Strategie ochrony ICS

Przy projektowaniu i obsłudze przemysłowych systemów sterowania (ICS) należy wziąć pod uwagę kilka obszarów, o których piszemy w tym artykule.

Biała lista dopuszczonych aplikacji

Biała lista aplikacji (AWL) pomaga wykrywać próby uruchomienia złośliwego oprogramowania i zapobiegać im. Statyczny charakter niektórych systemów, takich jak serwery baz danych czy komputery z interfejsem człowiek-maszyna (HMI), z racji charakteru pracy są łatwe do zaimplementowania i uruchomienia AWL.

Zarządzanie aktualizacjami

Systemy, które nie są poddawane stałej aktualizacji stają się łatwym celem ataku. Należy wprowadzić program zarządzania aktualizacjami skoncentrowany na bezpiecznym imporcie i implementacji zaufanych łat, pomagający utrzymać bezpieczeństwo systemów sterowania. Powinno się rozpocząć od analizy aktualnego stanu i stworzenia spisu wersji, aby śledzić, jakie aktualizacje są potrzebne. Priorytetem jest zarządzanie aktualizacjami i konfiguracją maszyn „architektury PC” używanych w interfejsach HMI, serwerach baz danych i przemysłowych stacjach roboczych – te elementy są szczególnie narażone na atak cybernetyczny. Zainfekowane laptopy mogą być istotnym nośnikiem złośliwego oprogramowania. Bieżąca instalacja aktualizacji ogranicza liczbę potencjalnie zainfekowanych urządzeń, które mogą być podłączone do sieci OT.

Przed zainstalowaniem na docelowych komputerach pliki aktualizacyjne powinny zostać każdorazowo zweryfikowane w środowisku testowym, które ma funkcje wykrywania złośliwego oprogramowania. Aktualizacje należy pobierać wyłącznie z uwierzytelnionych witryn dostawców, a ponadto powinny być one podpisane cyfrowo.

Ograniczenie obszaru możliwego ataku

Należy izolować sieć ICS od niezaufanych sieci, zwłaszcza Internetu, oraz zablokować wszystkie nieużywane porty i wyłączyć wszystkie nieużywane usługi. Łączność w czasie rzeczywistym z sieciami zewnętrznymi dopuszczalna jest tylko wtedy, gdy istnieją uzasadnione wymagania biznesowe lub wymagana jest zdalna funkcja kontrolna.

Zaprojektowanie środowiska odpornego na atak

Można ograniczyć uszkodzenia spowodowane atakiem, gdy sieć jest podzielona na logiczne enklawy za pomocą VLAN, a możliwe ścieżki komunikacyjne między hostami są ograniczone (powinno się stosować switche zarządzane). Należy zawsze używać pojedynczego otwartego portu. Wszelkie nieużywane porty powinny zostać zidentyfikowane i zamknięte.

W przypadku konieczności zdalnego monitoringu wybranych urządzeń IoT warto rozważyć zastosowanie bramy (komunikującej się przez odpowiednie połączenie LTE i szyfrowany kanał VPN), podłączonej do wybranego portu fizycznego izolowanego od reszty sieci. Dzięki takim zabiegom dostęp intruza zostaje ograniczony, co umożliwia normalną komunikację systemową w pozostałych podsieciach, redukując potencjalne szkody. Zainfekowane systemy nie mogą być używane do osiągania i zanieczyszczania systemów w innych segmentach logicznych sieci. Ze względu na mniejszy obszar ataku zabezpieczenie zapewniane przez VLAN czy bramę sprawia również, że usuwanie skutków incydentów jest mniej kosztowne. Jeśli wystarczający jest jednokierunkowy transfer danych (ale nie w czasie rzeczywistym) ze strefy bezpiecznej do strefy mniej bezpiecznej, należy rozważyć użycie zatwierdzonego nośnika wymiennego zamiast połączenia sieciowego. Gdy wymagany i jednocześnie wystarczający jest jednokierunkowy transfer danych w czasie rzeczywistym, można rozważyć zastosowanie technologii separacji optycznej, tzw. diodę danych.

Zarządzanie uwierzytelnianiem

Przejęcie kontroli nad danymi uwierzytelniającymi, szczególnie tymi, które są powiązane z kontami o wysokim poziomie uprzywilejowania, może być istotnym wektorem ataku. Naruszenie tych danych pozwala przeciwnikowi udawać legalnego użytkownika, pozostawiającego mniej dowodów niż w przypadku wykorzystania luk w zabezpieczeniach albo uruchamiania złośliwego oprogramowania.

W miarę możliwości należy zaimplementować uwierzytelnianie wielopoziomowe. Uprawnienia powinny zostać ograniczone do niezbędnego minimum – takiego, jakie jest potrzebne do realizacji zadań użytkownika. Jeśli stosowanie haseł jest konieczne, należy wdrożyć zasady tworzenia bezpiecznych haseł – długość ponad złożoność. Dla wszystkich kont, w tym kont systemowych, hasła muszą być unikalne i zmieniane w rozsądnych odstępach czasu, ale nie rzadziej niż co 90 dni.

Należy stosować osobne poświadczenia dla sieci korporacyjnej i sterowania i przechowywać je w osobnych miejscach. Trzeba ponadto unikać udostępniania Active Directory, serwerów RSA ACE między sieciami korporacyjnymi i kontrolnymi.

Implementacja bezpiecznego zdalnego dostępu

Niektórzy skutecznie zdobywają zdalny dostęp do systemów kontroli, znajdując niejasne wektory dostępu, a nawet „ukryte tylne drzwi”, celowo tworzone przez operatorów systemów. W miarę możliwości należy analizować takie ryzyko i usuwać taki dostęp, jeżeli nie jest wymagany (np. nieszyfrowane połączenie modemowe). Tam, gdzie to możliwe, powinno się dać dostęp „tylko do monitorowania”, wymuszony przez diody danych i nie polegać na dostępie „tylko do odczytu” wymuszonym przez konfigurację oprogramowania lub uprawnienia.

Nie należy zezwalać na połączenia zdalnych użytkowników z siecią sterującą bez wiedzy administratora. Zdalny dostęp musi być kontrolowany przez operatora, ograniczony czasowo i określony proceduralnie. Należy używać tych samych ścieżek dostępu zdalnego dla połączeń dostawcy i pracownika – nie zezwalać na podwójne standardy. W miarę możliwości powinno się stosować uwierzytelnianie dwuskładnikowe, unikając schematów, w których oba składniki – login i hasło – są podobne i można je łatwo odgadnąć.

Monitorowanie podejrzanego ruchu i szybka reakcja

Ochrona sieci przed zagrożeniami wymaga aktywnego monitorowania ruchu w sieci i wykrywania nieautoryzowanego dostępu do niej. W takim przypadku reakcja powinna być możliwie szybka, a zatem odpowiednio wcześniej muszą być przygotowane scenariusze reakcji na zagrożenia. Należy opracować procedury monitorowania w kilku kluczowych obszarach. Pierwszy z nich to ciągłe monitorowanie ruchu sieciowego na granicach OT i IT pod kątem nieprawidłowej lub podejrzanej komunikacji i poszukiwania złośliwych połączeń lub treści. Warto rozważyć zastosowanie programów analizujących aktywność w sieci, bazujących na algorytmach sztucznej inteligencji, a jeżeli nie można ich zastosować – systemów IPS (Host Intrusion Prevention Systems), które wykrywają i blokują ataki za pomocą porównania zachowania ze wzorcem. Kolejne obszary dotyczą analizy logowań (tj. czasu i miejsca), aby wykrywać nieautoryzowane użycie loginów i haseł oraz analizy aktywności użytkownika w celu wykrycia manipulacji kontrolą dostępu.

Podsumowanie

Bezpieczeństwo cybernetyczne systemów automatyki przemysłowej będzie odgrywać coraz większą rolę w planowaniu i projektowaniu infrastruktury automatyki przemysłowej. Kluczowe jest ciągłe monitorowanie i wykrywanie anomalii oraz szybka reakcja. Normy wskazują konkretne zbiory tzw. dobrych praktyk, jak również wymagania, jakie powinni spełniać użytkownicy systemów, ich wykonawcy oraz dostawcy poszczególnych komponentów.

W artykule wykorzystano informacje pochodzące z artykułu „Seven Strategies to Defend ICS” National Cybersecurity and Communictaion Integrataion Center.

ANTAIRA TECHNOLOGIES Sp. z o.o.
ul. Kieślowskiego 3/U6, 02-962 Warszawa
tel. 22 862 88 81, fax 22 862 88 82
e-mail: info@antaira.eu 
www.antaira.pl

source: Automatyka 11/2019