Anatomia ataku cybernetycznego w sieci OT/IoT

Ataki cybernetyczne mogą przybierać różne, czasem bardzo pomysłowe formy. Dotyczy to zarówno ich planowania, jak i przebiegu samego ataku. Jednak w znakomitej większości przypadków można mówić o pewnym schemacie. Warto go poznać, aby dowiedzieć się, jak chronić sieć przemysłową.

W 2011 roku analitycy z Lockheed Martin Corporation, amerykańskiego koncernu zbrojeniowego, opisali typową koncepcję cyberataku – The cyber kill chain. Składa się ona z siedmiu etapów, ściśle od siebie uzależnionych. W 2015 roku pracownicy SANS Institute przygotowali podobny schemat, tym razem odnoszący się do sieci OT/IoT oraz systemów ICS – The Industrial Control System Cyber Kill Chain. Obie koncepcje mają podobne założenia i dzielą schemat na trzy fazy:

cyberatak_anatomia

Oto dokładne omówienie każdej z faz:

Infekcja

Infekcja firmowego środowiska przemysłowego może mieć dwa źródła:

  • Atak na sieć IT, a następnie uzyskanie dostępu do zasobów OT/IoT,
  • Uzyskanie dostępu do sieci OT/IoT bezpośrednio z Internetu.

Pierwsza sytuacja może wynikać ze słabych zabezpieczeń bądź nieuwagi i naiwności pracowników. Natomiast o możliwości dostępu do sieci OT/IoT bezpośrednio z Internetu przedsiębiorcy często po prostu nie wiedzą. Powodem jest brak inwentaryzacji sieci, przypadkowa zgoda w urządzeniu na wykorzystanie otwartych portów lub niezabezpieczonych protokołów, podłączenie laptopa serwisanta z dostępem do Internetu, itp.

Typowa infekcja polega na wprowadzeniu złośliwych elementów do sieci, np. za pomocą phishingu. W ten sposób cyberprzestępcy uzyskują dostęp do środowiska firmowego i wykorzystują podatności, aby zainstalować złośliwe oprogramowanie. Działania te umożliwiają im eksplorowanie sieci.

Zabezpieczenie sieci OT/IoT oraz IT wymaga wdrożenia różnych uzupełniających się elementów:

1. Ochrona przed atakiem na sieć IT:

  • stosowanie rozwiązań antywirusowych,
  • szkolenia z bezpieczeństwa dla pracowników,
  • odpowiednie zarządzanie dostępem do poufnych i wrażliwych danych w firmie,
  • filtrowanie poczty pracowników pod kątem zagrożeń.

2. Ochrona przed dostępem sieci OT/IoT bezpośrednio do Internetu:

  • odpowiednia konfiguracja firewalli brzegowych,
  • okresowa walidacja reguł separacji oraz poprawności określonych dozwolonych ruchów,
  • stosowanie skanerów do wykrywania podatności, a następnie zarządzanie eliminacją poszczególnych zagrożeń bezpieczeństwa,
  • sprawdzanie dostępu do Internetu z sieci OT.

3. Pozostałe działania:

  • inwentaryzacja sieci pod kątem występujących powiązań środowisk IT oraz OT/IoT
  • zmiana domyślnych haseł i loginów,
  • wdrożenie polityki zarządzania dostępem oraz zarządzania tożsamościami użytkowników,
  • wdrożenie polityki zmiany haseł, najlepiej poprzez zastosowanie narzędzi automatyzujących (np. typu PAM)
  • blokowanie nieużywanych portów i protokołów,
  • aktualizowanie oprogramowania na urządzeniach OT w celu eliminacji podatności, a jeśli to niemożliwe (organizacyjnie lub kosztowo) wprowadzenie analizy ruchu wykorzystującej istniejące podatności,
  • rejestracja ruchu sieciowego, wykrywanie anomalii (zwiększone obciążenie, nieautoryzowane próby dostępu, odpytywanie adresów).

Rozpoznanie

Jeśli pierwsza faza zakończyła się sukcesem, celem przestępcy będzie teraz znalezienie słabych punktów systemu oraz sposobów na zakłócenie procesu produkcyjnego. Jest to tzw. okres rekonesansu.

W tym czasie intruz zbiera informacje o sieci, np. przez nasłuchiwanie ruchu lub wykradanie istotnych dokumentów, które znajdują się w zasobach IT (projekty, listy urządzeń, wykorzystywane oprogramowanie, adresacja).

Ważnym elementem z punktu widzenia intruza jest jak najlepsze poznanie procesu produkcyjnego przedsiębiorstwa. Wiedza o tym, które dane w czujnikach i elementach wykonawczych należy sfałszować, gdzie zmienić temperaturę procesu, wyłączyć chłodzenie, zwiększyć obroty silników, czy zmienić skład/mieszankę produktu – może przynieść spektakularny efekt.

Wykrycie trwającego i postępującego ataku jest dość trudnym zadaniem. Przeciwnicy dla uniknięcia przedwczesnego wykrycia unikają aktywnego testowania swoich pomysłów w środowisku ofiary. Walidacja przygotowanego planu odbywa się najczęściej z zastosowaniem wirtualizacji zasobów.

Czasami dochodzi nawet do zakupu fizycznych urządzeń i oprogramowania przez przestępców na potrzeby ataków. W przypadku przedsiębiorstw kluczowych dla gospodarki organizacje wspierane przez rządy państw trzecich mogą wykorzystywać swoje źródła i metody identyfikacji nietypowych zakupów takiego sprzętu. Równie dobrze jednak intruz może pozostawać w ukryciu przez dłuższy czas, co pozwala uśpić czujność atakowanego.

Skuteczne środki ochrony, które warto podjąć:

  • Ochrona zasobów IT, mających styk z siecią OT/IoT lub znajdujących się w niej,
  • Aktywne reagowanie w momencie pojawienia się informacji o nowo wykrytych podatnościach, które mogą dotyczyć naszego sprzętu i oprogramowania,
  • Blokowanie możliwości komunikacji z wykorzystaniem nieużywanych lub słabo zabezpieczonych protokołów i portów,
  • Analiza i rejestrowanie ruchu po stronie OT/IoT pod względem:
    • zwiększonego obciążenia i wykorzystania protokołów komunikacyjnych,
    • występowania nowych połączeń,
    • prób odwołań do nieużywanych adresów lub mogących pojawiać się aktywnych działań/zapytań w stronę naszej sieci.

Atak

Atak zależy między innymi od doświadczenia i zasobności przestępcy. Może to być atak typu niedostępność usługi (Denial of Service). Jest on związany z przeciążeniem lub całkowitym zablokowaniem ruchu sieciowego bądź unieruchomieniem jednego z urządzeń.

Atakujący mogą również podejmować się bardziej zaawansowanych i trudniejszych do wykrycia prób, np. zakłócenia sterowania bezpieczeństwem kotła, wyłączenia zabezpieczeń elektroenergetycznych, zmiany składu mieszanki produktów (leków, chemikaliów), zwiększenie ciśnienia w układach pneumatycznych lub fałszowanie danych z czujników i aparatur pomiarowych.

Zależnie od celu atakujących takie działania mogą prowadzić do uszkodzenia urządzeń, a także zagrożenia życia pracowników lub osób znajdujących się w strefie oddziaływania atakowanego obiektu.

Aby się chronić, możemy podjąć między innymi następujące kroki:

  • Przygotowanie szczegółowego scenariusza działań na wypadek wystąpienia ataku lub awarii:
    • przeprowadzanie ćwiczeń na wypadek konieczności pełnej izolacji sieci OT/IoT,
    • przeprowadzanie ćwiczeń na wypadek konieczności przejścia na sterowanie ręczne;
  • Ciągła analiza i rejestracja ruchu sieciowego pod kątem występowania różnego rodzaju anomalii,
  • Separacja najbardziej newralgicznych podzespołów dla procesu produkcji i bezpieczeństwa przedsiębiorstwa lub całkowite odseparowanie sieci przemysłowej,
  • Korzystanie z dedykowanych rozwiązań bazujących na uczeniu maszynowym,
  • Wykorzystanie sztucznej inteligencji do wykrywania ataków,
  • Implementacja reguł bezpieczeństwa (np. takich jak YARA Rules, STIX Indicators)

Skuteczne wsparcie ochrony

Odpowiedzią na wyżej wymienione zagrożenia i sposoby ochrony są produkty, które adresują te aspekty. Wiodące rozwiązania na świecie w tej dziedzinie dostarcza Nozomi Networks.

Inwentaryzacja sieci sprawi, że zwiększy się jej bezpieczeństwo. Rozwiązanie to oferuje Guardian™. Dzięki narzędziom do wizualizacji sieci, wspartych zaawansowanymi możliwościami sztucznej inteligencji i uczenia maszynowego, możemy szybko określić, w którym miejscu w sieci i dla jakich jej elementów występują anomalie. Przykłady anomalii to zwiększone obciążenie połączeń, wykorzystanie niezabezpieczonych protokołów, dostęp urządzeń do Internetu, itp.

Wykrywanie zagrożeń na podstawie anomalii i sygnatur (takich jak YARA Rules, STIX Indicators) jest wspierane przez usługę Threat Intelligence. Cyklicznie aktualizowana baza zagrożeń pozwala na kompleksową identyfikację ryzyka i zagrożeń bezpieczeństwa cybernetycznego. Możliwe jest ujawnianie zarówno trwających ataków, jak i zagrożeń we wczesnym etapie.

Rozwiązanie to umożliwia integrację z wieloma produktami automatyki przemysłowej. Jeżeli posiadamy jakieś własne lub zmodyfikowane protokoły, dzięki narzędziom SDK (ang. Software Development Kit) możemy je wdrożyć i zintegrować. Dodatkowo produkty z rodziny Nozomi Networks w prosty sposób integrują się z systemami klasy SIEM, narzędziami do analityki danych oraz firewallami.

Przykład użycia Guardian Nozomi Networks podczas trzech etapów ataku:

infekcja_blokowanie

Blokowanie infekcji

1. Nowy nieznany element dołącza do zaufanej sieci.
2. Guardian wykrywa anomalię i generuje alert.
3. Zapora sieciowa blokuje nowemu węzłowi dostęp do wszystkich elementów sieci.

rozpoznanie_blokowanie

Blokowanie nieautoryzowanej aktywności

1. Węzeł sieciowy w zaufanym środowisku wydaje polecenie przeprogramowania PLC.
2. Guardian wykrywa anomalię i generuje alert.
3. Zapora sieciowa egzekwując zasady blokuje komunikację.

atak_blokowanie

Blokowanie zaawansowanych ataków (np. Malware, Zero Day)

1. Urządzenie SCADA Master zmienia proces w kierunku stanu krytycznego.
2. Guardian wykrywa anomalię i generuje alert.
3. Zapora sieciowa blokuje wszelki dostęp urządzenia SCADA Master.

Chcesz dowiedzieć się więcej?

Zapraszamy na webinar  „Anatomia ataku cybernetycznego w sieci OT/IoT” – już 20 maja o 12:00.

Źródła:

  1. Cyber-kill Chain (dostęp: 07.05.2020)
  2. Michael J. Assante, Robert M. Lee, The Industrial Control System Cyber Kill Chain. SANS Institute, 2015.
  3. Pascal Ackerman, Industrial Cybersecurity. Birmingham: Packt Publishing, 2017. ISBN 978-1-78839-515-1.