CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT Securitatea sistemelor IT critice: ce facem când nu avem PATCH-uri?

Reţelele sistemelor industriale de control (ICS) şi reţelele IT clasice devin din ce în ce mai întreţesute, interconectate, sau, hai să spunem, "convergente". Staţiile de lucru şi serverele din reţelele ICS care utilizează sisteme standard de operare IT, cum ar fi Windows, devin din ce în ce mai frecvente. Din păcate, deşi operatorii ICS sunt conştienţi, totuşi apelează în continuare la tehnologii comune, larg utilizate şi accesibile astfel că aceste opţiuni fac ca reţelele ICS să fie mai vulnerabile decât oricând la hacking, în special atacurile malware şi ransomware.

De exemplu, atacurile NotPetya şi WannaCry ransomware dar şi cele de după ele au dovedit că atacurile cibernetice cu siguranţă nu doar că nu vor înceta şi vor căpăta noi şi noi forme atât tehnice cât şi de monetizare, dar şi că pur şi simplu aplicarea de patch-uri (pachete de corecţie) poate împiedica infectarea sau răspândirea şi că această simplă măsură poate fi extrem de eficientă. Aceste două atacuri s-au bazat pe exploatarea vulnerabilităţii Eternal Blue (un defect de securitate în cadrul mai multor versiuni ale sistemului de operare Windows), pentru a infiltra şi bloca sistemele vitale, cerând o răs-cumpărare pentru a le debloca. Cu toate acestea, patch-ul util pentru prevenirea atacurilor a fost deja disponibil cu câteva luni înainte de a avea loc. Se pune întrebarea de ce multe organizaţii importante nu au avut aplicate patch-uri, lăsând sistemele vulnerabile?

• Downtime = Costuri

Prima problemă este aceea că reţelele industriale mari, infrastructura şi reţelele comerciale sunt, de obicei, gândite să funcţioneze la aproape maximum de capacitate şi implică de multe ori producerea unui produs, fie că este vorba de electricitate, o maşină, un aliment sau o jucărie. Deci, când sis-temele scad capacitatea sau producţia se opreşte, există un impact financiar asupra operatorilor / proprietarilor.

Nimic surprinzător, e destul de clar că operatorii comerciali nu doresc întreruperea sistemelor foarte des pentru a instala patch-uri. Această fereas-tră de timp este planificată cu mult timp înainte şi adesea pot trece luni de zile sau chiar un an până la următoarea fereastră de patch-uri. Deci, în cazul amintit doar ca exemplu, este posibil ca în timp ce patch-ul Microsoft era dis-ponibil în martie, unele companii să nu fi ajuns în perioada de patchuri planificată atunci când primul atac a avut loc în luna mai.

• A risca sau nu

În alte cazuri, companiile, deşi derulează o analiză risc / beneficiu, aleg să nu aplice patch-uri, ignorând faptul că multe atacuri moderne pot distruge complet întreaga reţea ICS şi că nu este vorba dacă reţeaua va fi atacată / compromisă, ci când se va întâmpla asta. Motivul cel mai frecvent este pur şi simplu asumarea că sistemele funcţionează ca atare şi nimeni nu îşi asumă gestionarea schimbării, perioadele de nefuncţionare. Deşi ilogic, există multe companii care îşi asumă sau mai degrabă speră că în cazul apariţiei infectării costurile vor fi mai mici decât costurile generate de întreruperi ale producţiei, în ideea că poate infectarea nu se va produce niciodată sau extrem de rar. Inutil de spus că această practică nu este recomandată.

• Uneori chiar nu se poate

Există şi cazuri în care într-adevăr mitigarea riscului prin aplicarea de patch-uri de actualizare nu se poate face: există adesea sisteme, dispozitive şi aplicaţii critice care nu au patch-uri, deoarece sunt depăşite, end-of-life, nu mai au suport, nu există patch pentru ele, sau nu există condiţii tehnice pentru a se aplica, de exemplu nu există memorie liberă pentru a instala un patch. Şi într-adevăr, actualizare la zi nu înseamnă neapărat că toate vulnerabilităţile software au fost patch-uite. Este posibil să existe o vulnerabilitate necunoscută nimănui în afara câtorva hackeri de elită - aşa-numita exploatare "zero day", aşa cum era EternalBlue înainte de a fi dezvăluită publicului. În aceste cazuri, de cele mai multe ori nici compania care face software-ul nu ştie despre problemă, deci teoretic nu există patch.

Există, de asemenea, cazuri în care terţii care deţin sau gestionează echipamente în cadrul reţelelor operaţionale neglijează actualizarea acestor sis-teme în timp util. Aceste terţe părţi ar putea avea, de asemenea, conexiuni în reţeaua ICS. În astfel de cazuri, operatorii ICS nu pot controla dacă sistemele sunt actualizate, tocmai pentru că ele funcţionează în conformitate cu SLA (acorduri privind nivelul serviciilor) şi posibil să şi partajeze date cu terţa parte.

• Ce facem când nu se poate?

Având în vedere diversitatea motivelor pentru care patch-urile nu sunt posibile, există totuşi în aceste cazuri opţiuni disponibile pentru a proteja operaţiunile şi dispozitivele din sistemele ICS:

• Audit intern

Primul pas important este realizarea unui inventar intern sau a unui audit al sistemelor conectate, identificarea potenţialilor vectori de ameninţare şi definirea nivelului de risc. Multe companii nu au hărţi exacte ale fluxurilor de date sau ale arhitecturilor de sis-tem, care sunt extrem de utile pentru securitatea informatică eficientă. Dacă nu ştim unde suntem vulnerabili, nu există nicio modalitate de a atenua posibilitatea atacului cibernetic.

Un audit poate fi efectuat manual sau cu ajutorul unui instrument automat de descoperire a dispozitivelor de reţea, deşi multe organizaţii evită utilizarea instrumentelor automate, deoarece ar putea perturba operaţiile prin adăugarea unei încărcări suplimentare în reţea, chiar mici uneori.

De obicei, nu trebuie căutat prea departe pentru a găsi sisteme şi dispozitive conectate care au vulnerabilităţi cunoscute sau potenţiale, dar găsirea tuturor acestora poate fi o provocare. Cu toate acestea, impactul asupra întregii reţele a unui dispozitiv sau un sistem care poate fi infectat poate fi totuşi limitat.

• Eliminarea conexiunilor care nu sunt necesare

Uneori dispozitivele sunt conectate la reţele externe fără nici un motiv cu adevărat necesar. Fie că este vorba de o arhitectură defectuoasă a reţelei, de lipsa unor proceduri de securitate clar definite, de solicitări urgente de acces la date sau de a face acest lucru deoarece se poate face, sistemele şi echipamentele conectate inutil sunt cauza principală a infecţiilor şi a proliferării malware. Aceasta include, de asemenea, conexiuni cu terţe părţi care nu (mai) au nevoie de acces la reţeaua ICS.

Fiecare conexiune la o reţea externă, indiferent cât de bine este monitorizată, reprezintă o posibilă cale pentru un atac în reţeaua ICS. Mulţi operatori ICS sunt neavizaţi în ceea ce priveşte securitatea informatică, iar unii nu au nici măcar un singur rol dedicat, ba chiar au diverse persoane care au creat diverse conexiuni iar aceste persoane poate nici nu mai sunt în companie. Astfel că pentru fiecare conexiune care este eliminată, se elimină şi nevoia de protecţie, atenţie şi vigilenţă din partea unui grup cât mai restrâns.

• Segmentarea

Crearea unui mediu protejabil înseamnă, de asemenea, segmentarea reţelei ICS de sisteme de control indus-trial în sine şi crearea unor niveluri de securitate în cadrul acesteia.

Prin crearea mai multor segmente de reţea, fiecăruia i se poate atribui un nivel propriu de securitate şi încredere, iar fluxul de date între fiecare segment poate fi limitat şi monitorizat. Segmentarea poate, de asemenea, să ajute la atenuarea traversării laterale în caz de penetrare, în cazul în care hackerii sau malwareul vor să sară de la un dispozitiv / sistem / staţie de lucru la altul.

• Implementarea securităţii bazată pe hardware:

sens unic

Destul de des, propunerea de a deconecta conexiunile la reţeaua ICS, indiferent de cât de simplă sau complexă, poate duce la presiuni din partea utilizatorilor finali cu diferite roluri IT sau de business sau terţe părţi care doresc acces la date ICS. În aceste cazuri, se recomandă ca operatorii să schimbe cât mai multe dintre aceste conexiuni într-o singură direcţie, utilizând o diodă de date sau un dispozitiv cyber similar bazat pe hardware.

O diodă de date este un dispozitiv bazat pe hardware care impune fizic un flux unic de date. Se impune o singură cale pentru fluxul de date, permiţându-i să curgă de la un compartiment la altul, dar nu înapoi.

Ca sisteme de transfer de date într-o singură direcţie, diodele de date sunt folosite ca instrumente de securitate cibernetică pentru segmentarea şi protejarea reţelelor împotriva ameninţărilor cibernetice externe şi pentru prevenirea penetrării din orice sursă externă. Acestea permit transmiterea datelor către utilizatorii care au nevoie de aceasta, fără a permite accesul înapoi, ceea ce poate fi extrem de util pentru reţelele nepatch-uite sau neînchise în alt mod. Diodele de date susţin în mod eficient o arhitectură «air-gapped» din exterior, permiţând în acelaşi timp continuarea fluxurilor de date din reţeaua ICS.

Firewall-urile şi instrumentele cyber bazate pe software sunt, de obicei, prima linie de apărare, şi primele la care ne gîndim atunci când se are în vedere construirea unui zid de securitate în jurul reţelelor sensibile. Din păcate, pe lângă faptul că au propriile probleme cu atacuri de tip zero day, firewall-urile presupun ele însele ges-tionarea continuă a schimbării, configurarea, şi manangementul actualizărilor.

Dimpotrivă, diodele de date adesea nu necesită nicio gestionare a schimbărilor, deoarece acestea nu necesită reconfigurare, upgrade sau înlocuire a sistemelor sau setărilor în sistemele industriale de control - inclusiv în sistemele vechi. Ca dispozitive bazate pe hardware, nu sunt vulnerabile la atacurile software şi, prin urmare, nu necesită patch-uri periodice, deşi patch-uri pentru îmbunătăţirea funcţionalităţii pot fi disponibile din când în când. Diodele de date ajută de asemenea la segmentarea reţelei şi la crearea de straturi de apărare între reţelele de încredere şi cele de neîncredere.

• Eliminarea sau autorizarea dispozitivelor portabile

Având în vedere că abordarea prudentă ar trebui să fie aceea de a menţine o decuplare a arhitecturii ICS, totuşi multe date sunt în conexiune cu medii portabile iar în acest caz vectorul cel mai probabil de atac vor fi mediile portabile - dispozitive USB, laptopuri, etc. Prin urmare, este vital ca toate mediile portabile să facă obiectul unei examinări aprofundate, inclusiv antivirus, sume de control pentru hash şi autentificare. În mod obişnuit, această examinare este efectuată cu un layer de securitate (chioşc de control), unde suportul portabil este mai întâi conectat şi scanat înainte ca acesta să poată fi conectat oriunde în reţeaua ICS. Aceste chioşcuri de securitate pot fi utilizate şi împreună cu diodele de date, firewall-urile şi instrumentele de autentificare pentru a oferi securitate suplimentară. În mod ideal, nu ar trebui să li se permită intrarea în reţeaua ICS a laptopurilor sau a altor medii sofisticate care au fost conectate la internet, dar, dacă este necesar, trebuie să facă obiectul aceluiaşi control aprofundat.

• Investiţia în pregătire

Într-un mediu în care există vulnerabilităţi cunoscute. Nu mai vorbim de faptul că eroarea umană reprezintă mai mult de jumătate din toate incidentele cibernetice. Fără o instruire consistentă în procedurile de securitate cibernetică a personalului, toate eforturile tehnice de securitate pot fi compromise intenţionat.

• Concluzie

Aplicarea patch-urilor poate fi simplă în teorie dar devine o problemă în reţelele de control industrial. Oricare ar fi motivul pentru care organizaţia nu are patchuri, sau nu le poate aplica, există şi alte posibilităţi de a implementa o securitate adecvată şi de a preveni un atac cibernetic.

Prin utilizarea diverselor tehnici şi tehnologii, cum ar fi diodele de date, operatorii ar putea chiar să evite ges-tionarea schimbărilor, eliminând necesitatea perioadelor de nefuncţionare care pot fi costisitoare şi pot păstra o legătură între reţeaua ICS şi reţeaua IT, reducând sau eliminând riscul asociat cu acesta.

Urmând sugestiile de mai sus, în combinaţie cu cele mai bune practici ale organismelor de reglementare din industrie, precum şi implementarea unui program cuprinzător de instruire, se poate construi o bază puternică pentru a preveni atacurile cibernetice împotriva sistemelor vechi, neactualizate.