drugiej jednak strony otwarte technologie wystawiły przedsiębiorstwa przemysłowe na dużą liczbę zróżnicowanych zagrożeń elektronicznych. Przez integrację zasobów produkcyjnych z systemami zarządzania przedsiębiorstwem ryzyko stało się jeszcze większe.

Zwiększona podatność przedsiębiorstw na zagrożenia z zewnątrz, będąca efektem korzystania z otwartych architektur, połączona z rosnącą liczbą ataków dokonywanych przez złośliwe oprogramowanie wyniosła zagadnienie cyberbezpieczeństwa na szczyt zainteresowania korporacji na całym świecie. Przypadkowe lub zaplanowane ataki mogą spowodować zagrożenie zdrowia i życia personelu, uszkodzenie sprzętu i utratę reputacji.
Mając na celu minimalizację ryzyka ataku na systemy automatyki i informatyki, trzeba pamiętać o implementacji strategii głębokiej obrony, która polega na utworzeniu wielu warstw zabezpieczeń. Jedna z tych warstw musi w szczególności dotyczyć serwerów i stacji roboczych.
Aktualizacja w procesowej sieci sterowania może być czasochłonna, a oprócz zwiększonej odporności na ataki nieść ze sobą ryzyko błędów zarówno podczas jej trwania, jak i po jej zakończeniu. Proces instalacji łatek wymaga standardowo:

  • koordynacji z osobami odpowiedzialnymi za przebieg procesu w celu zaplanowania aktualizacji,
  • instalacji nakładek,
  • zamiany funkcji serwerów głównego i zapasowego w celu aktualizacji obu z nich,
  • ponownego uruchomienia w celu wprowadzenia zmian.

Wszystkie wymienione czynniki powodują, że średni czas aktualizacji serwera lub stacji roboczej wynosi od jednej do dwóch godzin. Czynność ta staje się kosztowna, ponieważ aktualizacje bezpieczeństwa pojawiają się w cyklu miesięcznym, ale różni producenci udostępniają je w różnym momencie. Oczekiwanie na łatki od wszystkich dostawców wydaje się zatem rozsądne, trzeba jednak pamiętać, że do tego czasu system pozostaje podatny na znane już zagrożenia. Ryzyko udanego ataku staje się więc znaczne.
Techniki wirtualnego łatania
Wirtualne łatanie, w przeciwieństwie do jego tradycyjnego odpowiednika, zabezpiecza system bez dotykania aplikacji, ich bibliotek czy systemu operacyjnego. W dodatku wirtualne łatki są dostępne znacznie wcześniej niż właściwe aktualizacje oprogramowania. Wirtualna łatka może być dostępna już w kilka dni po odkryciu zagrożenia, natomiast producentowi aplikacji opracowanie i przetestowanie nowego oprogramowania może zająć kilka tygodni lub nawet miesięcy.
Dzięki technikom wirtualnego łatania można skrócić czas i zmniejszyć częstotliwość zatrzymań serwisowych systemów DCS, dyktowanych zwykle przez miesięczną dystrybucję aktualizacji systemów Microsoft, pozostając zabezpieczonym przed atakami sieciowymi.
Zadaniem procesu łatania jest utworzenie ochrony wokół sieci sterowania, która sprawdza aktywność związaną ze znanymi zagrożeniami i oferuje dobre zabezpieczenie przed tzw. atakami typu zero-day exploit, niewykrywanymi przez zabezpieczenia (programy antywirusowe). Filtr zagrożeń nie jest w tym przypadku bezpośrednio zaangażowany, ponieważ filtruje ataki związane z konkretnym zagrożeniem – nie jest czuły na zmiany sygnatur.

Korzyści ze stosowania tego typu ochrony są podwójne. Ochrona nie tylko zabezpiecza przed atakami sieciowymi, w tym DoS, ale zapobiega rozprzestrzenianiu się złośliwego oprogramowania w sieci. Zarówno wirusy, jak i robaki sieciowe próbują zwykle zainfekować kolejną stację, wykorzystując do tego sieć. Wirtualne łatanie jest w stanie efektywnie zatrzymać tę propagację, bez potrzeby fizycznego odłączania segmentu sieci, co miałoby poważniejsze konsekwencje.
Wirtualne łatanie w praktyce
Wirtualne łatanie polega na filtrowaniu ruchu sieciowego między dwoma punktami przy wykorzystaniu filtrów zagrożeń zaprojektowanych do wykrywania i blokowania ruchu, który narusza protokoły aplikacji. Filtry zagrożeń zachowują się jak bazujące na sieci łatki wirtualnego oprogramowania, które zabezpieczają urządzenia host przed atakami sieciowymi lub lukami w programach, niepoddanych jeszcze tradycyjnemu procesowi aktualizacji. Filtry tworzone są natychmiast po odkryciu nowego zagrożenia. Koncepcja ta sprawdza się szczególnie w zapewnianiu ochrony warstw 3. i wyższych modelu OSI sieci. Różne filtry pomagają zarządzać ruchem sieciowym, zapewniając jednocześnie płynność działania i bezpieczeństwo. Inne filtry monitorują ruch sieciowy, wykrywając jego nienaturalny wzrost, który może wskazywać na zagrożenie.
Jedną ze szczególnych cech tej techniki jest zdolność do oceny ruchu sieciowego na podstawie typu aplikacji, protokołu i adresów IP. Filtry monitorujące protokoły pracują z silnikami tłumienia zagrożeń nad wykrywaniem ruchu sieciowego wykraczającego poza specyfikację. Filtry wykrywają niespotykane w normalnej pracy warunki niezbędne do powodzenia ataku. Są w stanie wykryć wiele jednoczesnych ataków, bez fałszywych alarmów.
Filtry zagrożeń są wspomagane przez filtry progowe, nieustannie porównujące ruch sieciowy z jego wcześniejszymi wartościami w podobnych godzinach i dniach tygodnia. Filtry konfiguruje się tak, aby podejmowały określone działania, gdy ruch wyjdzie poza dopuszczalny zakres.
Robak Nachi np. ma zdolność paraliżowania sieci poprzez floodowanie transmisji ICMP, przez co nadmiernie obciąża routery lub jednostkę host. Wirtualne łatanie, aby zapobiec zatrzymaniu systemu, ograniczyłoby ruch w warstwie trzeciej modelu OSI sieci oraz przywróciło normalną wartość wykorzystania procesora. Filtry progowe umożliwiają tworzenie reguł bezpieczeństwa bazujących na poszczególnych strumieniach, a także na ilości połączeń i pakietów między określonymi urządzeniami w sieci, wyrażonych w sztukach na minutę lub godzinę.
Idąc dalej
Fabryki są dziś narażone na nowe zagrożenia, a ochrona przed nimi stanowi priorytet wymagający znacznych nakładów czasu i uwagi. Określenie, kiedy i jak aktualizować system stanowi krytyczną decyzję, której nie należy podejmować pochopnie.
Wykorzystując wirtualne łatanie, można zapewnić zwiększoną ochronę przed atakami typu zero–day exploit i znacząco zredukować wpływ infekcji wirusami. Ograniczając liczbę zmian wywoływanych przez aktualizacje systemów zabezpieczeń sieci, przedsiębiorstwa mogą zwiększyć swoją pewność działania i polepszyć stan zabezpieczeń. W dodatku przedsiębiorstwa mogą usprawnić proces aktualizacji przez większą kontrolę nad jego przebiegiem, co przekłada się bezpośrednio na oszczędności.
Opracował Łukasz Urbański, Zachodniopomorski Uniwersytet Technologiczny w Szczecinie
CE