Бережіть критичні іотові мережі

Погляд на мій екран був, відверто кажучи, жахливим. Я міг чітко бачити пристрої в мережі технологічних операцій (OT) головного аеропорту, і я міг бачити дані, про які вони повідомляли. На одному екрані були елементи управління для мостового мосту, на іншому вогні злітно-посадкової смуги, а на іншому - пасажирський маніфест щодо майбутнього рейсу, доповнений усіма деталями пасажирів. Будь-хто, хто має доступ до цієї мережі, міг би використати ці дані для вилучення особистої інформації, вони могли знайти зв’язки, необхідні для атаки на роботу аеропорту, і вони могли бачити фактичне обладнання, яке контролювало пристрої в усьому об'єкті. Іншими словами, вони могли з мінімальними зусиллями закрити аеропорт.

Містер Шарон Розенман, віце-президент з маркетингу для кібербітів, показав мені можливості пристрою своєї компанії SCADAShield Mobile і використовував справжній аеропорт для цього (і ні, я не збираюся розповідати вам, в якому аеропорту це було). Його компанія була наймана, щоб допомогти операторам аеропорту знайти та виправити свої вразливі місця.

Пристрій SCADAShield Mobile - це портативний портативний аналізатор розміром з валізою, який призначений для розгляду всієї мережі OT на предмет ознак нападу, а також для виявлення вразливості, яка може бути не очевидною для мережевих адміністраторів. Розенман зазначив, що пристрій розуміє всі мережеві протоколи, які знайдуться в такій мережі, і він здатний проаналізувати трафік за допомогою цих протоколів.

(Кредитна графіка: Statista)

OT Мережі та безпека

Мережа OT - це мережа, яка забезпечує зв’язок для пристроїв нагляду та збору даних (SCADA). Такі пристрої використовуються у всьому, від виробництва та управління процесами до тих же підрозділів, де відображаються мої дані аеропорту. І дані, які вони обробляють, можуть сильно відрізнятися - від показу польотів на дошках оголошень до комп'ютерів у містах, які керують світлофорами. Це основна мережа для пристроїв Internet of Things (IoT).

Один невдалий факт, що стосується багатьох мереж OT, - це те, що вони мають низький рівень безпеки або його відсутність. Гірше те, що вони майже завжди взаємопов’язані з ІТ-мережею організації, з якою ви звикли працювати щодня - і з тим, що все більше ризикує складні зловмисні програми та хакери.

"Багато адміністраторів не усвідомлюють, що IT та OT мережі пов'язані", - сказав Розенман. Крім того, адміністратори ІТ та мереж OT часто не є одними і тими ж людьми. Це може бути однією з причин, чому мережі OT, як правило, менш безпечні. Інша полягає в тому, що мотивація адміністраторів мережі є різною. За словами Розенмана, адміністратори OT мають підтримувати свою роботу, оскільки навіть невеликий час простою може мати дуже негативний вплив на виробництво.

"Мережі ОТ часто не латують", - сказав Розенман. "OT-мережі зазвичай не шифруються, і адміністратори можуть навіть не знати, що працює в їх мережах", - сказав він. Крім того, операції протоколу передачі файлів (FTP) зазвичай проходять у простому тексті, дозволяючи зловмисникам отримати усі необхідні облікові дані.

OT Мережі та виправлення

Додавши складності, більша частина трафіку в мережі OT фактично надходить з ІТ-мережі організації. Частково це пояснюється тим, що мережа OT часто не сегментована від ІТ-мережі, а частково тому, що протоколи ІТ-мереж використовуються багатьма пристроями SCADA та IoT, а значить, їх потрібно бачити в ІТ-мережі.

Частина причини відсутності безпеки - небажання адміністраторів ризикувати простоями, коли вони виправляють свої мережеві пристрої. Але це ускладнюється тим, що багато таких пристроїв просто неможливо виправити, оскільки, хоча їхні виробники встановили операційну систему (ОС), вони нехтували реалізацією будь-яких засобів застосування оновлень. Медичне обладнання є помітним правопорушником у цій галузі.

Розенман зазначив, що також існує думка, що системи, які не підключені до Інтернету, захищені від хакерів. Але він зазначив, що це неправда, як це було показано під час Stuxnet, коли спільна операція США / Ізраїль успішно зламала і знищила уранові центрифуги в Ірані. Він також зазначив, що такі прогалини в повітрі насправді не існують, тому що працівники або знайшли способи полегшити власну роботу, або тому, що вони ніколи не існували в першу чергу через поганий дизайн мережі.

Розенман зазначив, що відсутність видимості в пристроях SCADA, IoT та OT ускладнює їх безпеку, тому Cyberbit побудував мобільні пристрої SCADAShield, в першу чергу для комп'ютерних команд реагування на надзвичайні ситуації (CERT) та інших перших реагуючих, особливо в районах критичної інфраструктури. SCADAShield Mobile - це портативний пристрій, а також є фіксована версія, яку можна постійно встановити у вразливих мережах.

Ризики та наслідки

Відсутність безпеки в мережах OT має дуже реальні наслідки і ризики величезні. Саме такий проміжок безпеки в системі SCADA та відсутність сегментації дозволили відбутися порушення цілі у 2013 році, і з того часу мало що покращилось.

Тим часом, росіяни в Інтернет-агентстві дослідницьких досліджень (ІРА) в Санкт-Петербурзі регулярно нападають на системи управління в електромережі США, вони вторглися в системи управління щонайменше на одній атомній станції, і вони є в ряді промислових систем управління у виробників США. Ці самі системи є вразливими для постачальників викупних програм, а деякі такі системи вже були атаковані.

Я класифікую проблеми безпеки для мереж OT як «навмисні», оскільки загалом ці мережі керуються ІТ-фахівцями, і будь-який кваліфікований адміністратор повинен усвідомити небезпеку підключення незахищених та незапампованих пристроїв до Інтернет-ІТ-мережі. Якщо це не перевірено, такі види пропусків безпеки вплинуть на критичну інфраструктуру США, як приватну, так і державну, і результати можуть виявитись як дорогими, так і руйнівними.

• Черв'як Stuxnet, розроблений США, Ізраїль, щоб запобігти ядерній програмі Ірану Stuxnet Worm, розроблений США, Ізраїль, щоб запобігти ядерній програмі Ірану
• Найкраще програмне забезпечення захисту та захисту кінцевих точок на 2019 рік. Найкраще програмне забезпечення захисту та безпеки кінцевої точки на 2019 рік
• Найкращий захист від компенсації для бізнесу на 2019 рік. Найкращий захист від компенсації для бізнесу на 2019 рік

Якщо ви хочете зробити свою роль для полегшення цих проблем, просто застосуйте перевірені часом протоколи безпеки ІТ до вашої мережі ОТ (і її пристроїв), якщо така організація має. Це означає:

• Сканування на вразливості.
• Сегментування мережі для обмеження її потоку даних лише тими даними, які там повинні бути.
• Застосовуйте оновлення виправлень до вашої системи ОТ та її мережевих пристроїв.
• Якщо ви знайдете пристрої, які не мають механізму виправлення, то ідентифікуйте їх і починайте процес заміни пристроїв.

В цілому, це не складна робота; це просто забирає багато часу і, ймовірно, трохи нудно. Але порівняно з пеклам, яке може вибухнути, якщо ваша мережа ОТ зазнає катастрофічного збою, а згодом пекельне керівництво пізніше дізнається, що відключення можна було запобігти … ну, я забираю багато часу і виснажливий.