Zwalczanie cyberataków

Yehonatan Kfir, Janusz Szeląg (Tekniska Polska ) drukuj

25 listopada 2016 roku

Aby zoptymalizować budżet bezpieczeństwa ważne jest zrozumienie potencjalnych faz ataku na sieci ICS. Wiedza ta umożliwi wprowadzenie spójnej strategii obrony i rozwój odpowiednich mechanizmów kontrolnych

Obawy przed atakami cybernetycznymi na systemy kontroli automatyki przyczyniają się do opracowywania odpowiednich rozwiązań technologicznych. Jednak do zarządzania bezpieczeństwem, jako procesem złożonym, wymagane jest również przygotowanie kwalifikowanych kadr oraz stworzenie odpowiednich procesów biznesowych.

Rozwój technologii sieciowych spowodował zwiększenie dostępności zdalnych systemów sterowania i monitoringu, które pozwalają przedsiębiorstwom przemysłowym optymalizować produkcję i dystrybucję. Niestety, przejście na zdalne sterowanie i monitoring urządzeń SCADA ma też swoje minusy. Naraża krytyczne sieci przemysłowe na cyberataki. Nowoczesne infrastruktury, takie jak podstacje, rurociągi ropy i gazu czy wodociągi, są dużymi, rozproszonymi obiektami. Dlatego operatorzy muszą stale monitorować i kontrolować wiele różnych urządzeń zakładu, aby zapewnić jego prawidłowe działanie.

Zagrożenia cybernetyczne

Zastosowanie w procesach przemysłowych niezabezpieczonego systemu sterowania i nadzoru, wykorzystującego urządzenia sieciowe SCADA, może narazić podstację energetyczną na znaczne uszkodzenia, spowodowane złośliwym atakiem cybernetycznym. Oprócz strat fizycznych i finansowych firmy, atak na sieć SCADA może mieć również niekorzystny wpływ na środowisko naturalne i zagrażać bezpieczeństwu publicznemu. Dlatego zabezpieczenia w sieciach SCADA stały się w ostatnich latach częstym tematem dyskusji.

Większa uwaga skupiana na bezpieczeństwie przemysłowych systemów sterowania (ICS) zaowocowała pojawieniem się wielu produktów i przepisów mających na celu zniwelowanie ryzyka. Należą do nich: przemysłowe zapory (firewall), przemysłowe IDS-y, połączenia jednokierunkowe, SIEM-y itd., których koszt zakupu ostatecznie ponosi operator. Oprócz tego, kwestia bezpieczeństwa jest złożonym procesem wymagającym wyszkolonego personelu i wdrożenia nowych procedur.

Anatomia ataku cybernetycznego

W zrozumieniu sposobu myślenia atakującego pomagają doświadczenia, zebrane podczas analizy ataków cybernetycznych na przemysłowe systemy sterowania. Ogólnie atak cybernetyczny można podzielić na kilka etapów. W pierwszym z nich atakujący dokonuje rozpoznania, zbiera informacje na temat celu. Narzędzia sieciowe, takie jak np. Shodan (ics-radar.shodan.io) pozwalają zajrzeć do sieci ICS podłączonych do Internetu. Oprócz tego, na czarnym rynku cybernetycznym dostępne są informacje dotyczące systemów SCADA, zawierające adresy IP oraz hasła i dane operatorów. Po dokonaniu rozpoznania, atakujący znajduje sposób na dostanie się do sieci korporacyjnej poprzez stronę firmową, złośliwe e-maile czy zainfekowany dysk USB. W sieci korporacyjnej szuka informacji na temat systemu sterowania (sieci ICS) i sterowników: zależności między sterownikami i określonymi procesami, procedury firmowe, hasła itp.

Atakujący będzie również szukać informacji na temat potencjalnych luk w sieci sterowania (w przeciwieństwie do nazwy „izolowane sieci ICS”, bariera oddzielająca sieci ICS od świata zewnętrznego nie jest szczelna). Może to być np. serwer danych procesowych (Historian) podłączony zarówno do sieci sterowania, jak i do sieci korporacyjnej, czy złośliwe oprogramowanie, zainstalowane podczas planowej konserwacji z lokalnego komputera serwisanta lub zdalnego serwisu dostawcy. Kolejnym potencjalnym słabym punktem jest łańcuch dostaw – elementy wysyłane do konserwacji mogą wrócić zainfekowane złośliwym oprogramowaniem.

Atakujący wewnątrz sieci

Po dostaniu się do sieci atakujący weryfikuje jej architekturę oraz informacje pozyskane wcześniej.

Z jego punktu widzenia ma to krytyczne znaczenie, jeśli chce dokonać efektywnego ataku. W jaki sposób atakujący weryfikuje uzyskane informacje? Przeglądając nazwy serwera OPC, które mogą zawierać różne informacje, dokonując zrzutu ekranu z panelu HMI, czy próbując wyśledzić w sieci drogę komunikacji ze sterownikami. Oprócz tego, może próbować wysłać niegroźne polecania do sterownika będącego jego celem. Może też spróbować zmienić wartości niektórych parametrów sterownika (upewniając się przy tym, że w dalszym ciągu będą raportowane stałe wartości, co zapobiegnie wykryciu). Wszystkie te działania mają zagwarantować atakującemu, że w wybranym dniu będzie w stanie przejąć kontrolę nad systemem i spowodować zamierzone szkody. Po etapie weryfikacji zwykle następuje okres oczekiwania, w którym atakujący się nie ujawnia.

Analiza zagrożeń

Rozważmy sieć, w której z głównego centrum sterowania można komunikować się z wieloma odległymi miejscami. W każdej z tych odległych lokalizacji znajdują się urządzenia peryferyjne, takie jak sterowniki PLC, IED. Dla uproszczenia przyjmijmy, że komunikacja każdej ze zdalnych stacji odbywa się tylko z głównym centrum sterowania, przy wykorzystaniu zaufanego tunelu VPN pomiędzy bramami. Wówczas działania atakującego wewnątrz sieci sterowania mogą być podzielone na następujące kategorie:

Field-to-Field – atak z jednej zainfekowanej zdalnej stacji lub urządzenia peryferyjnego na drugą;
Center-to-Field – atak, który inicjuje ruch z centrum sterowania, mający na celu zaszkodzić lub przejąć kontrolę nad urządzeniem peryferyjnym;
Field-to-Center – atak inicjujący ruch ze zdalnej stacji do centrum sterowania;
In Field – atak z jednego urządzenia peryferyjnego na drugie, w obrębie tej samej lokalizacji, w tym atak pojawiający się w tym samym, wydzielonym segmencie.

Segregacja sieci

Przeciwdziałanie atakom Field-to-Field rozpoczynamy od przekierowania do tunelu IPsec VPN całego ruchu ze zdalnej stacji do centrum sterowania. Ponadto na każdej stacji wymagany będzie przemysłowy, rozproszony firewall DPI pozwalający operatorowi na blokowanie ruchu z innych stacji oraz tworzenie reguł dostępu użytkowników do określonych urządzeń.

DPI (Deep-Packet-Inspection) to metoda filtrowania ruchu sieciowego oparta na analizie warstwy aplikacji pakietów. W tej warstwie znajduje się informacja o aplikacji, która wysyła/odbiera dany pakiet. W protokołach przemysłowych warstwa aplikacji często zawiera takie informacje, jak identyfikator odbiorcy, ustawiane wartości, polecenia itd. Przy pomocy firewalla DPI operator może wymusić określone zachowania. Zastosowanie przemysłowego, rozproszonego firewalla DPI w połączeniu z tunelem VPN daje pewność, że cały ruch dociera tylko z zaufanych adresów IP, i że każdy adres otrzymuje odpowiednie uprawnienia dla określonych poleceń. Przeciwdziałanie atakom typu Field-to-Center i Center-to-Field jest trochę bardziej skomplikowane. Zapobieganie takim atakom polega na zapewnieniu bezpiecznych zdalnych połączeń, bez złośliwego oprogramowania i nieautoryzowanego ruchu.

Wykrywanie złośliwego oprogramowania zwykle realizowane jest przez firewalla na podstawie bazy sygnatur wirusów. Z uwagi na to, że baza sygnatur musi być często uaktualniana najwygodniej byłoby zainstalować jedną instancję firewalla w centrum sterowania. Innym zagrożeniem jest fałszywy ruch, taki jak np. polecenie zainicjowane w centrum sterowania, z adresu IP serwera SCADA, ale w rzeczywistości nie wysłane z tego serwera.

Wykrywanie fałszywego ruchu zwykle wiąże się z wykorzystaniem firewalla z kontrolą stanu (Stateful Packet Inspection), który sprawdza stan każdego połączenia i każdy protokół, wykrywa próby nawiązania innego połączenia z urządzeniem peryferyjnym, pozwala na transmisję pakietów tylko z już otwartych połączeń. Zakładając, że autoryzowane urządzenia są już ze sobą odpowiednio połączone, firewall byłby w stanie zablokować nowe, fałszywe połączenia. Dodatkowo mógłby wymusić kierunek otwieranych połączeń, tylko w jedną stronę.

Dzięki zastosowaniu rozproszonego firewalla DPI równolegle z centralnym firewallem SPI możliwe jest uzyskanie dobrze odseparowanej, jednocześnie prostej, sieci sterowania ICS. Firewall działający w oparciu o bazę sygnatur, wymagający cyklicznej aktualizacji, powinien być zainstalowany w centrum sterowania.

Przeciwdziałanie atakom Field-to-Field rozpoczynamy od przekierowania do tunelu IPsec VPN całego ruchu ze zdalnej stacji do centrum sterowania

Wykrywanie intruzów

W atakach typu In-Field zarówno źródło ataku, jak i jego cel znajdują się w obrębie tej samej podstacji. Najbardziej popularnym przykładem tego rodzaju ataku jest Stuxnet, jednakże istnieje długa lista mniej znanych złośliwych programów, które mogą zostać wprowadzone do sieci z komputera serwisanta podczas cyklicznej konserwacji, w sposób niewykrywalny przez centrum sterowania, czy dowolny inny centralny system monitorowania. Aby móc przeciwdziałać tego rodzaju atakom, konieczne jest wdrożenie systemu wykrywania włamań IDS (Intrusion Detection System), działającego w każdym z wydzielonych obszarów, w celu monitorowania ruchu sieciowego i wykrywania podejrzanych działań. Przy czym sonda systemu IDS powinna kontrolować kilka działań jednocześnie. Musi wykrywać złośliwe oprogramowanie, co wymaga silnika korzystającego z aktualnej bazy sygnatur znanych wirusów – system IDS porównuje ruch w wydzielonym obszarze z sygnaturami wirusów i w przypadku wykrycia zgodności generuje alarm.

Mimo wykrycia, złośliwe oprogramowanie może powodować zaburzenia procesów sterowania w sieci ICS poprzez wysyłanie różnych poleceń. Polecenia te wykorzystują przemysłowe protokoły, a czasem nawet wartości z „legalnych” urządzeń. W związku z tym system IDS musi również mieć możliwość wykrywania nieprawidłowości (Industrial Anomaly Detection). Silnik IAD „uczy się” zachowania sieci i tworzy unikalny odcisk sieciowy dla każdego urządzenia. Każde z urządzeń w sieci komunikuje się w obrębie wartości, które mogą zmieniać się w czasie, tylko w określonym zakresie.

Wdrażanie

Jak zarządzać tymi wszystkimi zabezpieczeniami? Potrzebny będzie centralny węzeł zarządzania, potrafiący radzić sobie z wszystkimi lukami systemu, których nie da się uniknąć. Taki system pozwoli na przeglądanie, zarządzanie i reagowanie na zdarzenia związane z bezpieczeństwem oraz umożliwi konfigurację firewalli i systemu IDS. Należy przyjąć zasadę, że preferowane są urządzenia inteligentne z zaawansowanym algorytmem uczenia się. Dla przykładu, firewall powinien automatycznie nauczyć się zachowania sieci i reguł firewalla. Inteligentne systemy IDS są szczególnie ważne w złożonych środowiskach sieciowych, wymagających kompleksowej konfiguracji.

System bezpieczeństwa musi być zintegrowany z aktualnie używanymi przez operatora narzędziami monitorowania. Aby skutecznie wdrożyć system bezpieczeństwa w sieci sterowania ICS, zarówno operator, jak i dostawca systemów bezpieczeństwa muszą współpracować ze sobą w celu jak najlepszego dopasowania oprogramowania zarządzającego bezpieczeństwem do infrastruktury operatora.

Tekniska Polska Przemysłowe Systemy Transmisji Danych Sp. z o.o.

ul. Łabędzka 9–9a, 44-121 Gliwice
tel. 32 33 111 06, fax 32 33 111 09
e-mail: tekniska@tekniska.pl
www.tekniska.pl

źródło: Automatyka 7-8/2016

Słowa kluczowe

cyberataki, cyberbezpieczeństwo

Komentarze

Ostatnio dodane

Najczęściej czytane

Polecane

Konferencja "Niezawodność i Utrzymanie Ruchu w zakładach produkcyjnych" w Kielcach

Konferencja "Optymalizacja zużycia energii i mediów technicznych" w Kielcach

Instrukcja obsługi maszyn wg EN ISO 20607 - treść, forma, opracowywanie i odbieranie

Oznaczenie CE sprzętu elektrycznego podlegającego dyrektywie niskonapięciowej (LVD)