Sistemele de automatizare folosite pentru monitorizarea și controlul proceselor industriale sau al infrastructurilor critice, cum ar fi stațiile electrice sau de gaz au mai multe denumiri: sisteme de control industrial (ICS), sisteme pentru monitorizare, control și achiziție de date (SCADA) și sistem de control distribuit (DCS). Sistemele ICS au evoluat constant în ultimele decenii. Imediat după ce au fost izolate, sistemele proprietare au fost inițial interconectate prin tehnologii de comunicație serială (RS232). În prezent conectarea se realizează cu ajutorul unor sisteme distribuite geografic, prin protocoale comerciale proprietare sau prin protocolul clasic Internet Protocol (IP).
În cadrul sistemelor de tip SCADA (Supervisory Control and Data Acquisition), respectiv cele de control întâlnite în infrastructurile critice industriale, s-a constatat un nivel fără precedent de agilitate, viteză de dezvoltare și integrare a tehnologiilor care vin în sprijinul unor astfel de rețele complexe.
Un domeniu sensibil
Ultimii ani au evidențiat o creștere nu numai a numărului, dar și a nivelului de complexitate al atacurilor direcționate împotriva infrastructurilor critice industriale, în funcție de producătorul sistemului industrial. Au existat cazuri de perturbări ale proceselor critice și chiar distrugerea echipamentelor ICS (Industrial Control System). Nevoia de îmbunătățire a securității în sistemele ICS nu a fost niciodată mai mare și a devenit o problemă la nivelul conducerii pentru multe organizații. Sensibilitatea extremă pentru a asigura disponibilitatea și performanța proceselor industriale a dus la o abordare mai conservatoare și mai riguroasă vis-a-vis de modul în care sunt implementate măsurile de securitate.
De exemplu, administratorii evită protejarea online a sistemelor prin introducerea unor soluții de tip IPS (Intrusion Prevention System) sau AV (antivirus) din cauza posibilității de degradare accidentală sau de blocare a sistemelor. De asemenea, soluțiile menționate pot afecta performanța sistemelor.
Astfel de soluții sunt folosite de obicei doar în modul de detectare, sau nu sunt deloc funcționale, putând fi ușor ocolite de către un atacator. Chiar și în cazul unor scanări automate, se pot produce defecțiuni sau întreruperi ale unor servicii critice din cadrul controllerelor industriale, care nu au fost proiectate să se ocupe de astfel de evenimente. Rezultatul este că multe organizații încă lucrează cu astfel de tehnologii de securitate învechite, care funcționează în medii izolate și care sunt dificil de gestionat, ba chiar mai rău, nivelul de prevenire a atacurilor cibernetice tinde spre zero.
O nouă platformă de securitate
Este necesară o nouă platformă de securitate a sistemelor ICS, care să respecte standardele actuale de protecție. Această platformă trebuie să consolideze diferite tehnologii de bază într-un mod care să prevină chiar și atacurile avansate.
Integrarea acestei platforme cu sistemele vizate trebuie să permită existența unor interfețe pentru a alerta și efectua acțiuni de securitate în mod automat. De asemenea, este nevoie ca integrarea și interoperabilitatea cu orice tip de tehnologie existentă să fie posibile. Acest articol prezintă o imagine de ansamblu a capabilităților de bază care ar trebui să definească platforma ideală de securitate pentru sistemele de control industrial.
Odată cu evoluția sistemelor ICS, a apărut și o expunere mai largă la o varietate de amenințări cibernetice care ar putea compromite disponibilitatea, integritatea și confidențialitatea unor astfel de sisteme. În plus, aceste amenințări ar putea proveni din interiorul sistemelor ICS (malicious insiders) sau din exteriorul sistemelor. Între vectorii de infecție a sistemelor de tip ICS din perspectiva Institutului SANS (2014) se numără: amenințările externe (atacuri statale, hacktivism), malware, instrumentele de tip exploit, phishing, atacuri din interior, violări ale protocoalelor de securitate cibernetică, spionaj industrial.
Scenariu: Sabotarea unei centrale nucleare
În cadrul întâlnirii tehnice cu tema „Conducting Cyberthreats Assesments at Nuclear Facilities“, ce s-a desfășurat la sediul Agenției Internaționale pentru Energie Atomică în perioada 9-12 februarie 2016 la Viena, cercetătorul Mark Fabro, Chief Security Scientist la Lofty Peach Canada, a efectuat o demonstrație tehnică cu scopul de a crește gradul de conștientizare și a evidenția o serie de capabilități prin care un atacator poate obține acces la o infrastructură critică. Demonstrația cuprinde următorii pași:
1. Compromiterea unui CCTV
Pentru a avea acces la sistemul de Control Acces (CA), atacatorii caută să compromită sistemele de monitorizare video ale clădirii. În acest caz, atacatorii au scopul de a compromite rețeaua pe care se află sistemul CCTV și să le arate operatorilor o imagine statică în loc de o înregistrare video în timp real a clădirii.
2. Compromiterea sistemului de control acces
Accesul fizic în incinta infrastructurii critice este necesară unui atacator pentru a căuta și prelua informații. Atacatorii compromit sistemul de acces controlat printr-o conectare fizică la un controller de acces, profitând și de încălcările politicilor de securitate, obținând astfel acordul pentru pătrunderea fizică în clădire. Informațiile sunt luate apoi de la unitatea centrală de control al accesului pentru a facilita următoarea fază a atacului.
3. Identificarea vulnerabilităţilor şi dezvoltarea exploit-urilor
Informațiile colectate anterior permit atacatorilor să creeze machete asemănătoare cu sistemele vizate. Prin intermediul unor instrumente și operații de fuzzing (tehnică de descoperire a vulnerabilităților), pot fi descoperite vulnerabilitățile sistemului vizat. Un atacator poate fi capabil să identifice vulnerabilități de tip 0-day (vulnerabilitate a unui software pentru care încă nu există o soluție), precum și modalități de a le exploata.
4. Execuţia atacului
În acest moment, atacatorul a dezvoltat un exploit (secvență de cod sau set de comenzi folosite pentru a exploata o vulnerabilitate în scopul determinării unui comportament nedorit al aplicației) pentru a ataca și sabota un sistem de control al facilității. O combinație bazată pe compromiterea sistemelor IT și a sistemelor fizice de control acces este folosită pentru a avea acces în clădire și la rețeaua sistemelor de control.
Odată ce exploit-ul a fost instalat în rețea, se stabilește o conexiune de la distanță prin care atacatorii colectează informații suplimentare și instalează malware particularizat pentru sistemul de control. Atacatorul poate efectua următoarele operațiuni:
– interceptează datele între HMI-ul (Human Machine Interface) sistemului ICS și componentele de control;
– manipulează valve și pompe într-o manieră care poate provoca pagube;
– modifică displayul operatorului și alarmele;
– modifică configurațiile dispozitivului de control;
– sabotează în cele din urmă funcționarea sistemului.
5. Mitigare
Apărarea în adâncime este un principiu cheie al securității nucleare și în general al securității rețelelor de calculatoare. La fiecare pas al scenariului de atac, există oportunități pentru prevenirea, detectarea și reacția rapidă împotriva atacatorilor. Așa cum ilustrează scenariul, atacurile cibernetice, de asemenea, pot include daune fizice și pagube umane, prin urmare, securitatea calculatoarelor ar trebui să fie parte integrată a unui program global de securitate nucleară care să:
– integreze rețelele și echipamentele de tip endpoint security cu un sistem de analiză pentru detectarea amenințărilor cibernetice;
– clasifice traficul pe baza aplicațiilor și utilizatorilor, nu doar pe baza porturilor și IP-urilor;
– sprijine segmentarea granulară a rețelei, inclusiv accesul bazat pe roluri;
– blocheze amenințări cunoscute pe bază de semnături;
– detecteze și prevină atacuri cu malware necunoscut;
– oprească atacuri de tip 0-Day la punctele finale ale rețelei;
– asigure managementul central și raportarea evenimentelor critice;
– securizeze utilizarea tehnologiilor mobile și a celor de virtualizare;
– producă interfețe de management al sistemelor industriale standard printr-un API complex.
Cu astfel de capabilități funcționale într-un sistem ICS complex, companiile pot fi în măsură să descurajeze amenințările avansate și să se adapteze la evoluția amenințărilor cibernetice.
Abstract
SCADA and Industrial Control Systems found in critical infrastructure and manufacturing industries have enjoyed unprecedented levels of agility, speed and cost savings with the pervasive adoption of information technology and increased connectivity to supporting networks.
However, with this modernization come undesired IT vulnerabilities, and other threat vectors, which are increasingly being exploited by malicious actors such as states, cybercriminals and malicious insiders. Recent years have shown a concerning rise not only in number, but also in the sophistication of attacks specifically targeting critical infrastructure and manufacturing asset owners.
We could see, in some cases, disruption of critical processes and even destruction of ICS equipment. The need for improved security in ICS has never been higher and has become a boardlevel issue for many organizations.
Autor: Dragoş George Ionică