More

    Reziliența cibernetică în segregarea mediilor OT și IT

    Administratorii de sistem, inginerii și operatorii mediilor de tip Operational Technology (OT) și Information Technology (IT) se confruntă deseori cu provocări în ceea ce privește modalitatea de gestionare sigură a sistemelor angrenate într-un Sistem de Control Industrial (ICS), izolate de rețeaua corporate a unei companii. Din diferite raționamente, ce țin uneori de limitări tehnice sau geografice, nu este posibilă întotdeauna conectarea fizică la o zonă OT, scenariu ce poate cauza riscuri de natură cibernetică.

    Cu toate acestea, există o varietate de motive pentru care o companie are nevoie să implementeze o punte de legătură între mediile IT și OT, precum întreținerea de la distanță (mentenanță), transferul de date sau alte operațiuni.

    Vulnerabilități întâlnite la sistemele ICS/SCADA

    În raportul “Communication network dependencies for ICS/SCADA Systems” realizat de ENISA, sunt prezentate cele mai întâlnite vulnerabilități la sistemele de control industrial, din care am selectat zece:

    1. Inexistența unor mecanisme de monitorizare a rețelei

    Utilizarea unor sisteme de tip Intrusion Detection Systems (IDS), alături de soluții Antivirus și Firewall, sporesc securitatea infrastructurii, atât timp cât protocoalele specifice sistemelor SCADA sunt înțelese în procesul de analiză.

    2. Neînțelegerea conținutului traficului vehiculat

    Identificare unor amenințări cibernetice sofisticate de tip APT (advanced persistent threat) presupune în primul rând cunoașterea traficului vehiculat în rețea pentru a putea separa un comportament anormal de traficul legitim.

    3. Administratori IT cu pregătire slabă în securitate cibernetică

    De obicei, personalul angrenat cu atribuții în gestionarea unei infrastructuri SCADA își concentrează de cele mai multe ori eforturile pentru asigurarea funcționării echipamentelor în parametrii optimi, considerând ca fiind opțională identificarea de incidente care ar putea afecta securitatea cibernetică a infrastructurii.

    4. Utilizarea unor sisteme de operare cu vulnerabilități sau care nu mai beneficiază de suport

    Într-o infrastructură care gestionează sisteme de control industrial, un rol important îl ocupă aplicarea uniformă de actualizări care remediază vulnerabilități cibernetice identificate de producător. De multe ori, este întâlnită și situația în care, din motive ce țin de vechimea componentelor hardware, sistemul de operare nu suportă actualizări. În acest caz, schimbarea echipamentului presupune costuri.

    5. Aplicarea neuniformă a actualizărilor de securitate la nivelul echipamentelor informatice

    Aplicarea actualizărilor trebuie realizată în mod uniform pentru asigurarea unui nivel optim de securitate cibernetică. Această activitate presupune un management bun al echipamentelor din partea administratorului IT, fiind necesare date despre numărul echipamentelor gestionate precum și caracteristicile acestora (hardware și software).

    6. Instalarea de aplicații software irelevante pe sisteme cu importanță majoră în rețeaua SCADA

    În această situație, sistemele cu rol cheie într-o rețea SCADA nu trebuie încărcate cu aplicații ce nu sunt utilizate deoarece în unele cazuri pot genera vulnerabilități cibernetice prin neactualizarea regulată a acestora.

    7. Implementarea deficitară a unor canale de comunicații remote

    Comunicațiile remote reprezintă o posibilă portiță de intrare a unui atacator într-o infrastructură. De aceea, echipamentele care sunt utilizate pentru astfel activități trebuie să beneficieze de un nivel superior de securitate și acces fizic restricționat.

    8. Transmiterea de date prin conexiuni wireless

    Implementarea unor astfel de conexiuni poate facilita interceptarea datelor de către un atacator, generând riscuri multiple în situația în care criptarea datelor se realizează în mod insuficient sau incorect.

    9. Expunerea în spațiul public a unor elemente sau date referitoare la arhitectura rețelei SCADA

    Expunerea unor astfel de date poate determina valorificarea acestora în etapa de recunoaștere în derularea unui atac cibernetic, conform Cyber Kill Chain.

    10. Infrastructură dezvoltată în jurul conceptului “security by obscurity” sau pe încrederea în izolarea de rețeaua internet

    Decizii care se dovedesc de cele mai multe ori ca fiind eronate. Infrastructura poate fi penetrată de un atacator și prin metode „offline”.

    Interconectarea mediilor IT și OT

    Flat network: sistemele informatice din mediile IT și OT sunt conectate prin aceeași rețea (sau multiple rețele interconectate), fiind astfel permise conexiuni între sistemele și resursele plasate în IT și OT.

    flat network

    Așa cum se poate observa, în abordarea flat network, compromiterea unui sistem informatic din rețeaua corporate favorizează accesul atacatorului la resursele din mediul OT.

    Firewall rules: segregarea rețelelor IT și OT este realizată printr-un sistem de tip firewall fără a fi implementată o zonă de tip DMZ (Demilitarized Zone). În acest caz, la nivelul firewall-ului sunt configurate reguli ce permit stabilirea de conexiuni între cele două medii.

    Firewall nodbus

    În această situație, resursele din mediul OT sunt protejate printr-o soluție firewall. Prezența unor erori de configurare sau vulnerabilități de tip 0-day sau cauzate de neaplicarea ultimelor actualizări de securitate, ar putea permite exploatarea de la distanță a acestora de către un atacator pentru obținerea accesului în mediul OT.

    Remote Access Server (RAS): presupune angrenarea în mediul OT a unei stații de lucru cu rol în gestionarea de conexiuni prin Remote Desktop Protocol (RDP), ce au ca destinație finală resurse din OT.

    Remote Acces Server

    În această situație, plaja elementelor exploatabile este restrânsă la serviciul Remote Access Server. Dacă acesta este securizat în mod corespunzător, șansele de compromitere sunt reduse dramatic, blocând accesul în zona OT.

    Concluzie

    Securizarea resurselor angrenate într-un mediu OT care integrează sisteme de control industrial reprezintă un proces critic în asigurarea unei nivel de securitate care să permită activități industriale în condiții de siguranță. Implementarea corectă a unor măsuri de izolare a rețelelor și de monitorizare activă a datelor vehiculate, vor face ca un incident precum “STUXNET sau “Ukraine power grid cyberattack” să rămână doar exemple negative în istorie în care izolarea de rețeaua internet și “security by obscurityNU au fost suficiente.


    Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.

    Ultimele articole

    Articole similare