Securitatea sistemelor IT critice: ce facem când nu avem PATCH-uri?

Securitatea sistemelor IT critice: ce facem când nu avem PATCH-uri?

97

Rețelele sistemelor industriale de control (ICS) și rețelele IT clasice devin din ce în ce mai întrețesute, interconectate, sau, hai să spunem, „convergente”. Stațiile de lucru și serverele din rețelele ICS care utilizează sisteme standard de operare IT, cum ar fi Windows, devin din ce în ce mai frecvente. Din păcate, deși operatorii ICS sunt conștienți, totuși apelează în continuare la tehnologii comune, larg utilizate și accesibile astfel că aceste opțiuni fac ca rețelele ICS să fie mai vulnerabile decât oricând la hacking, în special atacurile malware și ransomware.

De exemplu, atacurile NotPetya și WannaCry ransomware dar și cele de după ele au dovedit că atacurile cibernetice cu siguranţă nu doar că nu vor înceta şi vor căpăta noi și noi forme atât tehnice cât și de monetizare, dar și că pur și simplu aplicarea de p atch-uri (pachete de corecţie) poate să împiedice infectarea sau răspândirea și că această simplă măsură poate fi extrem de eficientă. Aceste două atacuri s-au bazat pe exploatarea vulnerabilităţii Eternal Blue (un defect de securitate în cadrul mai multor versiuni ale sistemului de operare Windows), pentru a infiltra și bloca sistemele vitale, cerând o răscumpărare pentru a le debloca. Cu toate acestea, patch-ul util pentru prevenirea atacurilor a fost deja disponibil cu câteva luni înainte de a avea loc. Se pune întrebarea de ce multe organizaţii importante nu au avut aplicate patch-uri, lăsând sistemele vulnerabile?

Downtime = Costuri

Prima problemă este aceea că reţelele industriale mari, infrastructura și reţelele comerciale sunt, de obicei, gândite să funcţioneze la aproape maximum de capacitate și implică de multe ori producerea unui

produs, fie că este vorba de electricitate, o mașină, un aliment sau o jucărie. Deci, când sistemele scad capacitatea sau producţia se oprește, există un impact financiar asupra operatorilor / proprietarilor.

Nimic surprinzător, e destul de clar că operatorii comerciali nu doresc întreruperea sistemelor foarte des pentru a instala patch-uri. Această fereastră de timp este planificată cu mult timp înainte și adesea pot trece luni de zile sau chiar un an până la următoarea fereastră de patch-uri. Deci, în cazul amintit doar ca exemplu, este posibil ca în timp ce patch-ul Microsoft era disponibil în martie, unele companii să nu fi ajuns în perioada de patchuri planificată atunci când primul atac a avut loc în luna mai.

A risca sau nu

În alte cazuri, companiile, deși derulează o analiză risc / beneficiu, aleg să nu aplice patch-uri, ignorând faptul că multe atacuri moderne pot distruge complet întreaga reţea ICS și că nu este vorba dacă reţeaua va fi atacată / compromisă, ci când se va întâmpla asta. Motivul cel mai frecvent este pur și simplu asumarea că sistemele funcţionează ca atare și

nimeni nu își asumă gestionarea schimbării, perioadele de nefuncţionare. Deși ilogic, există multe companii care își asumă sau mai degrabă speră că în cazul apariţiei infectării costurile vor fi mai mici decât costurile generate de întreruperi ale producţiei, în ideea că poate infectarea nu se va produce niciodată sau extrem de rar. Inutil de spus că această practică nu este recomandată.

Uneori chiar nu se poate

Există și cazuri în care într-adevăr mitigarea riscului prin aplicarea de patch-uri de actualizare nu se poate face: există adesea sisteme, dispozitive

și aplicaţii critice care nu au patch-uri, deoarece sunt depășite, end-of-life, nu mai au suport, nu există patch pentru ele, sau nu există condiţii tehnice pentru a se aplica, de exemplu nu există memorie liberă pentru a instala un patch. Și într-adevăr, actualizare la zi nu înseamnă neapărat că toate vulnerabilităţile software au fost patch-uite. Este posibil să existe o vulnerabilitate necunoscută nimănui în afara câtorva hackeri de elită – așa-numita exploatare „zero day”, așa cum era EternalBlue înainte de a fi dezvăluită publicului. În aceste cazuri, de cele mai multe ori nici compania care face software-ul nu știe despre problemă, deci teoretic nu există patch.

Există, de asemenea, cazuri în care terţii care deţin sau gestionează echipamente în cadrul reţelelor operaţionale neglijează actualizarea acestor sisteme în timp util. Aceste terţe părţi ar putea avea, de asemenea, conexiuni în reţeaua ICS. În astfel de cazuri, operatorii ICS nu pot controla dacă sistemele sunt actualizate, tocmai pentru că ele funcţionează în conformitate cu SLA (acorduri privind nivelul serviciilor) și posibil să și partajeze date cu terţa parte.

Ce facem când nu se poate?

Având în vedere diversitatea motivelor pentru care patch-urile nu sunt posibile, există totuși în aceste cazuri opţiuni disponibile pentru a proteja operaţiunile și dispozitivele din sistemele ICS:

Audit intern

Primul pas important este realizarea unui inventar intern sau a unui audit al sistemelor conectate, identificarea potenţialilor vectori de ameninţare și definirea nivelului de risc. Multe companii nu au hărţi exacte ale fluxurilor de date sau ale arhitecturilor de sistem, care sunt extrem de utile pentru securitatea informatică eficientă. Dacă nu știm unde suntem vulnerabili, nu există nicio modalitate de a atenua posibilitatea atacului cibernetic.

Un audit poate fi efectuat manual sau cu ajutorul unui instrument automat de descoperire a dispozitivelor de reţea, deși multe organizaţii evită utilizarea instrumentelor automate, deoarece ar putea perturba operaţiile prin adăugarea unei încărcări suplimentare în reţea, chiar mici uneori.

De obicei, nu trebuie căutat prea departe pentru a găsi sisteme și dispozitive conectate care au vulnerabilităţi cunoscute sau potenţiale, dar găsirea tuturor acestora poate fi o provocare. Cu toate acestea, impactul asupra întregii reţele a unui dispozitiv sau un sistem care poate fi infectat poate fi totuși limitat.

Eliminarea conexiunilor care nu sunt necesare

Uneori dispozitivele sunt conectate la reţele externe fără nici un motiv cu adevărat necesar. Fie că este vorba de o arhitectură defectuoasă a reţelei, de lipsa unor proceduri de securitate clar definite, de solicitări urgente de acces la date sau de a face acest lucru deoarece se poate face, sistemele și echipamentele conectate inutil sunt cauza principală a infecţiilor și a proliferării malware. Aceasta include, de asemenea, conexiuni cu terţe părţi care nu (mai) au nevoie de acces la reţeaua ICS.

Fiecare conexiune la o reţea externă, indiferent cât de bine este monitorizată, reprezintă o posibilă cale pentru un atac în reţeaua ICS. Mulţi operatori ICS sunt neavizaţi în ceea ce privește securitatea informatică, iar unii nu au nici măcar un singur rol dedicat, ba chiar au diverse persoane care au creat diverse conexiuni iar aceste persoane poate nici nu mai sunt în companie. Astfel că pentru fiecare conexiune care este eliminată, se elimină și nevoia de protecţie, atenţie și vigilenţă din partea unui grup cât mai restrâns.

Segmentarea

Crearea unui mediu protejabil înseamnă, de asem enea, segmen tarea reţelei ICS de sisteme de control industrial în sine și crearea unor niveluri de securitate în cadrul acesteia.

Prin crearea mai multor segmente de reţea, fiecăruia i se poate atribui un nivel propriu de securitate și încredere, iar fluxul de date între fiecare segment poate fi limitat și monitorizat. Segmentarea poate, de asemenea, să ajute la atenuarea traversării laterale în caz de penetrare, în cazul în care hackerii sau malwareul vor să sară de la un dispozitiv / sistem / staţie de lucru la altul.

Implementarea securității bazată pe hardware: sens unic

Destul de des, propunerea de a deconecta conexiunile la reţeaua ICS, indiferent de cât de simplă sau complexă, poate duce la presiuni din partea utilizatorilor finali cu diferite roluri IT sau de business sau terţe părţi care doresc acces la date ICS. În aceste cazuri, se recomandă

ca operatorii să schimbe cât mai multe dintre aceste conexiuni într-o singură direcţie, utilizând o diodă de date sau un dispozitiv cyber similar bazat pe hardware.

O diodă de date este un dispozitiv bazat pe hardware care impune fizic un flux unic de date. Se impune o singură cale pentru fluxul de date, permiţându-i să curgă de la un compartiment la altul, dar nu înapoi.

Ca sisteme de transfer de date într-o singură direcţie, diodele de date sunt folosite ca instrumente de securitate cibernetică pentru segmentarea și protejarea reţelelor împotriva ameninţărilor cibernetice externe și pentru prevenirea penetrării din orice sursă externă. Acestea permit transmiterea datelor către utilizatorii care au nevoie de aceasta, fără a permite accesul înapoi, ceea ce poate fi extrem de util pentru reţelele nepatch-uite sau neînchise în alt mod. Diodele de date susţin în mod eficient o arhitectură «air-gapped» din exterior, permiţând în același timp continuarea fluxurilor de date din reţeaua ICS.

Firewall-urile și instrumentele cyber bazate pe software sunt, de obicei, prima linie de apărare, și primele la care ne gîndim atunci când se are în vedere construirea unui zid de securitate în jurul reţelelor sensibile. Din păcate, pe lângă faptul că au propriile probleme cu atacuri de tip zero day, firewall-urile presupun ele însele gestionarea continuă a schimbării, configurarea, și manangementul actualizărilor.

Dimpotrivă, diodele de date adesea nu necesită nicio gestionare a schimbărilor, deoarece acestea nu necesită reconfigurare, upgrade sau înlocuire a sistemelor sau setărilor în sistemele industriale de control – inclusiv în sistemele vechi. Ca dispozitive bazate pe hardware, nu sunt vulnerabile la atacurile software și, prin urmare, nu necesită patch-uri periodice, deși patch-uri pentru îmbunătăţirea funcţionalităţii pot fi disponibile din când în când. Diodele de date ajută de asemenea la segmentarea reţelei și la crearea de straturi de apărare între reţelele de încredere și cele de neîncredere.

Eliminarea sau autorizarea dispozitivelor portabile

Având în vedere că abordarea prudentă ar trebui să fie aceea de a menţine o decuplare a arhitecturii ICS, totuși multe date sunt în conexiune cu medii portabile iar în acest caz vectorul cel mai probabil de atac vor fi mediile portabile – dispozitive USB, laptopuri, etc. Prin urmare, este vital ca toate mediile portabile să facă obiectul unei examinări aprofundate, inclusiv antivirus, sume de control pentru hash și autentificare. În mod obișnuit, această examinare este efectuată cu un layer de securitate (chioșc de control), unde suportul portabil este mai întâi conectat și scanat înainte ca acesta să poată fi conectat oriunde în reţeaua ICS. Aceste chioșcuri de securitate pot fi utilizate și împreună cu diodele de date, firewall-urile și instrumentele de autentificare pentru a oferi securitate suplimentară. În mod ideal, nu ar trebui să li se permită intrarea în reţeaua ICS a laptopurilor sau a altor medii sofisticate care au fost conectate la internet, dar, dacă este necesar, trebuie să facă obiectul aceluiași control aprofundat.

Investiția în pregătire

într-un mediu în care există vulnerabilităţi cunoscute. Nu mai vorbim de faptul că eroarea umană reprezintă mai mult de jumătate din toate incidentele cibernetice. Fără o instruire consistentă în procedurile de securitate cibernetică a personalului, toate eforturile tehnice de securitate pot fi compromise intenţionat.

Concluzie

Aplicarea patch-urilor poate fi simplă în teorie dar devine o problemă în reţelele de control industrial. Oricare ar fi motivul pentru care organizaţia nu are patchuri, sau nu le poate aplica, există și alte posibilităţi de a implementa o securitate adecvată și de a preveni un atac cibernetic.

Prin utilizarea diverselor tehnici și tehnologii, cum ar fi diodele de date, operatorii ar putea chiar să evite gestionarea schimbărilor, eliminând necesitatea perioadel or de nefuncţionare care pot fi costisitoare și pot păstra o legătură între reţeaua ICS și reţeaua IT, reducând sau eliminând riscul asociat cu acesta.

Urmând sugestiile de mai sus, în combinaţie cu cele mai bune practici ale organismelor de reglementare din industrie, precum și implementarea unui program cuprinzător de instruire, se poate construi o bază puternică pentru a preveni atacurile cibernetice împotriva sistemelor vechi, neactualizate.

Virgilius Stănciulescu
Autor: Virgilius Stanciulescu,
Director IT, ANCOM

BIO

Cu o experiență de 20 de ani IT&C, atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, conduce Direcția IT a ANCOM, Virgilius încearcă cu spirit analitic și managerial să ducă ANCOM pe drumul transformării digitale. Viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure, o parte din sistemele de bază fiind operaționale și constituind bază de dezvoltare în continuare. Sistemul Integrat pentru Managementul Spectrului Radio, un sistem critic pentru managementul comunicațiilor în România este unul dintre ele, iar platforma eControl i-a urmat. Deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, expert în securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare în vederea respingerii atacurilor cyber.