5 mitów dotyczących bezpieczeństwa infrastruktury krytycznej


5 mitów dotyczących bezpieczeństwa infrastruktury krytycznej
2015-06-23
Mimo rosnącej świadomości odnośnie ataków cybernetycznych na systemy przemysłowe i infrastrukturę krytyczną wiele modeli bezpieczeństwa IT nadal opiera się na przestarzałym poglądzie, zgodnie z którym wystarczy fizycznie odizolować systemy i stosować klasyczne metody bezpieczeństwa.

Niestety, biorąc pod uwagę stopień zaawansowania współczesnych cyberprzestępców, takie podejście jest niewystarczające. Eksperci z Kaspersky Lab przyjrzeli się pięciu popularnym mitom dotyczącym ochrony systemów przemysłowych.  

 

Mit 1: Nasze systemy automatyki przemysłowej nie są połączone z internetem, zatem są bezpieczne.

Rzeczywistość: Typowy system sterowania przemysłowego (ang. ICS) posiada 11 bezpośrednich połączeń z internetem. Jeżeli dana organizacja uważa, że jest wyjątkiem, może być w błędzie. Badanie przeprowadzone w dużej firmie z branży energetycznej ujawniło, że większość menedżerów oddziałów uważała, że systemy kontroli nie są połączone z siecią firmową. Audyt wykazał, że 89% systemów posiadało takie połączenie. Co więcej, ochrona sieci firmowej była nastawiona jedynie na ogólne procesy biznesowe, bez uwzględniania systemów odpowiedzialnych za funkcje krytyczne. Istniały różne rodzaje połączeń między siecią przedsiębiorstwa a internetem, takie jak intranet, bezpośrednie połączenie z Siecią, połączenie bezprzewodowe oraz za pośrednictwem modemów telefonicznych.  

Taka niepełna ochrona może sprawić, że obiekt będzie podatny na ataki. Jako przykład może posłużyć robak Slammer. Szkodnik ten zainfekował niezwykle zróżnicowaną infrastrukturę krytyczną obejmującą pogotowie ratunkowe, kontrolę ruchu oraz bankomaty, osiągając pełną szkodliwą aktywność w ciągu niecałych trzech minut – dzięki internetowi. Jak na ironię, jedynym czynnikiem, który spowolnił go, był brak przepustowości w sieciach, do których przeniknął. Oto kilka przykładów incydentów z udziałem tego szkodnika:

- Komputery odpowiedzialne za kontrolowanie procesów i systemy wyświetlania informacji dotyczących bezpieczeństwa w elektrowni nuklearnej Davis-Besse w Ohio zostały zainfekowane za pośrednictwem połączenia internetowego podwykonawcy, w wyniku czego monitoring bezpieczeństwa był niedostępny przez pięć godzin.

- Rada North American Electric Reliability Council odkryła, że wśród firm z branży energetycznej zaatakowanych przez Slammera znalazł się jeden przypadek infekcji za pośrednictwem połączenia VPN ze zdalnym komputerem. W jaki sposób został zainfekowany ten komputer? Poprzez sieć firmową. Robak rozprzestrzeniał się, blokując ruch wewnątrz sieci odpowiedzialnej za sterowniki przemysłowe SCADA.

- Do Harrisburg Water Systems w Stanach Zjednoczonych robak przedostał się za pośrednictwem zainfekowanego laptopa pracownika. Cyberprzestępca wykorzystał zdalny dostęp pracownika do infiltracji interfejsu systemu SCADA i zainstalowania szkodliwego kodu oraz oprogramowania szpiegującego.

 

Mit 2: Mamy zaporę sieciową, dlatego jesteśmy zabezpieczeni przed zagrożeniami z zewnątrz.

Rzeczywistość: Zapory sieciowe oferują pewien stopień ochrony, ale z pewnością nie są niemożliwe do przeniknięcia. W badaniu obejmującym 37 zapór sieciowych w firmach z branży finansowej, energetycznej, telekomunikacyjnej, mediów i motoryzacyjnej ustalono, że:

- Niemal 80% systemów zabezpieczeń zezwalało dowolnym usługom na wejście do sieci oraz na niezabezpieczony dostęp do zapory sieciowej i strefy zdemilitaryzowanej.

- Niemal 70% systemów zabezpieczeń zezwalało maszynom spoza sieci na dostęp do zapory sieciowej i zarządzanie nią. 

 

Mit 3: Hakerzy nie rozumieją systemów przemysłowych SCADA/DCS/PLC.

Rzeczywistość: Systemy SCADA i rozwiązania służące do sterowania procesami to tematyka poruszana regularnie na konferencji hakerskiej „Blackhat”. Ponadto cyberprzestępczość stała się bardzo lukratywnym zajęciem – szkodliwe programy wykorzystujące luki, dla których nie ma jeszcze poprawek bezpieczeństwa (tzw. expoity zero-day), są sprzedawane zorganizowanym grupom przestępczym nawet za 80 tys. dolarów. Poniższe fakty świadczą o tym, że cyberprzestępcy posiadają motywację i możliwości, by atakować systemy sterowania przemysłowego:

- Cyberprzestępcy mają coraz większe doświadczenie w tworzeniu szkodliwych programów ukierunkowanych na konkretne cele, systemy i aplikacje.

- Gotowe specyfikacje systemów SCADA są w sprzedaży lub są łatwo dostępne online. Stanowią one doskonałą lekturę dla wszystkich zainteresowanych, którzy dzięki nim mogą zrozumieć, jak działają te systemy.

- Wyszukiwarka Shodan ułatwia lokalizowanie niezabezpieczonych urządzeń oraz systemów przemysłowych na całym świecie. Niektóre z tych urządzeń nadal działają z ustawieniami fabrycznymi, posiadając typowe hasła oraz loginy, takie jak „admin" czy „1234".   

 

Mit 4: Nasz obiekt nie stanowi celu.

Rzeczywistość: Przede wszystkim, nigdy nie można mieć pewności, że nie jest się potencjalnym celem ataków. Dodatkowo, warto wziąć pod uwagę dwa następujące fakty.

Po pierwsze, nie trzeba być celem, aby stać się ofiarą – 80% incydentów naruszenia bezpieczeństwa systemów sterowania było niezamierzonych, ale spowodowało szkody. Na przykład celem wspomnianego wcześniej robaka Slammer było unieruchomienie możliwie największej liczby systemów na świecie. Autor tego szkodnika nie wziął na celownik firm z branży energetycznej czy pogotowia ratunkowego, a mimo to organizacje te odczuły skutki ataku. 

Po drugie, wiele rozwiązań przemysłowych jest narażonych i podatnych na ataki, ponieważ wykorzystuje niezabezpieczone systemy operacyjne. Szeroko zakrojone badanie przeprowadzone przez Kaspersky Lab z wykorzystaniem danych dostarczonych przez chmurę Kaspersky Security Network (KSN) pokazuje, że coraz więcej komputerów, na których działa oprogramowanie SCADA, trafia na to samo szkodliwe oprogramowaniem, które uderza w systemy biznesowe (IT).

 

Mit 5: Nasz system bezpieczeństwa zabezpieczy nas przed atakami.

Rzeczywistość: Należy mieć świadomość, że większość dostępnych obecnie systemów bezpieczeństwa przemysłowego zawiera błędy techniczne. Właśnie dlatego Kaspersky Lab pracuje nad stworzeniem bezpiecznego systemu operacyjnego, który od początku został zaprojektowany z myślą o ochronie IT. Główne problemy dotyczące obecnych systemów są następujące: 

- Certyfikacja IEC 61508 (SIL) stosowana w systemach przemysłowych nie uwzględnia oceny bezpieczeństwa.

- Współczesne technologie kontroli przemysłowej to oparte na mikroprocesorach programowalne systemy, które są konfigurowane przy pomocy komputerów PC z systemem Windows (często jest to przestarzały Windows XP).

- Powszechnym zjawiskiem jest integrowanie systemów kontroli i bezpieczeństwa przy użyciu sieci ethernet z otwartymi, niezabezpieczonymi protokołami (Modbus TCP, OPC).

- Wiele modułów interfejsu komunikacji systemów przemysłowych wykorzystuje osadzone systemy operacyjne zawierające znane luki w zabezpieczeniach.   

 

A zatem… co można zrobić w tej sytuacji?  

Aby zapewnić skuteczną ochronę przed atakami w zorientowanym na procesy, wysoce dostępnym środowisku sterowania przemysłowego, systemy bezpieczeństwa muszą spełnić określone wymagania. O ile podejście oparte na izolowaniu komputerów od sieci zewnętrznej stanowi istotną pierwszą linię obrony, ochronę należy również zapewnić wewnątrz sieci, na najbardziej podatnych na ataki systemach i urządzeniach, które znajdują się na celowniku cyberprzestępców.

„Wraz ze wzrostem częstotliwości i stopnia zaawansowania aktywności cyberprzestępczej, w tym ataków ukierunkowanych oraz zaawansowanych długotrwałych zagrożeń (ang. APT), systemy bezpieczeństwa należy nieustannie badać i poddawać ponownej ocenie” – powiedział Andriej Nikiszin, szef działu odpowiedzialnego za nowe technologie, Kaspersky Lab. „W ten sam sposób należy postępować z wszelkimi innymi przekonaniami i mitami dotyczącymi systemów przemysłowych i infrastruktury krytycznej”.   

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl