SCADA systémy stojí za celou řadou kritických procesů v distribučních, dopravních a komunikačních sítích, stejně jako v průmyslových procesech strojní výroby. Diskuze o jejich bezpečnosti se proto týká kritické infrastruktury i bezpečnosti státu. Většina zařízení v prostředí SCADA/ICS nebyla v minulosti navrhována na to, aby byla bezpečná. Dlouho těžila z toho, že byla jen oddělena od tradičních počítačových sítí, což ji dostatečně chránilo proti klasickým počítačovým útokům. Většina zařízení v prostředí ICS totiž nevyžaduje ověření ani nedisponuje správou přístupu ke kritickým částem systému. Často chybí také logy a záznamy, které by bylo možné zpětně využít v rámci detekce nebo sledování proběhlých událostí. V současnosti se kromě silného zabezpečení systémů SCADA/ICS vyžaduje také jejich interoperabilita a přenositelnost. Důvody jsou nasnadě, těžit z agregace dat, vzdálené správy nebo se lépe rozhodovat se znalostí kontextu.

Vystavení rizikům vnějšího světa však z prostředí SCADA/ICS činí snadný cíl. Mezi léty 2016 a 2017 došlo v ICS k nárůstu počtu zaznamenaných zranitelností o 29 % (dle Symantec Internet Security Threat Report 2018). Zvýšil se také počet organizací postižených cílenými útoky, a to o 10 %.

Varianty bezpečnostních rizik

V případě kybernetického útoku na SCADA systémy mohou být následky často i zdrcující. Útok může způsobit odstávku dodávky energie, plynu, vody, může sloužit k vydírání nebo v případě vojenského konfliktu k znefunkčnění a zničení celé soustavy kritických částí napadených systémů. Nejčastěji se zde setkáváme se třemi typy bezpečnostních rizik:

• S cílenými útoky APT (Advanced Persistent Threat, pokročilá perzistentní hrozba)
• S interními útoky – zaměstnanci a kontraktoři s přístupem do infrastruktury
• Selháním lidského faktoru

V případě cílených APT útoků se většinou využívá speciální kód (malware, exploit), který se v podnikové sítí může šířit využitím zranitelností provozovaných systémů a aplikací. V této specifické situaci nemá obsluha systémů nástroje, které by tuto hrozbu dokázaly odhalit. Většina bezpečnostních incidentů je proto popsána až po provedených forenzních analýzách a jejich dodatečné identifikaci, tedy zavedení signatur do antivirových databází. Útočníci se tak mohou dlouho připravovat na finální útok a sbírat potřebné informace po dobu týdnů, měsíců nebo i let. Nejčastějším důvodem kybernetických útoků bývá průmyslová špionáž, ale stále častěji se můžeme setkat s čistě destruktivními cíli.

Proč je důležité znát komunikaci v síti?

Síť představuje společného jmenovatele v jinak heterogenním prostředí systémů SCADA, které se liší nejen napříč obory, ale dokonce i mezi jednotlivými podniky. K podchycení nových bezpečnostních rizik je proto vhodné zavést další vrstvu kontroly na úrovni sítě. Vycházíme přitom z předpokladu, že pokud dokážeme porozumět běžnému chování v síti, budeme zároveň umět odhalit nežádoucí chování, probíhající útok nebo jiné anomálie, které se od běžného provozu odlišují. Dobrým příkladem je škodlivý kód Black Energy, který stál v roce 2015 za napadením ukrajinské rozvodné sítě. Byl distribuován pomocí klasických phishingových aktivit prostřednictvím sociálního inženýrství a způsobil vážné selhání v dodávkách elektrické energie pro stovky obcí. Existují však i běžnější kybernetické hrozby cílené na organizační síťovou infrastrukturu, jako jsou například botnety (infekce botem). Bez vhodné monitorovací technologie jsou podobné hrozby pro administrátory v podstatě neviditelné.

Tab. 1: Veřejně známé příklady útoků na SCADA/ICS prostředí

Nový přístup k zabezpečení SCADA sítí

Tradiční monitoring zastoupený protokolem SNMP (Simple Network Management Protocol) poskytující přehled o IT infrastruktuře, považuje spousta síťových administrátorů za nezbytný. Sám o sobě však nedokáže nahlédnout do datového provozu, nemá informace o jeho struktuře a tím pádem je pro bezpečnostní monitoring nepoužitelný.

Omezení protokolu SNMP překonává až tzv. monitorování datových toků. Tato technologie pro moderní monitoring síťového provozu poskytuje detailní statistiku o síťové komunikaci ve formě IP toků (NetFlow v5/v9, IPFIX). Tedy informace o tom, kdo komunikuje s kým, kdy, jak dlouho a často, kolik dat bylo přeneseno, na jakých portech komunikace probíhá, jaké protokoly využívá a další informace TCP/IP komunikace z vrstev L3 – L4. Důležitým benefitem této technologie je ochrana dat a bezpečnost IT. Z analýzy síťové komunikace totiž získáme kompletně jiný pohled na monitorovanou IT infrastrukturu, takže dokážeme automaticky identifikovat infikované stanice, nežádoucí síťový provoz nebo aktivity uživatelů, útoky a obecně anomálie provozu datové sítě. Tato technologie, která analyzuje právě datové toky, je označována jako tzv. behaviorální analýza sítě (Network Behavior Analysis), a na rozdíl od systémů založených na signaturách, jako jsou antivirové programy, je schopna odhalit i nové nebo dosud neznámé hrozby a útoky.

Proč však hovoříme o této technologii v souvislosti s ochranou SCADA/ICS? V podnikovém prostředí jsou datové toky velmi variabilní. Služby zde využívají mnoho protokolů a portů, a i objem dat je různý. Výhoda SCADA/ICS systémů spočívá ve víceméně stabilních datových tocích. Díky tomu je možné rychle odhalit a následně reagovat na každou anomálii a tím výrazně snížit MTTR (Mean Time to Resolution). To vše by mělo být základem prevence, která vychází z bezpečnostních návrhů a postupů implementovaných v podnikovém prostředí s ohledem na odlišné potřeby SCADA/ICS.

Závěrem

Absence šifrované komunikace, chabý autentifikační mechanismus a nejasný perimetr daný podstatou IoT činí prostředí SCADA/ICS značně zranitelné vůči současným kybernetickým hrozbám. Přechod na komunikaci založenou na protokolu IP znatelně ztížil ochranu sítě a vytvořil z ní novou výzvu pro všechny bezpečnostní odborníky. Na druhou stranu tato situace nabízí důležitý zdroj informací pro toho, kdo je dokáže číst. Implementace vhodné monitorovací technologie na bázi datových toků do bezpečnostního rámce umožňuje odhalit a reagovat na události ihned po jejich vzniku.

Pavel Minařík Autor článku je CTO společnosti Flowmon Networks.