Pidä kriittiset verkkoverkot turvassa

Näyttö näytölläni oli rehellisesti sanottuna pelottava. Näin selvästi suurten lentokenttien operatiivisen tekniikan (OT) verkossa olevat laitteet ja näin heidän ilmoittamansa tiedot. Yhdessä ruudussa olivat suihkusillan hallintalaitteet, toisella kiitotien valot ja vielä toisella tulevan lennon matkustajaluettelo, joka sisältää kaikki matkustajatiedot. Kuka tahansa, jolla on pääsy tähän verkkoon, pystyi käyttämään tietoja sifonoimaan henkilökohtaiset tiedot, he pystyivät löytämään suhteet, jotka ovat tarpeen lentokentän toiminnan hyökkäyksille, ja he näkivät todelliset laitteet, jotka kontrolloivat laitteita koko laitoksen alueella. Toisin sanoen he voisivat minimaalisella vaivalla sulkea lentokentän.

Cyberbit-markkinoinnin varatoimitusjohtaja Sharon Rosenman näytti minulle yrityksensä SCADAShield Mobile -laitteen ominaisuuksia ja käytti sitä todellinen lentokenttä (enkä, en aio kertoa, mikä lentokenttä se oli). Hänen yritys oli palkattu auttamaan lentoaseman pitäjiä löytämään ja korjaamaan haavoittuvuutensa.

SCADAShield Mobile -laite on matkalaukun kokoinen, kannettava OT-analysaattori, jonka tarkoituksena on tarkastella koko OT-verkkoa hyökkäysten merkkejä varten ja löytää haavoittuvuuksia, jotka eivät välttämättä ole selviä verkonvalvojille. Rosenman kertoi, että laite ymmärtää kaikki sellaisesta verkosta löytyvät verkkoprotokollat ​​ja pystyy analysoimaan liikennettä näiden protokollien avulla.

(Kuvaluotto: Statista)

OT-verkot ja tietoturva

OT-verkko on verkko, joka tarjoaa tietoliikennettä valvonta- ja tiedonkeruulaitteille (SCADA). Tällaisia ​​laitteita käytetään kaikessa valmistuksessa ja prosessinohjauksessa samoihin yksiköihin, jotka esittävät lentokenttätietojani. Ja niiden käsittelemät tiedot voivat vaihdella suuresti - kaikkea lentojen näyttämisestä ilmoitustaulukoista tietokoneisiin kaupungeissa, jotka ohjaavat liikennevaloja. Se on esineiden Internet (IoT) -laitteiden ensisijainen verkko.

Yksi valitettava tosiasia monissa OT-verkoissa on, että niiden turvallisuus on vähäinen tai ei ollenkaan. Pahempaa on, että he ovat melkein aina yhteydessä organisaation tietotekniikkaverkkoon, johon olet tottunut käsittelemään päivittäin, ja verkkoon, jota entistä enemmän uhkaavat kehittyneet haittaohjelmat ja hakkerit.

"Monet ylläpitäjät eivät ymmärrä, että IT- ja OT-verkot ovat yhteydessä toisiinsa", Rosenman sanoi. Lisäksi IT- ja OT-verkkojen järjestelmänvalvojat eivät useinkaan ole samoja ihmisiä. Tämä voi olla yksi syy siihen, miksi OT-verkot ovat yleensä vähemmän turvallisia. Toinen on, että verkon ylläpitäjien motivaatio on erilainen. Rosenmanin mukaan OT-verkon ylläpitäjien on pidettävä verkkojaan toiminnassa, koska pienelläkin seisokkilla voi olla erittäin kielteinen vaikutus tuotantoon.

"OT-verkkoja ei useinkaan löydetä", Rosenman sanoi. "OT-verkkoja ei yleensä salata, ja järjestelmänvalvojat eivät ehkä edes tiedä, mikä heidän verkkoissaan toimii", hän sanoi. Lisäksi FTP (File Transfer Protocol) -operaatiot tapahtuvat yleensä selkeänä tekstinä, jolloin hyökkääjät voivat saada kaikki tarvitsemansa käyttöoikeustiedot.

OT-verkot ja korjaus

Monimutkaisuuden lisäksi suurin osa OT-verkon liikenteestä tulee itse asiassa organisaation IT-verkosta. Tämä johtuu osittain siitä, että OT-verkkoa ei usein erotella IT-verkosta, ja osittain siksi, että monet SCADA- ja IoT-laitteet käyttävät IT-verkkoprotokollia, mikä tarkoittaa, että ne on nähtävä IT-verkossa.

Osa tietoturvan puutteesta johtuu järjestelmänvalvojien haluttomuudesta riskin seisokkeihin verkon laitteiden korjaamisen yhteydessä. Tätä pahentaa kuitenkin se, että monia tällaisia ​​laitteita ei yksinkertaisesti voida korjata, koska vaikka niiden valmistajat asentavat käyttöjärjestelmän (OS), he laiminlyövät päivitysten käyttöönoton. Lääketieteelliset laitteet ovat huomattava rikoksentekijä tällä alueella.

Rosenman sanoi, että on myös usko, että järjestelmät, joita ei ole kytketty Internetiin, ovat turvassa hakkereilta. Mutta hän huomautti, että tämä ei ole totta, kuten Stuxnet osoitti, kun Yhdysvaltojen ja Israelin yhteinen operaatio hakkeroi ja tuhosi sitten uraanin sentrifugit Iranissa. Hän huomautti myös, että näitä ilmarakoja ei oikeastaan ​​ole, koska työntekijät ovat joko löytäneet tapoja heidän ympärillään tehdä omasta työstään helpompaa tai koska heitä ei ole koskaan ollut ensi sijassa huonon verkon suunnittelun vuoksi.

Rosenman kertoi, että SCADA-laitteiden, IoT- ja OT-verkkojen näkyvyyden puute vaikeuttaa niiden turvaamista, minkä vuoksi Cyberbit rakensi SCADAShield Mobile -laitteet ensisijaisesti tietokonehätätilanteisiin (CERT). ja muut ensiavustajat, erityisesti kriittisen infrastruktuurin aloilla. SCADAShield Mobile on kannettava laite, ja siinä on myös kiinteä versio, joka voidaan asentaa pysyvästi haavoittuviin verkkoihin.

Riskit ja seuraukset

Turvallisuuden puutteella OT-verkoissa on hyvin todellisia seurauksia ja riskit ovat valtavat. Juuri tämäntyyppinen tietoturvan raukeaminen SCADA-järjestelmässä ja segmentoinnin puute mahdollisti Target-rikkomuksen tapahtuvan vuonna 2013, ja siitä lähtien on tapahtunut vain vähän asioiden parantamiseksi.

Samaan aikaan Pietarin Internet Research Agency (IRA): n venäläiset tunkeutuvat rutiininomaisesti Yhdysvaltojen sähköverkon ohjausjärjestelmiin, he ovat murtautuneet valvontajärjestelmiin ainakin yhdessä ydinvoimalassa ja he ovat useissa teollisuuden ohjausjärjestelmien yhdysvaltalaisista valmistajista Nämä samat järjestelmät ovat alttiita ransomware-ohjelmien toimittajille, ja joihinkin tällaisiin järjestelmiin on jo hyökätty.

Luokittelen OT-verkkojen turvallisuuskysymykset "tahallisiksi", koska yleensä näitä verkkoja hallinnoivat IT-ammattilaiset, ja kaikkien pätevien järjestelmänvalvojien tulisi ymmärtää vaara, joka liittyy suojaamattomien ja käyttämättömien laitteiden liittämiseen Internet-päin olevaan IT-verkkoon. Valitsemattomana, tällainen tietoturvan raukeaminen vaikuttaa Yhdysvaltojen kriittiseen infrastruktuuriin, sekä yksityiseen että julkiseen, ja tulokset voivat osoittautua sekä kalliiksi että tuhoisiksi.

• Yhdysvaltain ja Israelin suunnittelema Stuxnet-mato tuhoamaan Iranin ydinohjelmaa Stuxnet-mato on laatinut Yhdysvaltain ja Israelin tukahduttamaan Iranin ydinohjelman
• Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019 Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019
• Paras Ransomware -suoja yritykselle 2019 Paras Ransomware -suoja yritykselle 2019

Jos haluat tehdä osasi näiden ongelmien lievittämiseksi, käytä yksinkertaisesti aikatestattuja IT-suojausprotokollia OT-verkkoosi (ja sen laitteisiin), jos organisaatiollasi on. Tämä tarkoittaa:

• Havaintojen etsiminen.
• Verkon segmentointi rajoittaa sen tietovirta vain tietoihin, joiden on oltava siellä.
• Ota päivityspäivityksiä OT-järjestelmääsi ja sen verkkoon kytkettyihin laitteisiin.
• Jos löydät laitteita, joissa ei ole patch-mekanismia, tunnista ne ja aloita prosessin korvaaminen laitteilla, jotka toimivat.

Kaiken kaikkiaan se ei ole vaikeaa työtä; se on vain aikaa vievää ja todennäköisesti vähän tylsää. Mutta verrattuna helvettiin, joka voi puhkeaa, jos OT-verkostosi kärsii katastrofaalinen vika, ja sitä seuranneeseen helvettiin, jonka ylimmät johtajat myöhemmin huomasivat, että sähkökatkokset olisi voitu estää… No, otan joka päivä vievän aikaa ja työlästä.