Zwalczanie cyberataków w przemyśle i energetyce
| Prezentacje firmowe ArtykułyObawy przed atakami cybernetycznymi na systemy kontroli automatyki powodują rozwój nowych rozwiązań technologicznych. Jednak ponieważ zarządzanie bezpieczeństwem jest złożonym procesem, wymaga również kształcenia kadr oraz stworzenia odpowiednich procesów biznesowych.
Rozwój technologii sieciowych spowodował, że zdalne sterowanie i monitoring stały się dostępne dla przedsiębiorstw przemysłowych, pozwalając im na optymalizację produkcji i dystrybucji. Niestety przejście na zdalne sterowanie i monitoring urządzeń SCADA ma też swoje minusy.
Naraża krytyczne sieci przemysłowe na cyberataki. Nowoczesne infrastruktury, takie jak podstacje, rurociągi ropy i gazu czy wodociągi, są dużymi, rozproszonymi obiektami. Dlatego operatorzy muszą stale monitorować i kontrolować wiele różnych urządzeń zakładu, aby zapewnić jego prawidłowe działanie.
POJAWIAJĄCE SIĘ ZAGROŻENIA CYBERNETYCZNE
Zastosowanie w procesach przemysłowych niezabezpieczonego systemu sterowania i nadzoru wykorzystującego urządzenia sieciowe SCADA może narazić podstację energetyczną na znaczne uszkodzenia spowodowane złośliwym atakiem cybernetycznym. Oprócz strat fizycznych i finansowych firmy, atak na sieć SCADA może również mieć niekorzystny wpływ na środowisko naturalne i zagrażać bezpieczeństwu publicznemu. Dlatego zabezpieczenia w sieciach SCADA stały się w ostatnich latach częstym tematem dyskusji.
Większa uwaga skupiana na bezpieczeństwie w przemysłowych systemach sterowania (ICS) zaowocowała pojawieniem się wielu produktów i przepisów mających na celu zniwelowanie ryzyka: przemysłowe zapory (firewall), przemysłowe IDS-y, połączenia jednokierunkowe, SIEM-y, itd., których koszty ostatecznie ponosi operator. Oprócz tego kwestia bezpieczeństwa jest złożonym procesem wymagającym wyszkolonego personelu i wdrożenia nowych procedur.
ANATOMIA ATAKU CYBERNETYCZNEGO
Aby pomóc w zrozumieniu sposobu myślenia atakującego, podsumowaliśmy nasze doświadczenia zebrane podczas analizy ataków cybernetycznych na przemysłowe systemy sterowania. Ogólnie atak cybernetyczny można podzielić na kilka etapów. W pierwszym z nich atakujący dokonuje rozpoznania, zbiera informacje na temat celu.
Narzędzia sieciowe takie jak np. Shodan (ics-radar.shodan.io) pozwalają zajrzeć do sieci ICS podłączonych do Internetu. Oprócz tego na czarnym rynku cybernetycznym dostępne są informacje dotyczące systemów SCADA, z adresami IP, hasłami i danymi operatorów włącznie. Po dokonaniu rozpoznania atakujący znajduje sposób dostania się do sieci korporacyjnej poprzez stronę firmową, złośliwe e-maile czy zainfekowany dysk USB. W sieci korporacyjnej szuka informacji na temat systemu sterowania (sieci ICS): sterowniki, zależności między sterownikami i określonymi procesami, procedury firmowe, hasła itp.
Atakujący będzie również szukać informacji na temat potencjalnych luk w sieci sterowania (w przeciwieństwie do nazwy "izolowane sieci ICS" bariera oddzielająca sieci ICS od świata zewnętrznego nie jest szczelna). Mogą to być np.: serwer danych procesowych (Historian) podłączony zarówno do sieci sterowania, jak i korporacyjnej, złośliwe oprogramowanie zainstalowane podczas planowej konserwacji, pochodzące z lokalnego komputera serwisanta lub zdalnego serwisu dostawcy. Kolejnym potencjalnym słabym punktem jest łańcuch dostaw: elementy wysyłane do konserwacji mogą wrócić zainfekowane złośliwym oprogramowaniem.
ATAKUJĄCY WEWNĄTRZ SIECI
Po dostaniu się do sieci atakujący weryfikuje jej architekturę oraz informacje pozyskane wcześniej. Z jego punktu widzenia ma to krytyczne znaczenie, jeśli chce dokonać efektywnego ataku. W jaki sposób atakujący weryfikuje uzyskane informacje? Może przeczytać znaczniki serwera OPC, które mogą mieć wiele mówiące nazwy.
Może dokonać zrzutu ekranu z HMI. Będzie chciał wyśledzić w sieci komunikację ze sterownikami. Oprócz tego może próbować wysłać niegroźne polecenia do sterownika będącego jego celem. Może też spróbować zmienić wartości niektórych parametrów sterownika (upewniając się, że w dalszym ciągu raportowane będą normalne wartości, aby uniknąć wykrycia).
Wszystkie te działania mają zagwarantować, że w wybranym dniu atakujący będzie w stanie przejąć kontrolę nad systemem i spowodować założone szkody. Po etapie weryfikacji zwykle następuje okres oczekiwania, w którym atakujący się nie ujawnia.
ANALIZA ZAGROŻEŃ
Rozważmy sieć, w której główne centrum sterowania komunikuje się z wieloma odległymi miejscami. W każdej z odległych lokalizacji znajdują się urządzenia peryferyjne, takie jak sterowniki PLC, IED. Dla uproszczenia przyjmijmy, że każda ze zdalnych stacji komunikuje się tylko z głównym centrum sterowania, przy wykorzystaniu zaufanego tunelu VPN pomiędzy bramami. Działania atakującego wewnątrz sieci sterowania mogą być podzielone na następujące kategorie:
- Field-to-Field - atak z jednej zainfekowanej zdalnej stacji lub urządzenia peryferyjnego na drugą,
- Center-to-Field - atak, który inicjuje ruch z centrum sterowania, mający na celu zaszkodzić lub przejąć kontrolę nad urządzeniem peryferyjnym,
- Field-to-Center - atak inicjujący ruch ze zdalnej stacji do centrum sterowania,
- In Field - atak z jednego urządzenia peryferyjnego na drugie, w obrębie tej samej lokalizacji (w tym ataki pojawiające się w tym samym, wydzielonym segmencie).
SEGREGACJA SIECI
Przeciwdziałanie atakom Field-to-Field rozpoczynamy od przekierowania do tunelu IPsec VPN całego ruchu ze zdalnej stacji do centrum sterowania. Ponadto na każdej stacji wymagany będzie przemysłowy, rozproszony firewall DPI pozwalający operatorowi na blokowanie ruchu z innych stacji oraz tworzenie reguł dostępu użytkowników do określonych urządzeń.
DPI (Deep-Packet-Inspection) to metoda filtrowania ruchu sieciowego oparta na analizie warstwy aplikacji pakietów. W tej warstwie znajduje się informacja o aplikacji, która wysyła/odbiera dany pakiet. W protokołach przemysłowych warstwa aplikacji często zawiera takie informacje jak identyfikator odbiorcy, ustawiane wartości, polecenia itd.
Za pomocą firewalla DPI operator może wymusić określone zachowania. Zastosowanie przemysłowego, rozproszonego firewalla DPI w połączeniu z tunelem VPN daje pewność, że cały ruch dociera tylko z zaufanych adresów IP i że każdy adres otrzymuje odpowiednie uprawnienia dla określonych poleceń.
Przeciwdziałanie atakom typu Field-to-Center i Center-to-Field jest trochę bardziej skomplikowane. Zapobieganie takim atakom polega na zapewnieniu bezpiecznych zdalnych połączeń, bez złośliwego oprogramowania i nieautoryzowanego ruchu.
Wykrywanie złośliwego oprogramowania zwykle realizowane jest przez firewall, na podstawie bazy sygnatur wirusów. Z uwagi na to, że baza sygnatur musi być często uaktualniana, najwygodniej byłoby zainstalować jedną instancję firewalla w centrum sterowania. Innym zagrożeniem jest fałszywy ruch, taki jak np. polecenie zainicjowane w centrum sterowania z adresu IP serwera SCADA, ale w rzeczywistości niewysłane z tego serwera.
Wykrywanie fałszywego ruchu zwykle wiąże się z wykorzystaniem firewalla z kontrolą stanu (Stateful Packet Inspection), który sprawdza stan każdego połączenia i każdy protokół, wykrywa próby nawiązania innego połączenia do urządzeń peryferyjnych, pozwala na transmisję pakietów tylko z już otwartych połączeń.
Zakładając, że autoryzowane urządzenia są już ze sobą odpowiednio połączone, firewall byłby w stanie zablokować nowe, fałszywe połączenia. Dodatkowo mógłby wymusić kierunek otwieranych połączeń tylko w jedną stronę.
Dzięki zastosowaniu rozproszonego firewalla DPI równolegle z centralnym firewallem SPI możliwe jest uzyskanie dobrze odseparowanej, jednocześnie prostej, sieci sterowania ICS. Firewall działający w oparciu o bazę sygnatur, wymagający cyklicznej aktualizacji, powinien być zainstalowany w centrum sterowania.
WYKRYWANIE INTRUZÓW
W atakach typu In-Field zarówno źródło ataku, jak i jego cel znajdują się w obrębie tej samej podstacji. Najbardziej popularnym przykładem tego rodzaju ataku jest Stuxnet, jednakże istnieje długa lista mniej znanych złośliwych programów, które mogą zostać wprowadzone do sieci z komputera serwisanta podczas cyklicznej konserwacji, w sposób niewykrywalny przez centrum sterowania czy dowolny inny centralny system monitorowania.
Aby móc przeciwdziałać tego rodzaju atakom, konieczne jest posiadanie systemu wykrywania włamań IDS (Intrusion Detection System) działającego w każdym z wydzielonych obszarów, w celu monitorowania ruchu sieciowego i wykrywania podejrzanych działań. Sonda systemu IDS musi monitorować kilka rodzajów działań.
Po pierwsze musi monitorować złośliwe oprogramowanie, co wymaga silnika pracującego w oparciu o bazę sygnatur znanych wirusów. System IDS porównuje ruch w wydzielonym obszarze z sygnaturami wirusów i w przypadku wykrycia zgodności generuje alarm.
Niestety samo wykrywanie złośliwego oprogramowania nie wystarczy. Będzie ono dążyć do zaburzenia procesów sterowania w sieci ICS, wysyłając różne polecenia. Polecenia te wykorzystują przemysłowe protokoły, a czasem nawet wartości z "legalnych" urządzeń. W związku z tym system IDS musi również mieć możliwość wykrywania nieprawidłowości (Industrial Anomaly Detection). Silnik IAD uczy się zachowania sieci i tworzy unikalny odcisk sieciowy dla każdego urządzenia. Każde z urządzeń w sieci komunikuje się w obrębie wartości, które mogą zmieniać się w czasie, tylko w określonym zakresie.
WDRAŻANIE
Jak zarządzać tymi wszystkimi zabezpieczeniami? Potrzebny będzie centralny węzeł zarządzania, potrafiący radzić sobie z wszystkimi lukami systemu, których nie da się uniknąć. Taki system pozwoli na przeglądanie, zarządzanie i reagowanie na zdarzenia związane z bezpieczeństwem oraz umożliwi konfigurację firewalli i systemu IDS.
Jako zasadę należy przyjąć, że preferowane są urządzenia samouczące. Dla przykładu, firewall powinien automatycznie nauczyć się zachowania sieci i reguł firewalla. Systemy IDS z zaawansowanym algorytmem uczenia się są szczególnie ważne w złożonych środowiskach sieciowych, wymagających kompleksowej konfiguracji.
Wreszcie, system bezpieczeństwa musi być zintegrowany z aktualnie używanymi przez operatora narzędziami monitorowania. Aby skutecznie wdrożyć system bezpieczeństwa w sieci sterowania ICS, szczególnie istotne jest, aby zarówno operator, jak i dostawca systemów bezpieczeństwa współpracowali ze sobą w celu najlepszego dopasowania oprogramowania zarządzającego bezpieczeństwem do infrastruktury operatora.
Yehonatan Kfir,
dyrektor ds. technologii w Radiflow
Janusz Szeląg,
inżynier wsparcia technicznego
Tekniska Polska Sp. z o. o.
www.tekniska.pl