facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 9/2018 , Plánování a řízení výroby , IT Security

Bezpečnost průmyslových sítí a systémů SCADA/ICS

Klíčem je viditelnost

Pavel Minařík


Flowmon NetworksZabezpečení průmyslových sítí a systémů je dnes aktuální výzvou pro všechny operátory SCADA/ICS. Již dávno totiž neplatí, že bezpečnost průmyslových kontrolních systémů zaručuje jejich izolace od vnějšího světa v rámci tzv. ostrovních instalací. SCADA systémy jsou dnes i dvacet let staré, z mnoha důvodů neaktualizované a tedy nezabezpečené. Přechod na tradiční síťovou komunikaci a propojování v minulosti striktně oddělených systémů s komerčním IT, vystavuje prostředí SCADA velkému bezpečnostnímu riziku a otevírá nové příležitosti pro útočníky. Detekce nežádoucího chování v síti je nutným a univerzálním způsobem, jak posílit zabezpečení SCADA systémů a s nimi souvisejícího IoT.


SCADA systémy stojí za celou řadou kritických procesů v distribučních, dopravních a komunikačních sítích, stejně jako v průmyslových procesech strojní výroby. Diskuze o jejich bezpečnosti se proto týká kritické infrastruktury i bezpečnosti státu. Většina zařízení v prostředí SCADA/ICS nebyla v minulosti navrhována na to, aby byla bezpečná. Dlouho těžila z toho, že byla jen oddělena od tradičních počítačových sítí, což ji dostatečně chránilo proti klasickým počítačovým útokům. Většina zařízení v prostředí ICS totiž nevyžaduje ověření ani nedisponuje správou přístupu ke kritickým částem systému. Často chybí také logy a záznamy, které by bylo možné zpětně využít v rámci detekce nebo sledování proběhlých událostí. V současnosti se kromě silného zabezpečení systémů SCADA/ICS vyžaduje také jejich interoperabilita a přenositelnost. Důvody jsou nasnadě, těžit z agregace dat, vzdálené správy nebo se lépe rozhodovat se znalostí kontextu.

Vystavení rizikům vnějšího světa však z prostředí SCADA/ICS činí snadný cíl. Mezi léty 2016 a 2017 došlo v ICS k nárůstu počtu zaznamenaných zranitelností o 29 % (dle Symantec Internet Security Threat Report 2018). Zvýšil se také počet organizací postižených cílenými útoky, a to o 10 %.

Varianty bezpečnostních rizik

V případě kybernetického útoku na SCADA systémy mohou být následky často i zdrcující. Útok může způsobit odstávku dodávky energie, plynu, vody, může sloužit k vydírání nebo v případě vojenského konfliktu k znefunkčnění a zničení celé soustavy kritických částí napadených systémů. Nejčastěji se zde setkáváme se třemi typy bezpečnostních rizik:

  • S cílenými útoky APT (Advanced Persistent Threat, pokročilá perzistentní hrozba)
  • S interními útoky – zaměstnanci a kontraktoři s přístupem do infrastruktury
  • Selháním lidského faktoru

V případě cílených APT útoků se většinou využívá speciální kód (malware, exploit), který se v podnikové sítí může šířit využitím zranitelností provozovaných systémů a aplikací. V této specifické situaci nemá obsluha systémů nástroje, které by tuto hrozbu dokázaly odhalit. Většina bezpečnostních incidentů je proto popsána až po provedených forenzních analýzách a jejich dodatečné identifikaci, tedy zavedení signatur do antivirových databází. Útočníci se tak mohou dlouho připravovat na finální útok a sbírat potřebné informace po dobu týdnů, měsíců nebo i let. Nejčastějším důvodem kybernetických útoků bývá průmyslová špionáž, ale stále častěji se můžeme setkat s čistě destruktivními cíli.

Proč je důležité znát komunikaci v síti?

Síť představuje společného jmenovatele v jinak heterogenním prostředí systémů SCADA, které se liší nejen napříč obory, ale dokonce i mezi jednotlivými podniky. K podchycení nových bezpečnostních rizik je proto vhodné zavést další vrstvu kontroly na úrovni sítě. Vycházíme přitom z předpokladu, že pokud dokážeme porozumět běžnému chování v síti, budeme zároveň umět odhalit nežádoucí chování, probíhající útok nebo jiné anomálie, které se od běžného provozu odlišují. Dobrým příkladem je škodlivý kód Black Energy, který stál v roce 2015 za napadením ukrajinské rozvodné sítě. Byl distribuován pomocí klasických phishingových aktivit prostřednictvím sociálního inženýrství a způsobil vážné selhání v dodávkách elektrické energie pro stovky obcí. Existují však i běžnější kybernetické hrozby cílené na organizační síťovou infrastrukturu, jako jsou například botnety (infekce botem). Bez vhodné monitorovací technologie jsou podobné hrozby pro administrátory v podstatě neviditelné.

Rok Škodlivý kód / Typ útoku Cíl útoku Funkce / Motivace Bezpečnostní událost
2009 Night Dragon Exxon, Shell, BP.... Remote Access Trojans (RATs) / Únik dat a průmyslová špionáž N/A
2010 Stuxnet Iran Natanz nuklearni program Záchyt a změny v datech načtených a zapsaných do PLC / Destrukce Znefunkčnění (DoS) 1/5 centrifug
2014 Blacken N/A Distribuovaný Trojan ICS/SCADA software stažený z kompromitované web stránky výrobce, skenování LAN kvůli informacím z OPC serverů a zpětná komunikace na C&C server / Únik dat a průmyslová špionáž N/A
2015 Black Energy Ukrainian power grid Malware distribuovaný prostřednictvím phishingových aktivit se zpětnou komunikací s útočníkem skrze remote control / Destrukce Znefunkčnění distribuce elektrické energie pro 80000 zákazníků

Tab. 1: Veřejně známé příklady útoků na SCADA/ICS prostředí

Nový přístup k zabezpečení SCADA sítí

Tradiční monitoring zastoupený protokolem SNMP (Simple Network Management Protocol) poskytující přehled o IT infrastruktuře, považuje spousta síťových administrátorů za nezbytný. Sám o sobě však nedokáže nahlédnout do datového provozu, nemá informace o jeho struktuře a tím pádem je pro bezpečnostní monitoring nepoužitelný.

Omezení protokolu SNMP překonává až tzv. monitorování datových toků. Tato technologie pro moderní monitoring síťového provozu poskytuje detailní statistiku o síťové komunikaci ve formě IP toků (NetFlow v5/v9, IPFIX). Tedy informace o tom, kdo komunikuje s kým, kdy, jak dlouho a často, kolik dat bylo přeneseno, na jakých portech komunikace probíhá, jaké protokoly využívá a další informace TCP/IP komunikace z vrstev L3 – L4. Důležitým benefitem této technologie je ochrana dat a bezpečnost IT. Z analýzy síťové komunikace totiž získáme kompletně jiný pohled na monitorovanou IT infrastrukturu, takže dokážeme automaticky identifikovat infikované stanice, nežádoucí síťový provoz nebo aktivity uživatelů, útoky a obecně anomálie provozu datové sítě. Tato technologie, která analyzuje právě datové toky, je označována jako tzv. behaviorální analýza sítě (Network Behavior Analysis), a na rozdíl od systémů založených na signaturách, jako jsou antivirové programy, je schopna odhalit i nové nebo dosud neznámé hrozby a útoky.

Proč však hovoříme o této technologii v souvislosti s ochranou SCADA/ICS? V podnikovém prostředí jsou datové toky velmi variabilní. Služby zde využívají mnoho protokolů a portů, a i objem dat je různý. Výhoda SCADA/ICS systémů spočívá ve víceméně stabilních datových tocích. Díky tomu je možné rychle odhalit a následně reagovat na každou anomálii a tím výrazně snížit MTTR (Mean Time to Resolution). To vše by mělo být základem prevence, která vychází z bezpečnostních návrhů a postupů implementovaných v podnikovém prostředí s ohledem na odlišné potřeby SCADA/ICS.

Závěrem

Absence šifrované komunikace, chabý autentifikační mechanismus a nejasný perimetr daný podstatou IoT činí prostředí SCADA/ICS značně zranitelné vůči současným kybernetickým hrozbám. Přechod na komunikaci založenou na protokolu IP znatelně ztížil ochranu sítě a vytvořil z ní novou výzvu pro všechny bezpečnostní odborníky. Na druhou stranu tato situace nabízí důležitý zdroj informací pro toho, kdo je dokáže číst. Implementace vhodné monitorovací technologie na bázi datových toků do bezpečnostního rámce umožňuje odhalit a reagovat na události ihned po jejich vzniku.

Pavel Minařík Pavel Minařík
Autor článku je CTO společnosti Flowmon Networks.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Žádný systém sám o sobě nic nevyřeší

IT Systems 4/2021V aktuálním vydání IT Systems opět najdete spoustu novinek ze světa informačních technologií a inspirace, jak je využít pro rozvoj vaší firmy nebo organizace. Mapujeme aktuální trendy v digitalizaci stavebnictví, vybavení pro kontaktní centra a service desky. Věnujeme se řízení práce na dálku a onboardingu zaměstnanců v době covidu, řízení projektů a hybridnímu cloudu. Významným tématem je jako vždy zajištění kybernetické bezpečnosti – konkrétně zabezpečení ICS, důsledky kauzy Exchange, DDoS útoky a bezpečnost mobilních zařízení.

Helios
- inzerce -