Aktuální vydání

celé číslo

07

2020

Řízení distribučních soustav a chytrá města

Měření a monitorování prostředí v budovách a venkovním prostředí

celé číslo

Kybernetická bezpečnost průmyslových řídicích systémů (část 2)

Článek popisuje, co hrozí průmyslovým řídicím systémům z hlediska kybernetické bezpečnosti, a shrnuje, jak těmto hrozbám čelit. Uvádí devět základních funkcí, které by měla splňovat moderní platforma pro zabezpečení průmyslových řídicích systémů, aby zajistila maximální dostupnost zařízení a přitom je ochránila před existujícími i dosud neznámými hrozbami.

Článek je redakčně upravenou verzí studie Defining the 21st Century Cybersecurity Protection Platform for ICS společnosti Palo Alto Networks.

První část článku byla zveřejněna v č. 2/2016, str. 34–36. 

2. Bezpečnostní platforma pro soudobé i budoucí průmyslové řídicí systémy

Průmyslové podniky se nemohou dále spoléhat na málo efektivní zabezpečení průmyslových řídicích systémů (ICS) oddělenými systémy pro koncová zařízení a komunikační síť. V sázce je příliš. Je třeba vytvořit takovou bezpečnostní platformu, která bude vyhovovat současným i budoucím požadavkům: bude obsahovat vše potřebné a její prvky budou úzce spolupracovat, aby zajistily ochranu proti útokům a současně snížily náklady podniku na provoz a údržbu zabezpečovacího systému. Vhodná platforma musí umožňovat:

1.  integraci zabezpečení sítě a koncových zařízení s centrálním jádrem pro inteligentní detekci neznámých hrozeb,

2.  klasifikaci provozu v síti na základě aplikací a uživatelů, nikoliv podle portů a IP adres,

3.  podporu segmentace sítě včetně přístupu založeného na roli uživatele,

4.  nativní blokování známých hrozeb,

5.  detekci a prevenci proti útokům neznámého malwaru,

6.  obranu proti útokům typu zero day na koncová zařízení,

7.  centralizovanou správu a reportování,

8.  zabezpečení mobilních zařízení a virtualizovaných systémů,

9.  využití výkonného API a rozhraní pro správu platformy podle průmyslových standardů.

Společnost Palo Alto Network nazvala takovou platformu 21st Century Cybersecurity Protection Platform for ICS

2.1 Integrace zabezpečení sítě a koncových zařízení s centrálním jádrem pro inteligentní detekci neznámých hrozeb

Zabezpečení ICS může být narušeno na straně HMI nebo řídicích serverů, tedy koncových zařízení, popř. se vstupní branou útoku může stát připojený notebook osoby, která provádí údržbu a servis, nebo připojení do sousední sítě. Je nepochybné, že v současné době útočníci k dosažení svých cílů využívají důmyslné kombinace útoků na slabá místa komunikačních sítí i softwaru v koncových zařízeních. Podniky na to musí být připraveny přijetím opatření, která mohou útok zastavit v jakékoliv jeho fázi. Jde o tzv. model kill-chain: preventivní opatření proti útokům jsou použita jak proti útokům směřujícím na sítě, tak proti útokům směřujícím na koncová zařízení. Namísto jednotlivých nástrojů je třeba použít preventivní mechanismus, jehož jednotlivé inteligentní prvky úzce spolupracují a vyměňují si informace.

Podnikům to přináší dvě zásadní výhody. Zaprvé, informace o útocích detekovaných koncovými zařízeními mohou být porovnávány s informacemi o útocích v komunikační síti a podnik tak získá lepší přehled, aby mohl účinněji reagovat na kybernetické hrozby, zejména na cílené útoky. A zadruhé, je-li koncové zařízení napadeno, může informaci o útoku sdílet prostřednictvím sítě a informovat ostatní koncová zařízení o nebezpečí. Tím je možné zabránit šíření útoku po síti a připravit koncová zařízení na obranu.

Zabezpečení sítě a zabezpečení koncových zařízení tak pracují společně a k automatické detekci útoků a obraně proti nim využívají centrální inteligentní jádro, které může být přímo součástí chráněného systému nebo je lze umístit v cloudu [5]. Na obr. 3 je znázorněna koncepce integrace ochrany koncových zařízení, ochrany sítě a inteligentního jádra pro detekci neznámých hrozeb. Červenými šipkami jsou označena místa, která mohou pokročilé útoky využívat jako startovní body, modré šipky označují interakce sítě a koncových zařízení s inteligentním jádrem pro detekci neznámých hrozeb, ať má podobu jádra v rámci chráněného systému, nebo je v cloudu. 

2.2 Klasifikace provozu v síti podle aplikací a uživatelů, nikoliv podle portů a IP adres

Při detailním pohledu na zabezpečení sítí se často diskutuje o viditelnosti vrstev 7 (aplikační) a 8 (uživatelská) modelu ISO/OSI. Již dříve bylo doporučeno, aby tyto vrstvy byly pro systémy detekce hrozeb viditelné, avšak v současné době, je-li třeba spolehlivě detekovat všechny anomálie v provozu na síti, se z doporučení stává nutnost. Je tomu tak z těchto důvodů:

  • Cílené útoky často využívají otevřené porty, např. kanály, které ICS používá pro řídicí povely a ovládání. Jestliže je systém schopen sledovat komunikaci v aplikační vrstvě, dokáže lépe rozeznat očekávanou komunikaci od podezřelé, zneužívající otevřený port.
  • Některé aplikace využívají funkci port hop (přeskoky mezi porty) nebo jiné rizikové chování. Může jít o aplikace určené ke zvýšení produktivity práce, ale spíše se takto (i v prostředí ICS) sdílejí soubory určené k zábavě. Funkce port hop značně ztěžuje jejich detekci. Jestliže je systém schopen detekovat používané aplikace, snadno odhalí ty nežádoucí.
  • Některé funkce protokolů jsou pro útočníky velmi „zajímavé“. Například Modbus nebo DNP3 mají variantu „read and write“, přičemž povely „write“ mohou měnit např. stav PLC a popř. tak odstavit technologický proces. Je proto třeba sledovat varianty protokolů a zlepšit možnosti dohledu nad provozem v síti.
  • Ve všech popsaných scénářích je vhodné dát provoz na síti do souvislostí s konkrétními uživateli nebo určenými skupinami uživatelů a sledovat, zda se některý uživatel nepokouší o komunikaci, k níž nemá oprávnění.

Při výběru systému pro zabezpečení ICS se tedy doporučuje dbát na to, aby to byl systém, který je navržen tak, aby dokázal dohlížet i na aplikace. Měl by podporovat integraci seznamů uživatelských IP adres, které mohou být propojeny s dohledem nad aplikacemi a protokoly. 

2.3 Podpora segmentace sítě včetně přístupu založeného na roli uživatele

Základní chybou v koncepci ochrany ICS před kybernetickými útoky je domnívat se, že postačující je důsledná obrana perimetru. Avšak např. oddělení systému SCADA od systémů řízení podniku (např. ERP) není dostatečnou ochranou, protože cílené útoky si svou cestu do ICS stejně najdou, útočník zevnitř podniku může k útoku využít své detailní znalosti systému, technik může bezpečnost systému ohrozit i nechtěně, v dobré víře, nebo se malware do ICS dostane ze sítě důvěryhodného partnera nebo dodavatele. Moderní systémy ICS tedy vyžadují segmentaci do bezpečnostních zón, propojených komunikačními bránami. Uživatel má povolený přístup všude, kam se potřebuje dostat, aby mohl vykonávat svou práci, ale nikam jinam.

Tento přístup je popsán v ISA 62443 [6] jako „least-privilege“ nebo v modelu vyvinutém firmou Forrester Research [7] jako „zero-trust“.

Nová generace systémů pro zabezpečení ICS by ale měla umět nejen sledovat provoz v síti s velkou segmentací, a to i na aplikační a uživatelské vrstvě, ale také používat vhodná bezpečnostní pravidla. Znamená to, že komunikační síť by nejen měla být segmentována podle aplikací a uživatelů, ale na rozhraní mezi bezpečnostními zónami by měla být použita pravidla pro řízení přístupu na základě přidělených rolí. Bezpečnostní platforma musí svému správci umožňovat tato pravidla pro kontrolu aplikací a protokolů aplikovat snadno a intuitivně, protože to nejen omezuje práci spojenou se správou systému, ale také snižuje nebezpečí omylů. Na obr. 4 je ukázáno, jak důležité je omezit působení kybernetického útoku kontrolou aplikací, protokolů a dalších potenciálních vektorů.

Dále je uvedeno několik příkladů, jak využít nejen pozitivní seznam (whitelist) povolených protokolů a aplikací, ale také pozitivní seznam uživatelů a jejich skupin:

  • jestliže dodavatel potřebuje přistupovat k PLC prostřednictvím protokolu Modbus a změnit jeho nastavení příkazem write, musí k tomu mít speciální jednorázové povolení,
  • přístup k serveru, do nějž řídicí systém ukládá historická data, mají z ERP nebo podnikových databází jen určení uživatelé,
  • aplikace a protokoly určené pro správu (např. šifrovací aplikace SSH – Secure Shell, vzdálené volání procedur RPC – Remote Procedure Call, vzdálené ovládání protokolem RDP – Remote Desktop Protocol) mohou používat jen administrátoři systému, kteří jsou proškoleni a jsou si vědomi rizik, která tyto aplikace s sebou nesou.

Pro řízení přístupu a firewally s kontrolou stavu paketů byly navrženy některé speciální informační technologie, např. datové diody. Ty umožňují datům na perimetru IT-OT proudit jen jedním směrem, tedy např. jen z prostředí ICS do podnikové sítě. Protože však mnohé aplikace vyžadují obousměrnou komunikaci, často se tyto diody používají v páru a je třeba pečlivě řídit, která data mohou proudit kterým směrem. Pro ochranu perimetru lze použít tatáž zařízení, která jsou použita k řízení komunikace mezi segmenty v síti ICS. 

2.4 Nativní blokování známých hrozeb

Průmyslové řídicí systémy jsou ohrožovány mnoha již známými způsoby:

  • využitím slabin specifických produktů (PLC, RTU) nebo softwaru SCADA,
  • využitím slabin prostředků běžné informační techniky používaných v ICS, např. operačních systémů nebo vyhledávačů, popř. specifických modulů, např. Open­SSL a bash-shellu v OS Unix,
  • využitím některých funkcí protokolů, jako je např. tzv. horký restart DNP3 – to je sice běžně používaná funkce, ale vzhledem k možnému využití při kybernetickém útoku v prostředí ICS značně riziková,
  • zcela běžnými a známými viry, které však, jsou-li náhodně spuštěny, mohou v ICS způsobit nákladné odstávky,
  • snahou o podvodné připojení na domény a URL používané malwarem a pro útoky typu watering-hole.

Ačkoliv jsou tato rizika známá, mnohé podniky ponechávají průmyslová zařízení dlouhodobě nechráněná nebo neaktualizují jejich kybernetickou ochranu. Důvody jsou dva: zaprvé, dodavatel musí každou aktualizaci důkladně otestovat, což je časově náročné, takže na rozdíl od běžného softwaru přicházejí aktualizace výrazně později, a zadruhé, protože aktualizace zpravidla vyžaduje restart zařízení, provozovatel čeká na uplynutí intervalu údržby. Někdy jsou odstávky tak nákladné, že je zařízení provozováno jako bezúdržbové. Potom ovšem jeho software po celou dobu provozu zařízení není ani jednou aktualizován. To je skutečnost, s níž je nutné v průmyslových podmínkách počítat a těmto zařízením zajistit ochranu jinak.

Prevence známých hrozeb musí být součástí každé bezpečností platformy, ale na rozdíl od současných systémů, kde jsou informace o hrozbách analyzovány odděleně od informací o aplikacích a uživatelích, moderní zabezpečovací platformy musí tyto informace analyzovat společně, protože jsou mezi nimi významné souvislosti. Sdílení informací zvyšuje schopnost systému rozeznat typické projevy útoků a zjistit, které aplikace a kteří uživatelé jsou jejich původcem a která zařízení a aplikace jsou cílem. Navíc to umožňuje přesněji stanovit bezpečnostní pravidla, která povolí komunikaci mezi jednotlivými zónami jen určenými protokoly a jen určeným aplikacím a současně zablokují kanály, jimiž se šíří známé hrozby. Na obr. 5 je koncept blokování známých hrozeb prostřednictvím pozitivního seznamu – whitelistu

(dokončení v příštím čísle)

Literatura:

[5] –: Enterprise Security Platform [on-line]. Webové stránky produktu. Palo Alto Networks, Inc., Santa Clara, USA, 2007 až 2015. [cit. 27. 1. 2016]. Dostupné z: <https://www.paloaltonetworks.com/products/platforms.html>

[6] ANSI/ISA-62443-1-1: Security for Industrial Automation and Control Systems, Part 1: Terminology, Concepts, and Models. ISA, 2007.

[7] Forrester Research: Developing a Framework to Improve Critical Infrastructure Cybersecurity [on-line]. Prepared for NIST, 2013. [cit. 27. 1. 2016]. Dostupné na <http://csrc.nist.gov/cyberframework/rfi_comments/040813_forrester_research.pdf>

 

Mario Chiock, American Petroleum Institute, Del Rodillas, Palo Alto Networks

Obr. 3. Integrace zabezpečení sítě a koncových zařízení s centrálním jádrem pro inteligentní detekci neznámých hrozeb

Obr. 4. Význam segmentace sítě pro omezení vektorů bezpečnostních hrozeb

Obr. 5. Blokování známých hrozeb omezením vektorů, jimiž se mohou šířit