Provocările de securitate la adresa rețelelor de tip enterprise (administrativ, office) reprezintă un subiect deja cunoscut de mulți ani. Deși apar atacuri noi, săptămânal – în majoritatea cazurilor profitând de vulnerabilității descoperite ale sistemelor de operare și ale aplicațiilor celor mai des răspândite – soluțiile și platformele de securitate sunt, în general, binecunoscute și folosite cu grad de adopție diferit de companii de toate dimensiunile.
În schimb, când ne referim la rețelele industriale, peisajul este puțin diferit. Aceste rețele au fost construite cu ani în urmă, când nu exista nicio legătură între acestea și rețelele de tip enterprise.
Prin urmare, nu existau vectori de atac semnificativi, care să ducă la o nevoie specifică de protecție cibernetică.
În ultimii ani însă, concepte precum IoT (Internet of Things) și Industry 4.0, au adus în prim plan nevoia conectării rețelei de tip operațional la cea administrativă și, implicit, legatura la Internet, deschizând noi porți atacatorilor.
Despre rețelele industriale și interesul atacatorilor
Cunoscute sub mai mulți termeni – precum rețele industriale, operaționale, de proces sau SCADA (Supervisory Control and Data Acquisition) – aceste rețele sunt ale companiilor din industrii precum cea alimentară, manufacturing, utilități (energie, gaze), petrolieră, de prelucrare a materialelor și multe altele. Specificul acestora este funcționarea de tip 24/7, iar în situația în care un echipament de control industrial (ICS) nu mai funcționează, se ajunge la pierderi bănești considerabile, iar, în unele cazuri, chiar la periclitarea vieții umane (pene de curent, lipsă de caldură sau apă etc).
Odată cu implementarea de automatizări și data analytics specifice Industry 4.0 sau a diferiților senzori de tip IoT, prin conectarea cu exteriorul a acestor rețele, se extinde suprafața expusă la posibile atacuri cibernetice. Acest lucru este dovedit inclusiv prin descoperirea mult mai multor vulnerabilități, în ultima vreme: în 2022, o creștere de 200% față de 2020 a vulnerabilităților analizate specific mediului industrial, arată raportul „Dragos 2022 ICS/OT Cybersecurity Year In Review”.
În actualul context geopolitic, interesul atacatorilor merge mai departe decât obținerea unei răscumpărării în bani (specifică atacurilor de tip ransomware, care au crescut în ultimul an cu 87%, conform aceluiași raport, citat anterior). Un exemplu recent a fost dezvăluit prin „Dosarele Vulkan” – o serie de documente care dezvăluie modalități de atac asupra infrastructurilor critice
și de transporturi.
Cum putem să ne apărăm
Modalitățile de protecție față de atacurile cibernetice din mediul industrial trebuie adaptate la specificul echipamentelor existente în acest tip de rețea. Spre deosebire de laptopurile și PC-urile pe care lucrăm zilnic, echipate cu suficientă putere de stocare, procesor și memorie, echipamentele de control industrial nu au fost gândite să ruleze alte funcții decât cele de proces. În plus, funcționarea permanentă a rețelei este o condiție obligatorie pe care trebuie să o respecte orice echipament de protecție introdus, precum și neafectarea sincronizării prin posibilele introduceri de întârzieri în comunicațiile dintre echipamente.
Pentru a putea implementa o arhitectură de securitate cibernetică pentru mediul industrial, este nevoie să înțelegem, în prima fază, care sunt vectorii de atac. Schema de mai jos rezumă o arhitectură simplificata de rețea operațională, după modelul Purdue, și căile de atac marcate cu cifrele 1-3.
1. Primul vector de atac îl reprezintă rețeaua administrativă/enterprise, în cazul căreia, în mod tradițional, separarea se realizează printr-un firewall. Atacurile din ultima perioada au demonstrat ca acesta nu este îndeajuns, pentru a proteja întreaga rețea operațională. Este necesar să avem activate pe acest echipament funcționalități de tip IPS și advanced malware protection.
2. Al doilea vector de atac constă în infectarea sau atacul unui echipament industrial printr-un atac de tip zero day (care nu este cunoscut de bazele de semnături de protecție actuale). Se observa un comportament anormal al stațiilor infectate (anomalii de trafic) și, de aceea, trebuie să cunoaștem care este „baseline-ul” de trafic normal, pentru a identifica rapid abateri de la normă.
3. Al treilea tip de risc consta în contractorii care vin pentru mentenanță sau pentru a face upgrade-uri în rețeaua SCADA cu laptopuri care nu pot fi scanate cu soluții de endpoint protection (pentru ca nu aparțin companiei care deține rețeaua).
Din experiența inginerilor Arctic Stream, securizarea rețelelor industriale se implementează prin câteva bune practici, prezentate în pașii de mai jos:
1. Izolarea și segmentarea rețelelor IT (information technology) și OT (operational technology), prin implementarea unui DMZ (Demilitarized zone network) industrial, folosind un echipament de tip Next Generation Firewall, precum Cisco Firepower.
2. Implementarea unei soluții de vizibilitate a traficului și a echipamentelor din rețeaua OT, precum Cisco Cyber Vision.
3. Ideal, senzorii pentru aceasta soluție trebuie sa fie integrați în echipamentele de rețea, pentru a nu introduce întârzieri în traficul de control sincronizat.
4. Pentru vizibilitate în rețelele cu echipamente mai vechi, traficul poate fi replicat prin protocol SPAN (Switched port analyzer) în echipamente de tip senzor.
5. Izolarea zonelor de producție, folosind firewall-uri industriale, echipamente rezistente la intemperii, vibrații, șocuri, praf etc.
6. Comunicarea cu platformele din SOC (Security operations center), pentru pentru a construi politici de securitate și a dispune de contextul necesar în investigarea evenimentelor de securitate.
7. Verificarea laptopurilor contractorilor, în mod non-intruziv și a memory stick-urilor cu update-uri.
8. Detectarea proactivă a amenințărilor și întârzierea atacurilor prin tehnologii de decepție.
Cu siguranță, nu există o rețetă universală pentru implementarea unei arhitecturi de securitate, căci fiecare companie are specificul său și procese adaptate modului său de operare. Cu toate acestea, bazându-se pe o bogată experiență, specialiștii Arctic Stream – disponibili la un e-mail distanță: office@arcticstream.ro – pot să identifice nevoile oricărui tip de rețea și să-și adapteze recomandările de arhitectură, platforme și integrări conform celor mai diverse cerințe.
