Не только ИТ-защита

(Ди Симона Перуцци)
12/01/22

Verkada, Тритон, Колониальный Трубопровод... это не загадочные слова викторины, а просто зеркало реальности, с которой мы сталкиваемся, в которой все больше стирается как граница между цифровым и реальным, так и защита от угроз злоумышленников.

Сценарии цифровых атак на промышленные устройства, также называемые OT или IoT, становятся все более распространенными; с важным влиянием на нашу конфиденциальность, наш бизнес или, что еще хуже, на жизнь каждого из нас, если мы говорим о критически важных инфраструктурах, таких как нефтепроводы, больницы и т. д.

Verkada - март 2021 г. - «Группа хакеров утверждает, что взломала огромное количество данных с камер видеонаблюдения, собранных стартапом Verkada Inc. из Силиконовой долины, получив доступ к прямой трансляции со 150.000 XNUMX камер наблюдения в больницах, компаниях, отделениях полиции, тюрьмах и школах».

Тритон - 2017 и 2019 - «Хакеры используют вредоносное ПО Triton для блокировки промышленных предприятий и систем. Вредоносное ПО предназначено для атак на промышленные системы и критически важную инфраструктуру».

Колониальный Трубопровод - июнь 2021 г. - «Взлом, заблокировавший крупнейший газопровод в США и приведший к нехватке газа на восточном побережье, стал результатом взлома одного-единственного пароля. Хакеры проникли в сети Colonial Pipeline Co. через виртуальную частную сетевую учетную запись, которая позволяла сотрудникам удаленно получать доступ к компьютерной сети компании. Учетная запись больше не использовалась во время атаки, но все еще могла использоваться для доступа к сети Colonial».

В этом контексте мы с большой надеждой видим, что такие концепции, как «Нулевое доверие», «Непрерывность работы», «Защита промышленных устройств» и т. д., становятся все более и более популярными в мире ИТ и кибербезопасности. Однако объяснить компаниям, как защитить промышленные устройства, которые часто служат в среднем 30-40 лет, в физически и цифровом изолированном здании, не всегда легко..

В этой статье мы попытаемся раскрыть этот сценарий и помочь понять, как логика защиты промышленных устройств (часто и охотно называемых устройствами Технологии работы - ОТ, или новейшие устройства Интернет вещей - IoT) может пересекаться с классической логикой устройств, принадлежащих миру ИТ, которые известны большинству из нас, подчеркивая, как можно применять такие понятия, как Zero Trust даже в мире наследие как промышленный.

Какие устройства?

Сначала давайте определим, что мы подразумеваем под OT/IoT-устройства, используя для простоты следующую номенклатуру:

Само собой разумеется, что в реальности, например, в производственном мире, где, возможно, у нас преобладают устройства в промышленной сфере (OT), можно найти три очень специфические экосистемы:

  1. ИТ-среда с аппаратным обеспечением от 5 до 10 лет, использующая такие протоколы, как TCP/IP, HTTPS, и в которой применяются (или, по крайней мере, должны применяться) базовые концепции защиты личных данных, такие как многофакторная аутентификация (MFA), спам/фишинговая почта защита, защита от вредоносных программ и т. д.;
  2. Среда OT с аппаратным обеспечением, устаревающим по желанию, которое использует строго определенные протоколы и - в качестве логики безопасности - использует исключительно критерий "изоляции";
  3. Облачная среда, используемая как для расширения возможностей вашего собственного локальный центр обработки данных (группа серверов, удерживаемых и контролируемых на месте, прим. ред.) как для приложений/сервисов, так и по причинам масштабируемости, времени или просто стоимости, эффективнее начать с облако.

ОТ устройства

Давайте сосредоточим внимание этой статьи на втором моменте: средах OT. Как правило, мы находим устаревшие (старые) устройства OT и Industrial IoT, более новые устройства: они управляют физическим оборудованием — отсюда общие технологии, такие как системы отопления, вентиляции и кондиционирования воздуха (HVAC), — а также специальное оборудование для сектора производства — которое есть объекты нефтегазового комплекса, коммунального хозяйства, транспорта, гражданской инфраструктуры и многое другое.

Эти системы OT часто контролируются ИТ-средой для обеспечения бизнес-аналитики и других сведений о физических бизнес-операциях. Хотя ИТ-платформы и лежащие в их основе IP-сети похожи на ИТ-среды, OT-среды отличаются в нескольких отношениях:

  • Совокупность мер и средств, предназначенных для предотвращения или уменьшения аварийных событий, является основным пунктом безопасности ОТ (Безопасность); это резко контрастирует с миром ИТ, который фокусируется на наборе действий и инструментов в ответ на постоянную угрозу, организованных именно с целью нанесения ущерба ИТ-системам (Безопасность). Это различие связано с тем, что отказ системы ОТ может непосредственно привести к телесным повреждениям или смерти: например, для сотрудников, работающих на тяжелом оборудовании или рядом с ним; клиенты, использующие/потребляющие продукт, граждане, проживающие/работающие рядом с физическим объектом и т. д.
  • Как мы уже предполагали, аппаратное и программное обеспечение OT намного старше ИТ-систем, потому что физическое оборудование имеет гораздо более длительный жизненный цикл, чем типичные ИТ-системы (во многих случаях до 10 раз дольше). Нередко можно встретить оборудование 50-летней давности, которое было модернизировано до электронных систем управления.
  • Подход к безопасности OT-систем отличается от ИТ-мира, потому что эти системы часто не были созданы с учетом современных угроз и протоколов (и часто полагаются на программные циклы до «конца жизни»). Многие признанные передовые методы обеспечения ИТ-безопасности, такие как установка исправлений программного обеспечения, непрактичны или совершенно неэффективны в среде OT, и даже если бы они применялись выборочно, они все равно имели бы ограниченный эффект безопасности.

Мы упомянули критерий «изоляции» устройств ОТ, для применения которого могут быть реализованы различные логические схемы:

  • Hard Boundary: полное отключение трафика, часто физически отключенные устройства («воздушный зазор»);
  • Мягкая граница — основанная на брандмауэре или другом фильтре сетевого трафика, как и любая граница безопасности, мягкая граница требует мониторинга и обслуживания, чтобы оставаться эффективной с течением времени. К сожалению, мы видим много случаев, когда организации устанавливают правила брандмауэра для блокировки трафика без комплексного подхода людей/процессов/технологий для интеграции безопасности в управление изменениями, тщательного отслеживания аномалий, постоянной проверки изменений, проверки границ с помощью моделирования атак и т. д.
  • Внутренняя сегментация: изоляция групп OT-систем друг от друга в качестве дополнительного препятствия для атак. Эта практика требует, чтобы модели связи/трафика были совместимы с этим подходом, а также для постоянного обслуживания как контроля, так и управления исключениями.

Эти методы обеспечения безопасности хорошо применяют принципы нулевого доверия, хотя они ограничены статическими конфигурациями и сетевыми элементами управления из-за возраста систем OT.

Промышленная среда и «внешний мир»

С 1990 года эталонная архитектура предприятия Purdue (PERA), также известная как модель Purdue, является стандартной моделью для организации и разделения мер безопасности и сетевых функций системы управления бизнесом и производством (ICS) с указанием следующих операционных уровней:

  • Уровень 0 — Физический процесс — определяет фактические физические процессы.
  • Уровень 1 — Интеллектуальные устройства — Обнаружение и управление физическими процессами (технологические датчики, анализаторы, приводы и соответствующие приборы)
  • Уровень 2 - Системы управления - Надзор, мониторинг и управление физическими процессами (Управление и программное обеспечение в режиме реального времени; РСУ, человеко-машинный интерфейс (ЧМИ); программное обеспечение для контроля и сбора данных (SCADA)).
  • Уровень 3 — Производственные операционные системы — Управление производственным рабочим процессом для производства желаемой продукции. пакетное управление; системы управления производством и операциями (MES/MOMS); системы управления лабораториями, техническим обслуживанием и оборудованием; исторические данные и соответствующее промежуточное ПО.
  • Уровень 4 - Логистические системы компании - Управление деятельностью, связанной с производственной операцией. Например, ERP является основной системой; устанавливает основной производственный график завода, использование материалов, отгрузку и уровни запасов.

С момента определения модели PURDUE уровни 0–3 (среда OT) мало изменились по сравнению с остальной архитектурой, то есть уровнем 4, который отражает более современный подход благодаря принципам нулевого доверия и появлению мобильных и облачных технологий. .

Наступление цифровой трансформации, так называемой Индустрии 4.0, потребовало аналитики, направленной на повышение эффективности бизнес-аспектов: увеличение корреляции постоянно растущего объема производственных данных с миром ИТ и миром облачных вычислений. Благодаря сбору данных с устройств OT / IoT с выделенными службами и доступной вычислительной мощности облачный подход позволил применить логику прогнозного и предписывающего анализа.

Но, как мы изначально видели, мы знаем, что атаки кибербезопасности все чаще распространяются на среды ИТ, IoT, OT, требуя, чтобы процессы реагирования на инциденты (и стратегии предотвращения) сводились к единому подходу, который распространяется на эти среды, но должен адаптировать их к возможности и ограничения каждого.

Таким образом, полезное оружие для борьбы с этими все более разнообразными атаками состоит в принятии решений для защиты OT / IoT.

В промышленном мире существует множество решений для защиты, например устройств OT/IoT, некоторые из которых основаны на подходе на сетевом уровне, называемом пассивным мониторингом или сетевым обнаружением и реагированием (NDR), который не оказывает никакого влияния на промышленные сети: реализован локальный сетевой датчик (физическое или виртуальное устройство), который подключается к SPAN-порту коммутатора. Этот датчик выявляет аномальную или несанкционированную активность с помощью поведенческой аналитики и аналитики угроз, характерных для IoT/OT, без влияния на производительность устройства.

Независимо от индивидуальных функциональных возможностей решений, это четыре основные характеристики:

  1. Возможность управления активами устройств OT/IoT: часто компания не знает обо всех устройствах внутри нее. Первая цель этих решений — создать полную инвентаризацию всех активов IoT/OT, проанализировать проприетарные промышленные протоколы, просмотреть топологию сети и пути связи, определить детали оборудования (производитель, тип устройства, серийный номер, уровень прошивки и компоновку объединительной платы);
  2. Выявлять уязвимости устройства: отсутствующие исправления, открытые порты, несанкционированные приложения и несанкционированные подключения; обнаруживать изменения в конфигурациях устройств, логике контроллера и прошивке;
  3. Обнаружение аномальной или несанкционированной активности с помощью поведенческого анализа и искусственного интеллекта в отношении угроз, совместимых с IoT/OT, например, путем немедленного обнаружения несанкционированного удаленного доступа и несанкционированных или скомпрометированных устройств. Анализируйте трафик в хронологическом порядке и выявляйте угрозы, такие как вредоносное ПО нулевого дня, или исследуйте захват пакетов (PCAP) для более глубокого анализа;
  4. Чтобы достичь целостного видения, необходимо иметь возможность сообщать об этих предупреждениях и угрозах в SIEM / SOAR, контролируемый Центром операций безопасности (SOC); обеспечение как более высокой функциональной совместимости с другими инструментами служебных билетов, так и сокращения времени распознавания и исправления (MTTA, MTTR) аналитиков безопасности в отношении потенциальной угрозы.

Можно ли применить логику Zero Trust к средам OT/IoT? Абсолютно да, и это фундаментальный момент в целостном видении защиты, которую мы обеспечиваем:

Это связано с тем, что даже в промышленной среде важно соблюдать строгие правила:

Надежная идентификация для аутентификации устройств. Регистрируйте корпоративные устройства любого типа, оценивайте уязвимости и ненадежные пароли, по возможности используйте аутентификацию без пароля, предоставляйте менее привилегированный доступ, чтобы уменьшить поверхность воздействия возможной атаки и связанный с ней ущерб, который она может нанести.

Состояние устройства — блокировка несанкционированного доступа или выявление устройств, нуждающихся в исправлении по разным причинам, проактивный мониторинг угроз для выявления ненормального поведения.

Используйте централизованную настройку и надежный механизм обновления, чтобы обеспечить актуальность устройств и их исправность.

Иногда мысли об атаках в области устройств IoT кажутся научной фантастикой или очень далеки от нашей повседневной жизни, но атаки, упомянутые изначально, являются хорошей отправной точкой, чтобы заставить нас передумать, кроме того, ниже я хотел бы заставить вас задуматься о другом пример не очень далек от того, что могло бы произойти в любом рабочем контексте:

заключение

Для компаний важно оценивать безопасность своих систем IoT и OT с той же строгостью, что и для ИТ-систем: в то время как ПК, например, обычно должны иметь обновленные сертификаты, устройства IoT часто распространяются с предопределенными заводскими паролями и хранятся в этой конфигурации на десятилетия.

Если правда, что в цепи нападения человеческое звено, безусловно, самое слабое звено, и здесь «обучение/обучение» — это первая реальная деятельность, с которой нужно начинать, то также верно и то, что безопасность цепи с точки с технической точки зрения зависит от самого слабого элемента, который, к сожалению, в мире ОТ присутствует почти всегда.

Технологии здесь, чтобы помочь и поддержать нас, но, прежде всего, они должны быть в состоянии противостоять вышеупомянутым угрозам, чтобы уменьшить возможное воздействие и обеспечить быстрое возобновление производства и / или непрерывность бизнеса после потенциальной атаки.

С этой целью важны не только отдельные функции, но и интеграция, которую можно получить с этими решениями, поскольку злоумышленники действуют без правил и без границ устройств, удостоверений, сетей и т. д.

Единственный способ защитить себя — это отдать предпочтение «обзору», чтобы сделать анализ, обнаружение и рекультивация.

Ссылки