Informacja o cyberataku, dokonanym pod koniec 2020 r. przy wykorzystaniu luki w zabezpieczeniach popularnego oprogramowania do monitorowania sieci firmy SolarWinds, była jednym z głównych tematów wiadomości podawanych w mediach. Przyczyną było to, że atak był zakrojony na szeroką skalę, wykraczającą poza jedną firmę czy nawet konkretną gałąź przemysłu. Atak SolarWinds dotknął ponad cztery piąte firm z amerykańskiej listy rankingowej Fortune 500 i dosłownie każdy z głównych sektorów rządu oraz armii USA.
Jak stwierdził w swojej prezentacji Eric Byres, dyrektor generalny kanadyjskiej firmy informatycznej aDolus Technologies, nie był to jednorazowy cyberatak i takie zdarzenia będą coraz częstsze. Prezentacja ta, zatytułowana ?Po ataku SolarWinds: Co mówi nam kompromitacja SolarWinds na temat zmieniającego się krajobrazu cyberbezpieczeństwa?[1], została przeprowadzona zdalnie za pomocą oprogramowania Zoom na forum amerykańskiej firmy doradczej ARC Advisory Group.
Atak za pomocą SolarWinds był wieloetapowy i prawdopodobnie wspierany przez obce państwo
Jak stwierdził Eric Byres, aktorzy stojący za atakiem wykorzystującym luki w oprogramowaniu SolarWinds byli profesjonalistami wysokiej klasy, dobrze zorganizowanymi w swoim działaniu. Prawdopodobnie cyberatak był finansowany i wspierany przez jakieś obce państwo. Hakerzy rozpoczęli długą grę, inicjując wieloetapowy atak, który trwał ponad 18 miesięcy. Rodzaj tego ataku mógłby się wydawać czymś, czym firmy produkcyjne nie powinny się martwić. Przecież dotyczył on technologii informatycznej (IT), prawda? Nie, twierdzi Eric Byres. Wykorzystywana w przemyśle technologia operacyjna (OT) też jest zagrożona, a być może nawet bardziej.
Jak stwierdził Eric Byres, przemysłowe systemy sterowania (ICS) oraz łańcuchy dostaw są następną falą zagrożeń dla cyberbezpieczeństwa. Liczba cyberataków dokonanych na łańcuchy dostaw w 2020 roku wzrosła o 430% w porównaniu z rokiem 2019. I ataki te się nie skończą. Dlaczego? Bo są skuteczne.
Cyberataki realizowane przy wykorzystaniu zaufania firm przemysłowych do swoich dostawców
Oni wykorzystują nasze [firm przemysłowych] zaufanie do naszych dostawców, powiedział Eric Byres. Łańcuchy dostaw przemysłowych systemów sterowania są łatwym celem dla cyberprzestępców. Wiele łańcuchów dostaw to mieszanina różnych programów, kodów i standardów. Znalezienie sposobu na uzyskanie dostępu do tych sieci nie jest trudne, ponieważ mają one wiele potencjalnych luk w zabezpieczeniach.
I podobnie jak firmy, aktorzy stojący za tymi atakami poszukują dobrego zwrotu z inwestycji (ROI). Zważywszy na poziom wyrafinowania ataku SolarWinds oraz głębię dokonanej infiltracji, można śmiało powiedzieć, że hakerzy dostali, co chcieli. Uderzenie w łańcuch dostaw jakiejś firmy i wykradzenie informacji nie stanowi tu żadnej różnicy.
Według Erica Byresa to nie jest tak, że systemy ISC oraz łańcuchy dostaw nie były przedtem celem ataków. Robak Stuxnet został stworzony w celu atakowania przemysłowych łańcuchów dostaw oraz wykorzystywania szczególnych luk w zabezpieczeniach. W tym przypadku wykradziono certyfikaty cyfrowe, co podkreśla, że problem jest szerszy.
Jak stwierdził Eric Byres, W certyfikatach cyfrowych nie ma niczego złego, jednak są one niewłaściwie wykorzystywanie i źle rozumiane oraz wykorzystywane. Obecnie istnieje więcej złośliwego oprogramowania typu malware niż oprogramowania normalnego. Certyfikaty nie są wystarczające i muszą zostać uporządkowane.
Uporządkowanie cyberbezpieczeństwa ? wykorzystywanie zestawień komponentów oprogramowania (SBOM)
Jak firmy przemysłowe mogą uczynić swoje łańcuchy dostaw bezpieczniejszymi i pomóc swoim działom operacyjnym postępować według najlepszych praktyk? Nie jest to przecież ich mocną stroną. Potrzebują wszelkiej pomocy, jaką mogą uzyskać. Eric Byres porównał to do gulaszu pełnego różnych składników. Jeśli konsument nie wie, co jest w garnku, to nie będzie też wiedział, jak wszystko to ze sobą współgra. Zapewnianie cyberbezpieczeństwa może być bardzo zagmatwanym i przytłaczającym zadaniem oraz prowadzić do wielu błędów. Potrzebna jest tu jasność i przejrzystość.
Eric Byres jest zwolennikiem stosowania zestawień komponentów oprogramowania (software bill of materials, SBOM). Takie zestawienie to zagnieżdżony wykaz oraz lista składników, które tworzą komponenty oprogramowania. Zestawienie SBOM, podobnie jak zwykłe zestawienie BOM (obejmujące zestawienie materiałów i innych elementów, potrzebnych są do wyprodukowania jakiegoś wyrobu fizycznego) identyfikuje oraz wymienia na liście komponenty, informacje o tych komponentach oraz relacje pomiędzy nimi.
Eric Byres wymienił trzy rzeczy, które są potrzebne do wykorzystania zestawienia SBOM:
- Agregacja w chmurze.
- Uczenie maszynowe w celu tworzenia korelacji pomiędzy wieloma bazami danych.
- Graficzna technologia baz danych w celu powiązania i śledzenia komponentów.
Korzyści z zestawień komponentów oprogramowania dla cyberbezpieczeństwa
Poza tym wszystkim: dlaczego producenci potrzebują zestawień SBOM, aby poprawić swoje cyberbezpieczeństwo? Jakie korzyści mogą przynieść zestawienia SBOM ludziom po stronie technologii OT? Eric Byres podkreślił tu kilka punktów:
- Dla producentów/dostawców systemów ICS: pomagają śledzić zależności i problemy związane z komponentami. Ponadto pomagają producentom/dostawcom śledzić i wykrywać ewoluujące problemy firm trzecich z cyberbezpieczeństwem.
- Dla właścicieli zasobów przemysłowych: pomagają w tworzeniu list luk w zabezpieczeniach oraz priorytetów ryzyka dla wdrożonego oprogramowania.
- Dla analityków cyberbezpieczeństwa: dostarczają kluczowych informacji na temat wykrywania zagrożeń oraz dają im informacje potrzebne do wykrywania złośliwego oprogramowania.
Jak stwierdził Eric Byres, Zamierzamy traktować ataki na łańcuchy dostaw jako regularny problem. Aby rozpocząć działania w kierunku uzyskania bezpiecznego łańcucha dostaw, potrzebujemy producentów. Podobnie jak w przypadku wielu innych zmian na świecie jest to kwestia adoptowania i podejmowania obecnie działań zapobiegawczych zamiast stawania się ofiarami cyberataków, opisywanymi w newsach podawanych przez media.
Chris Vavra, menedżer ds. treści online, CFE Media.
[1] Oryg. After the SolarWinds attack: What the SolarWinds fiasco tells us about the changing security landscape.
