Automatyka.eu

Nowa jakość w dziedzinie cyberbezpieczeństwa przemysłowych systemów sterowania

Elmark Automatyka Sp. z o. o. | Wtorek, 30 październik 2018r.

Cyberprzestępcy nieustannie rozwijają swoje narzędzia i techniki. Nawet najbardziej bezpieczne systemy są podatne na ataki. Coraz więcej czynników wskazuje na potrzebę stosowania technik obronnych dla przemysłowych systemów kontroli (ang. ICS).

Bed_2_preview

Zobacz również:

Odpowiednie zabezpieczanie ICS jest procesem, ale nie składającym się wyłącznie z jednego zadania. Należyta strategia łączy w sobie dogłębną obronę - "defense in depth" wraz z ciągłym doskonaleniem w tej dziedzinie. Intencją doskonalenia jest tu raczej analiza, ocena i dopasowywanie poszczególnych koncepcji do własnych potrzeb niż odgórne podejmowanie konkretnych działań. Jest tak dlatego, że optymalne kroki we wszystkich przypadkach są funkcją charakteru ryzyka i dostępnych zasobów. Systemy kontroli procesów przemysłowych różnią się w zależności od ich szczegółowego zastosowania i sektora, w którym działają. Wszystkie muszą być jednak odpowiednio zabezpieczane w dobie coraz częstszych cyberataków.

Możliwe warianty i cele cyberataków

Systemy kontroli nie są pełne zapisów z kart kredytowych lub podobnych aktywów, które zazwyczaj są przedmiotem zainteresowania cyberprzestępców. Co zatem skłania ich do przeprowadzania cyberataków oraz które z nich mogłyby być przewidywane? W jaki sposób przebiegają ataki?

Pierwszym przykładem są tzw. ataki „Drive-by”. Można je uznać za infekcje atakujące "przy okazji", pływające po Internecie w poszukiwaniu ofiar. Mogą one stwarzać problemy i czasowo przerywać działalność, ale poważne, długotrwałe szkody są mało prawdopodobne.

Do drugiej grupy ataków należą zaawansowane trwałe zagrożenia (ang. APT). Cyberataki należące do tej grupy są przeprowadzane w celu osiągnięcia pewnych ustalonych zamierzeń. Co więcej, APT są zazwyczaj dziełem grupowym. O atakach tego typu słyszano już wcześniej -  termin ten został pierwszy raz użyty przez amerykańskie siły powietrzne w 2006 roku.

Do operacji typu APT można zaliczyć również ataki szpiegowskie. Atak tego typu zazwyczaj rozpoczyna się od "phishing'u" w celu uzyskania początkowego dostępu. Atakujący pracują następnie w ukryciu, aby stworzyć sobie warunki do pozostania w systemie i uzyskać administracyjne uprawnienia. W znanych przypadkach, atakujący byli zazwyczaj aktywni w systemie docelowym przez okres dłuższy niż 18 miesięcy.

Techniki obrony przed atakami

Podstawą budowy systemu cyberobrony dla przedsiębiorstwa jest współpraca działów Technologii Informacyjnych (IT) oraz Operacyjnych (OT). Dotyczy to wszystkich faz cyklicznego procesu oceny ryzyka, jego ograniczania, reagowania na incydenty oraz odzyskiwania danych. O ile dawniej, systemy ICS tworzyły odizolowane struktury – zamknięte sieci przesyłające dane w obrębie jednej firmy, o tyle obecnie, coraz częściej są one podłączane do Internetu, np. w ramach przemysłowego IoT. Fakt ten uwidacznia potrzebę stosowania fachowej wiedzy specjalistów IT z zakresu cyberbezpieczeństwa przy ochronie danych dotyczących procesów w przedsiębiorstwie.

Bezpieczeństwo sieci sprowadza się w ogólnym pojęciu do kontrolowania dwóch aspektów:

·         jakie urządzenia są obecnie podłączone

·         czy przesyłane wiadomości/polecenia są dozwolone.

Kontrowanie podłączonych urządzeń sprowadza się do aktywnego skanowania sieci w celu znajdowania i sprawdzania współpracującego sprzętu lub pasywnego monitorowania przepływu danych. Autoryzacja wiadomości/poleceń może następować natomiast w wyniku stosowania Infrastruktury Klucza Publicznego (ang. PKI) – dołączania do komunikatów szeregu szyfrowanych podpisów cyfrowych pozwalających na rozpoznawanie bezpiecznych poleceń.

Kolejnym czynnikiem, utrudniającym życie cyberprzestępcom jest segmentacja sieci oraz zastosowanie tzw. „zapór ogniowych” – ang. Firewall przy przechodzeniu pomiędzy kolejnymi warstwami. Najprostszym przykładem jest wydzielenie w sieci przedsiębiorstwa części odpowiedzialnej za przesył danych na poziomie hali produkcyjnej łączącej się z poziomem sieci biurowej, która z kolei łączy się z Internetem oraz zastosowanie Firewall’a na granicy każdego z segmentów.

Cyberobrona z poziomu kontrolera

Dotychczas kontrolery PLC, DCS i inne były projektowane do pracy w odizolowanych sieciach. Nie mając wewnętrznych zabezpieczeń, warunkiem ich poprawnego funkcjonowania jest całkowicie bezpieczna i wolna od włamań sieć. Biorąc pod uwagę coraz powszechniejsze podłączanie urządzeń przemysłowych do Internetu, warunek ten coraz rzadziej jest spełniany. W razie ewentualnego uzyskania dostępu do tych urządzeń przez niepowołane osoby, kontrolery te nie będą w stanie odróżnić właściwych poleceń od tych, nadawanych przez cyberprzestępców.

Dobrym przykładem podmiotu wprowadzającego innowacje w aspekcie cyberobrony jest firma Bedrock Automation, która wyszła naprzeciw temu wyzwaniu, prezentując kontroler Bedrock. Zastosowana w nim Infrastruktura Klucza Publicznego zapewnia przepływ komunikatów wyłącznie pomiędzy zaufanymi stronami. Nie oznacza to, że Bedrock powinien funkcjonować w zupełnie otwartej sieci, lecz dzięki użyciu PKI wprowadza on zupełnie nowe poziomy cyberobrony do używanych już wcześniej systemów ochrony infrastruktury sieciowej. O ile doświadczeni hakerzy mogli już osiągnąć wprawę w omijaniu zapór typu Firewall, o tyle złamanie skomplikowanego oraz dobrze zaimplementowanego systemu kryptografii jest praktycznie niemożliwe. Od teraz cyberprzestępcy napotykają przez sobą zupełnie nowy zestaw barier.

Na Infrastrukturę Klucza Publicznego zastosowaną w module Bedrock składają się:

·         niesymetryczne szyfrowanie – wykorzystujące dwa klucze: publiczny – dostępny dla wszystkich i prywatny – znany tylko autorowi nadawanego komunikatu

·         podpisy cyfrowe – skróty oryginalnych wiadomości tworzone według gotowych algorytmów, zaszyfrowane za pomocą odpowiednich kluczy prywatnych

·         certyfikaty – bloki danych zapewniające właściwe utożsamienie użytkownika z danym kluczem publicznym; wykorzystuje się je do dystrybucji kluczy publicznych oraz tworzenia bezpiecznych kanałów komunikacyjnych

·         urząd certyfikacji  (ang. CA) – podmiot wydający, podpisujący i zarządzający certyfikatami; jego podpis potwierdza autentyczność danego certyfikatu.

Oprócz samego używania PKI, ważna jest jego właściwa implementacja. Bedrock Automation jest dobrym przykładem firmy produkującej sterowniki posiadające wiele warstw ochronnych wykorzystujących to narzędzie.

Najgłębszym poziomem ochrony są same algorytmy i standardy kryptograficzne. Idąc wyżej, stosowane są bezpieczne komponenty tworzące sterownik, zapewniające sprzętowe wsparcie szyfrowania, generację Prawdziwych Liczb Losowych (niezbędnych do wysokiej klasy kryptografii), czy bezpieczne i autoryzowane uruchomienia systemu. Komponenty te są wyposażone w systemy antysabotażowe potrafiące wykrywać próby naruszenia ich struktury. Sterownik Bedrock używa specjalnie dostosowanego oprogramowania wykorzystującego bezpieczne systemy czasu rzeczywistego, szyfrowanie plików, bezpieczne środowiska deweloperskie i nie tylko. Poszczególne moduły sterownika komunikują się ze sobą za pomocą nowatorskiego rozwiązania – magnetycznej płyty montażowej, co eliminuje używanie złącz, podatnych na uszkodzenia mechaniczne. Całość opatrzona jest wytrzymałą metolową konstrukcją, posiadającą systemy aktywnej i pasywnej ochrony antywłamaniowej z możliwością wykrywania oraz alarmowania na wypadek prób naruszenia sterownika.

Podsumowanie

W dzisiejszych czasach, obrona cybernetyczna to złożone wyzwanie techniczne, ale takie, które firma Bedrock Automation podjęła i obecnie komercjalizuje. Bez warstwowych i głęboko osadzonych technik cyberobrony, szanse na trwałe bezpieczeństwo są niewielkie. Mimo braku dużej ilości rozwiązań podobnych do sterownika Bedrock, wydaje się, że standardy wprowadzane przez Bedrock Automation postrzegane dziś jako innowacje, mogą wkrótce stać się podstawą prawidłowo zaprojektowanych systemów ICS. W dobie dynamicznie rozwijającego się Przemysłowego Internetu Rzeczy należy ciągle monitorować stan ryzyka oraz możliwe zagrożenia płynące z powszechnego dziś dostępu do Internetu.


 

Bed_2_small

Komentarze

dodaj komentarz

Partnerzy serwisu

  • Gigaom_color

Oferty pracy

Więcej

Polecamy