Пазете критичните йотни мрежи

Гледката на екрана ми беше, честно казано, страшна. Виждах ясно устройствата от мрежата за оперативни технологии (OT) на голямо летище и виждах данните, които те отчитат. На един екран бяха разположени контролите за реактивния мост, на друг светлините на пистата за излитане и кацане, а на друг - пътническият манифест за предстоящ полет, пълен с всички данни за пътниците. Всеки, който има достъп до тази мрежа, може да използва данните за отнемане на лична информация, може да намери връзките, необходими за атака на операциите на летището, и може да види действителното оборудване, което контролира устройствата в цялото съоръжение. С други думи, те биха могли с минимални усилия да закрият летището.

Г-н Шарон Розенман, вицепрезидент по маркетинг за Cyberbit, ми показваше възможностите на устройството на неговата компания SCADAShield Mobile и използваше истинско летище, за да го направи (и не, няма да ви казвам кое летище беше). Неговата компания беше наета да помогне на операторите на летището да намерят и отстранят своите уязвими места.

Устройството SCADAShield Mobile е портативен OT анализатор с размер на куфар, който е предназначен да разгледа цялата OT мрежа за признаци на атака, както и да намери уязвимости, които може да не са очевидни за мрежовите администратори. Розенман каза, че устройството разбира всички мрежови протоколи, които ще бъдат намерени в такава мрежа и е в състояние да анализира трафика с помощта на тези протоколи.

(Изображение за кредит: Statista)

ОТ мрежи и сигурност

OT мрежа е тази, която осигурява комуникации за устройства за надзорен контрол и придобиване на данни (SCADA). Такива устройства се използват във всичко - от производството и контрола на процесите до същите тези единици, показващи данните на летището ми. И данните, които обработват, могат да варират значително - всичко - от показване на полети на табла за съобщения до компютри в градове, които контролират светофари. Това е основната мрежа за устройства на Интернет на нещата (IoT).

Един нещастен факт за много ОТ мрежи е, че те имат малка или никаква сигурност. По-лошото е, че те почти винаги са свързани с ИТ мрежата на организацията, която е тази, с която сте свикнали да се справяте ежедневно - и тази, която все повече е изложена на риск от усъвършенстван злонамерен софтуер и хакери.

"Много администратори не осъзнават, че IT и OT мрежите са свързани", каза Розенман. В допълнение, администраторите на IT и OT мрежите често не са едни и същи хора. Това може да е една от причините OT мрежите да са по-малко защитени. Друго е, че мотивациите за администраторите на мрежата са различни. Според Розенман администраторите на OT мрежата трябва да поддържат своите мрежи, защото дори и малко престой може да има изключително негативно влияние върху производството.

"OT мрежите често не са патч", каза Розенман. "OT мрежите обикновено не са кодирани и администраторите може дори да не знаят какво работи в техните мрежи", каза той. Освен това операциите с протокол за прехвърляне на файлове (FTP) обикновено се извършват с обикновен текст, което позволява на нападателите да получат всички необходими документи.

ОТ мрежи и кръпка

Като допълнение към сложността, по-голямата част от трафика в OT мрежа всъщност идва от IT мрежата на организацията. Това отчасти се дължи на това, че често мрежата OT не е сегментирана от IT мрежата, а отчасти и защото протоколите на ИТ мрежата се използват от много от SCADA и IoT устройства, което означава, че те трябва да се виждат в IT мрежата.

Част от причината за липсата на сигурност е нежеланието на администраторите да рискуват да прекъснат времето, когато свързват мрежовите си устройства. Но това се допълва от факта, че много такива устройства просто не могат да бъдат лепенки, защото, въпреки че производителите им са инсталирали операционна система (ОС), те пренебрегват да прилагат всякакви средства за прилагане на актуализации. Медицинското оборудване е забележим нарушител в тази област.

Розенман каза, че има и убеждение, че системите, които не са свързани с интернет, са безопасни от хакери. Но той отбеляза, че това не е вярно, както беше демонстрирано по време на Stuxnet, когато съвместна операция на САЩ и Израел успешно хакна и след това унищожи уранови центрофуги в Иран. Той отбеляза също, че тези въздушни пропуски всъщност не съществуват, защото работниците или са намерили начини около тях да улеснят собствената си работа, или защото никога не са съществували на първо място поради лош мрежов дизайн.

Розенман каза, че липсата на видимост в устройствата SCADA, IoT и OT мрежите ги затруднява, поради което Cyberbit изгради мобилните устройства SCADAShield Mobile, предимно за компютърни екипи за спешно реагиране (CERT) и други първи реагиращи, особено в областите на критична инфраструктура. SCADAShield Mobile е преносимо устройство, а има и фиксирана версия, която може да бъде инсталирана за постоянно в уязвими мрежи.

Рискове и последствия

Липсата на сигурност в OT мрежите има много реални последици и рисковете са огромни. Именно този вид пропуск в сигурността на SCADA система и липса на сегментиране позволиха нарушението на Target да се случи през 2013 г. и оттогава не се случи малко да подобри нещата.

Междувременно руснаците в Агенцията за интернет изследвания (IRA) в Санкт Петербург рутинно нахлуват в системите за управление в енергийната мрежа на САЩ, те са хакнали в системите за управление в поне една атомна електроцентрала и те са в редица на индустриални системи за контрол при американски производители. Същите тези системи са уязвими за доставчици на откупи и някои такива системи вече са атакувани.

Аз категоризирам проблемите със сигурността на OT мрежите като „умишлени“, защото като цяло тези мрежи се управляват от ИТ специалисти и всеки квалифициран администратор трябва да осъзнае опасността от свързване на незащитени и непакетирани устройства към ИТ мрежа, насочена към интернет. Без проверка, тези видове пропуски в сигурността ще засегнат критичната инфраструктура на САЩ, както частната, така и публичната, а резултатите могат да се окажат скъпи и пагубни.

• Червеят Stuxnet, изработен от САЩ, Израел, за да предотврати ядрената програма на Иран Stuxnet Worm, изработен от САЩ, Израел, за да предотврати ядрената програма на Иран
• Най-добрият хостван софтуер за защита и защита на крайната точка за 2019 г. Най-добрият софтуер за защита и защита на крайните точки за 2019 г.
• Най-добрата защита за Ransomware за бизнес за 2019 г. Най-добрата защита за Ransomware за бизнеса за 2019 г.

Ако искате да направите своята роля за облекчаване на тези проблеми, тогава просто приложите тествани протоколи за сигурност на ИТ към вашата OT мрежа (и нейните устройства), ако вашата организация разполага с такава. Това означава:

• Сканиране за уязвимости.
• Сегментиране на мрежата, за да се ограничи нейният поток от данни само до данни, които трябва да бъдат там.
• Приложете актуализации на кръпка към вашата OT система и нейните мрежови устройства.
• Ако намерите устройства, които нямат механизъм за кръпка, след това ги идентифицирайте и започнете процеса на замяна с такива устройства.

Като цяло не е трудна работа; просто отнема време и вероятно е малко досаден. Но в сравнение с ада, който би могъл да избухне, ако вашата OT мрежа претърпи катастрофална повреда и последвалият ад на висши мениджъри по-късно установят, че прекъсването е можело да бъде предотвратено… е, всеки ден ще ми отнеме време и досадно.