Pet mitova o bezbednosti industrijskih kontrolnih sistema

Tekstovi o zaštiti, 25.06.2015, 00:00 AM

Pet mitova o bezbednosti industrijskih kontrolnih sistema

I pored povećane svesti o sajber napadima na industrijske kontrolne sisteme, mnogi bezbednosni IT modeli se i dalje pridržavaju zastarelog verovanja da je fizička izolacija sistema kao metod zaštite sasvim dovoljna. Međutim, to nije istina. Andrej Nikišin, direktor sektora za buduće tehnologije u kompaniji Kaspersky Lab, opisao je pet najčešćih mitova o bezbednosti industrijskih kontrolnih sistema. Nikišin je objasnio i zbog čega tradicionalni pristup sajber bezbednosti, koji se oslanja na fizičku i vazdušnu izolovanost, više nije dovoljan kako bi bili zaštićeni industrijski sistemi.


MIT # 1: NAŠI INDUSTRIJSKI AUTOMATIZOVANI SISTEMI NISU POVEZANI NA INTERNET, TAKO DA SU BEZBEDNI

Realnost: Prosečan industrijski kontrolni sistem (ICS) ima 11 direktnih priključaka na internet. Ako smatrate da je vaš sistem izuzetak, bilo bi pametno da proverite još jednom.

Interna anketa sprovedena u jednoj velikoj energetskoj kompaniji je pokazala da većina zaposlenih u okviru poslovnih jedinica smatra da kontrolni sistemi nisu povezani na poslovnu mrežu; međutim, revizijom je utvrđeno da je 89% sistema zapravo povezano na mrežu.

Pored toga, bezbednost poslovne mreže je bila usmerena samo ka opštim poslovnim procesima, pri čemu se nije obraćala pažnja na sisteme za kritične procese. Prisutne su bile višestruke veze između mreže kompanije i interneta, uključujući i intranet, direktnu internet konekciju, wi-fi konekciju i dial-up modeme.

Ovakva vrsta nejednake bezbednosti može da učini kompaniju potpuno ranjivom. Uzmimo kao primer „Slammer" crva. On je napao raznovrsnu kritičnu infrastrukturu kao što su hitne službe, kontrola vazdušnog saobraćaja i bankomati, i uspeo je da uspostavi maksimalnu brzinu skeniranja (55 miliona u sekundi) za manje od tri minuta — i to zahvaljujući internetu. Ironično, jedina stvar koje je usporila ovog crva jeste manja brzina protoka na mrežama na kojima se infiltrirao:

  • Procesni računari i sistemi za bezbednosni prikaz u Davis-Besse nuklearnoj elektrani su inficirani pomoću T1 kabla, pri čemu im je na 5 sati bilo onemogućeno da obavljaju bezbednosna nadgledanja.

  • Severnoamerički odbor za pouzdanost električne energije (The North American Electric Reliability Council) otkrio je da je kod svih električnih kompanija koje je napao „Slammer“, karakterističan uzrok bila infekcija putem VPN konekcije ka udaljenom računaru. Kako je taj računar bio inficiran? Preko korporativne mreže. Crv se razmnožio i blokirao je SCADA saobraćaj.

  • Obavljeno je infiltriranje u vodovodni sistem u gradu Harisburgu (Harrisburg) u SAD, i to putem zaraženog laptopa jednog od zaposlenih u vodovodu. Sajber kriminalac je iskoristio pristup računaru tog radnika kako bi se infiltrirao na SCADA HMI softver i instalirao malver i spyware.

MIT # 2: IMAMO ZAŠTITNI ZID, BEZBEDNI SMO OD SPOLJAŠNJIH PRETNJI

Realnost: Zaštitni zidovi pružaju zaštitu do određene mere, ali svakako nisu neprobojni. Analizom 37 zaštitnih zidova u finansijskim, energetskim, telekomunikacionim, medijskim i automobilskim kompanijama je utvrđeno da je:

  • Skoro 80 odsto njih dozvolilo „svim“ uslugama dolazni pristup kao i nebezbedan pristup zaštitnim zidovima i neutralnoj zoni.

  • Skoro 70 odsto njih dozvolilo mašinama van opsega mreže da imaju pristup zaštitnom zidu.

MIT # 3: HAKERI NE RAZUMEJU SCADA/DSC/PLC

Realnost: U današnje vreme, SCADA softver i sistemi za kontrolu procesa su uobičajene teme na „bezbednosnim“ konferencijama gde se okupljaju hakeri. Za to postoji dobar razlog: sajber kriminal je postao veoma unosan posao, pri čemu se virusi prodaju članovima organizovanih kriminalnih grupa po ceni i do 80 hiljada američkih dolara po komadu . Ako smatrate da hakeri nisu zainteresovani ili nemaju mogućnosti da napadnu industrijske kontrolne sisteme, ovo su neke stvari koje bi trebalo da znate:

  • Virusni crvi i druge pretnje se danas kreiraju za tačno određene aplikacije ili mete.

  • Specifikacije SCADA softvera sa lako mogu kupiti ili im se može pristupiti putem interneta. One predstavljaju odlično štivo za hakere i pružaju im uvid u informacije koje im inače ne bi bile poznate.

  • Shodan“ pretraživač olakšava da se lociraju industrijski uređaji i sistemi na globalnom nivou. Kriminalci su svesni da ovi uređaji u velikom broju slučajeva funkcionišu u skladu sa fabričkim podešavanjima, sa generičkim lozinkama i podacima za prijavljivanje kao što su „admin" i „1234"

  • Project Basecamp, Nessu plug-in i Metasploit moduli pomažu u penetracionim testovima — ali se takođe mogu koristiti u kriminalne svrhe.

MIT # 4: NAŠ OBJEKAT NIJE META

Realnost: Čak i ako zanemarimo činjenicu da ne postoji mogućnost da budete apsolutno sigurni u ovu tvrdnju, ovo su neki od razloga zbog čega je to svakako irelevantno.

Pre svega, organizacije ne moraju da budu meta napada da bi postale žrtve — 80 odsto bezbednosnih incidenata u vezi sa kontrolnim sistemima su bili nenamerni, ali ipak štetni. „Slammer“ crv, na primer, je imao za cilj da obori što veći broj sistema na globalnom nivou. On nije posebno napadao energetske kompanije ili hitne službe, ali je imao značajan uticaj na mnoge od njih.

Pored toga, mnogi sistemi su već izloženi napadu ili su ranjivi, zahvaljujući nebezbednim operativnim sistemima koje koriste. Na osnovu opsežnog istraživanja koje je sprovela kompanija Kaspersky Lab, koristeći podatke sa Kaspersky Security Network mreže (KSN), primetno je da se sve veći broj računara koji funkcionišu pomoću SCADA softvera suočava sa istim malverom koji napada poslovne sisteme (IT), uključujući (ali ne i ograničavajući se na) poznate aktere kao što su trojanski virusi, crvi, neželjeni i štetni programi (PUP) i druge pretnje koje iskorišćavaju ranjivosti u Windows operativnom sistemu.

MIT # 5: NAŠ BEZBEDNOSNI SISTEM ĆE NAS ZAŠTITITI OD NAPADA

Realnost: Bitno je da znamo da većina bezbednosnih sistema koji su trenutno dostupni ima određeni tehnički nedostatak. Upravo je ovo razlog zbog čega kompanija Kaspersky Lab radi na bezbednom operativnom sistemu, pri čemu obraća pažnju na njegovo obezbeđivanje još od samog početka (a ne nakon kreiranja operativnog sistema). Neki od glavnih problema sa trenutnim sistemima su:

  • IEC 61508 sertifikat (SIL) ne ocenjuje bezbednost.

  • Savremeni studentski informacioni sistemi (SIS) su sistemi zasnovani na mikro procesoru i mogu se programirati, a konfigurišu se pomoću računara sa Windows operativnim sistemom.

  • Postala je uobičajena praksa da se kontrolni i bezbednosni sistemi integrišu pomoću eternet komunikacije sa otvorenim i nesigurnim protokolima (Modbus TCP, OPC.)

  • Mnogi interfejs moduli SIS komunikacije rukovode ugrađenim operativnim sistemom i eternet mrežnim prtokolima koji imaju već poznate ranjivosti.

  • LOGIIC SIS Projekat (ICSJWG): SIS-ICS integracija donosi određene rizike, fabričke konfiguracije nisu bezbedne.

U REDU... ŠTA MI ONDA MOŽEMO DA UČINIMO?

Da bi se uspešno odbranili od napada u okruženju industrijskih kontrolnih sistema koji su zasnovani na procesima, bezbednosni sistemi moraju da ispune određene zahteve.

Iako pristupi koji se oslanjaju na fizičku i vazdušnu izolovanost predstavljaju dobru prvu liniju odbrane, neophodno je da postoji zaštita i unutar kompleksa, na najranjivijim sistemima i uređajima koji mogu biti potencijalna meta napada.

Kako aktivnosti sajber kriminalaca, uključujući ciljane napade i napredne uporne pretnje (APT), nastavljaju da se razvijaju i postaju sve češće i sofisticiranije, trebalo bi konstantno proveravati i ocenjivati bezbednosne sisteme. Takođe, kada su u pitanju industrijski kontrolni sistemi (ICS), sva ustanovljena verovanja bi trebalo prispitati.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje