Mennyire kell aggódnunk a nemzeti infrastruktúrákat ért számítógépes, vagy fizikai támadás miatt? Chris Price az ifsec Global hasábjain szakértők bevonásával, példákon keresztül elemzi a témát. Nézzük, hogy a járvány, a távmunka és az IoT növekedése hogyan veszélyezteti a technológiákat. Az érdekfeszítő cikk persze az európai tapasztalatokra alig tér ki, mégis általánosítható tanulságai vannak.
Egy ismeretlen támadó lépett be a floridai Oldsmar ivóvíz tisztítását biztosító számítógépes rendszereibe, és megpróbálta a nátrium-hidroxid (lúg) 100-szoros növelésével manipulálni a város vizének pH-ját veszélyesen magas savas szintre. Bár a támadást meghiúsították és a lúgszint normalizálódott, az eset rávilágított arra, hogy a kiberbűnözők mennyire könnyen tudják megcélozni a kritikus nemzeti infrastruktúrát (CNI).
A támadóknak vélhetően az üzem TeamViewer szoftverén keresztül sikerült bejutnia az Oldsmar rendszereibe, amely a felügyelők számára biztosítja, hogy távolról is hozzáférjenek a rendszerhez. Így egy rosszindulatú webhely tetszőleges paraméterekkel elindíthatja a TeamViewert, rögzítve az áldozat jelszavának kivonatát offline jelszó feltöréshez.
A probléma azonban nem csak a TeamViewerre jellemző. 2013-ban az USA Belbiztonsági Minisztérium (DHS) megerősítette, hogy egy „SOBH Cyber Jihad” néven ismert iráni hackercsoport legalább hatszor jutott el New York-i Bowman Avenue Dam gátját ellenőrző számítógépes rendszerekhez, hozzáférve a felhasználóneveket és jelszavakat tartalmazó érzékeny fájlokhoz. Hasonlóképpen, 2015-ben és 2016-ban Ukrajna is számos támadást szenvedett el az elektromos hálózatai ellen, amelyekről úgy vélik, hogy egy Oroszország által támogatott, a Sandworm nevű, fejlett tartós fenyegetési csoport munkája volt, amely 225 000 ukrán lakás áramszünetét tudta produkálni több órán keresztül.
Kiber sebezhetőség
2020 júliusában a CyberNews vizsgálata rávilágított arra, hogy a támadóknak milyen könnyű lenne bejutniuk a kritikus amerikai infrastruktúrába nem biztonságos ipari irányító rendszerek (ICS) révén. Állítása szerint ezt a támadók egyszerűen megtehetik keresőmotorok és olyan eszközök segítségével, amelyek az összes nyitott port átvizsgálására és az irányítás távoli átvételére szolgálnak. A CyberNews szerint az Egyesült Államokban számos ICS-panel kritikusan védtelen és könnyen elérhető a fenyegetés szereplői számára. Úgy érzékelik, hogy a legkiszolgáltatottabb infrastruktúra az energia- és vízszektorhoz tartozik.
De mennyire kell aggódnunk a CNI-t ért lehetséges támadások miatt? Joseph Carson, a Thycotic biztonsági főtanácsadója szerint, „az ilyen támadások rendkívül ritkák a szokásos számítógépes bűnözői tevékenység főáramaihoz képest”. Úgy véli, a legtöbb kiberbűnöző számára a kockázat egyszerűen túl nagy a túl kevés potenciális nyereséggel szemben. „Egyrészt a CNI-eszközök támadása általában sokkal speciálisabb tudást és eszközöket igényel, mint egy szokásos kereskedelmi vállalkozás esetén. Ennél is fontosabb azonban, hogy a legtöbb kiberszereplőt az egyszerű nyereség motiválja, és a CNI megzavarása kevés közvetlen pénzügyi haszonnal jár.”
Vannak azonban arra utaló jelek, hogy ez kezd változni. „Sajnos a CNI-támadások számának növekedését látom nemcsak az Egyesült Államokban, hanem az Egyesült Királyságban és Európa többi részén is” – mondja Scott Nicholson, a kiberbiztonsági és adatvédelmi szakember (Egyesült Királyság Nemzeti Kiberbiztonsági tanácsadóKözpont) (NCSC).
Milyen mértékű a tényleges fenyegetettség
Hatalmas különbség van ugyanakkor a kibertámadás vélt fenyegetése és a tényleges CNI fenyegetés között a Bridewell Consulting véleménye szerint. Míg a szervezetek 78% -a „magabiztos” abban, hogy operációs technológiájuk (OT) védve van a kiberfenyegetések ellen ugyanakkor a tapasztalt helyzet más. A Bridewell 250 brit informatikai és biztonsági döntéshozót kérdezett öt kulcsfontosságú CNI-ágazatban (repülés, vegyi és energia ipar, közlekedés és vízellátás) a szervezetek 86% -a észlelt kibertámadásokat OT / ICS környezetük ellen az elmúlt 12 hónapban. A legsikeresebb támadásokat a vízellátás és a közlekedési rendszerek területén valósultak meg. Hasonlóképpen, az IBM arról számolt be, hogy az OT-t célzó kiberbiztonsági incidensek 2000% -kal nőttek 2019-ben, többségük Echobot IoT kártevőket tartalmaztak.
A kritikus infrastruktúra kezelése számos kihívással jár a rendszerek folyamatos működési szükséglete okán. Az OT-eszközök sebezhetőségi vizsgálata és a korrekciók évente egyszer legfeljebb kétszer történik, így a back door lehetőségek nagyobb mértékben adottak. Scott Nicholson, a Bridewell munkatársa egyetért „Az ipari ellenőrzések keretében az ütemezettség és a szolgáltatás elérhetősége kulcsfontosságú, míg a szoftverek frissítését kockázatosnak tartják.
További problémát jelent az internetkapcsolat iránti igény, amelyet részben felgyorsított a járvány. Míg a CNI-ágazatokban hagyományosan sok szervezet irányította az ipari vezérlőrendszereket (ICS) és a kritikus alkalmazásokat saját zárt magánhálózaton, ez kezd változni. A tárgyak internete (IoT) térnyerése előtérbe helyezte a kapcsolódás előnyeit, és egyre nagyobb szükség van a kritikus működési technológia, az informatikai hálózatok és az internet közötti konvergencia elősegítésére a távkezeléshez. Ez azonban elkerülhetetlenül megnöveli a potenciális támadási felületet, valamint szélesebb körű fenyegetéseket hoz.
„Számos kritikus infrastruktúra-létesítmény esetében a járvány hirtelen váltást kényszerített az otthon dolgozó munkavállalókra, ami azt jelenti, hogy a biztonsági csapatoknak távolról hozzáférhetővé kellett tenniük a gyártásirányító hálózatokat a rendszerek működése érdekében” – magyarázza Andrea Carcano, a Nozomi Networks társalapítója . „Sajnos azonban a támadók így könnyebben tudnak behatolni a hálózatba.”
Nem elég a kitűnő fizikai biztonság
Thycotic Joseph Carson szerint a kritikus nemzeti infrastruktúrát, például az erőműveket körülvevő fizikai biztonság általában nagyon megbízható és kitűnően kiépített. Sajnos ugyanez nem mondható el a kiberbiztonságukról. „Van kapu, fegyveres őrök, érzékelők és a kerületek érzékelő rendszerei, de ha megnézzük a dolgok kiberbiztonsági oldalát, ez valóban eléggé aggályos” – mondja. „Nemcsak a távoli asztali megoldások használata fenyeget, de láttam már telepített audio streaming szoftvert is, ami azt jelenti, hogy az operátorok képesek saját szoftvert telepíteni zenehallgatásra, miközben figyelik a kritikus infrastruktúrát.”
A Nozomi Networks Andrea Carcano következtetése: „Az elmúlt években nőtt a kritikus infrastruktúrát fenyegető veszélyek száma és nem számítunk arra, hogy ez a tendencia hamarosan véget ér. Egyebek mellett az egészségügyi szervezetek és a COVID elleni küzdelemben érintett infrastruktúrák és technológiák elleni támadások is figyelmeztetnek arra, hogy számos olyan rendszer, amely megbízható működésére rá vagyunk utalva jelentős célpont, amely sebezhető és állandó támadási kockázatnak van kitéve. „
5 lépés a kritikus nemzeti infrastruktúra támadás elleni védelméhez
- Biztonságos távoli hozzáférés – A támadóknak ez a legegyszerűbb út a hálózatba való behatoláshoz. A menedzsereknek védett távoli hozzáférést kell biztosítaniuk végpontvédelem, jó jelszó-higiénia és hálózati tűzfalak használatával.
- Készlet létrehozása az eszközökről – Ha nem látjuk az összes eszközt a hálózaton, akkor lehetetlen eredményesen megvédeni vagy szegmentálni a hálózatot. Az összes hálózati eszköz valós idejű követhetőségének (nyilvántartásának) biztosításával a biztonsági csapatok pontos láthatóságot biztosíthatnak az eszközeik, kapcsolataik, kommunikációjuk és protokolljaik vonatkozásában.
- A sérülékenységek azonosítása és javítása – Az ipari hálózatok számos szállító OT és IoT eszközét tartalmazzák. Sajnos a legtöbbet nem a kritikus infrastruktúra környezetéhez szükséges biztonsági szintre tervezték. A rendszer sebezhetőségét azonosító eszközök a Nemzeti Sebezhetőségi Adatbázis (NVD) segítségével segíthetnek meghatározni a veszélyeztetett eszközöket, előtérbe állítani és ajánlani a firmware frissítéseket.
- Anomáliák figyelése – Az automatizált hálózati anomália-felderítő megoldások a mesterséges intelligenciát használják fel annak érdekében, hogy az anomáliák detektálását az ipari folyamat vezérléséhez használt tényleges paraméterek alapján végezzék.
- Integrálni az OT és az informatikai hálózatokat – az OT által érhetőek el a termelési célok és az üzemek biztonságosan működtetése, miközben az informatika képes megoldani a hálózati és a kiberbiztonsági kérdéseket. A kettő integrált működése nagyobb hatékonyságot eredményez, csökkentve a vakfoltokat és a biztonsági kockázatokat a szorosan kapcsolódó ipari vezérlőrendszerek körül.
Forrás: IfsecGlobalA téma itthon is igencsak aktuális: itt hívjuk fel figyelmüket a kritikus infrastruktúrák védelmét érintő hazai szabályozás aktualitásáról szóló cikkünkre amelyiket lapunk idei első számában olvashattak. Az anyag egyébként hozzáférhető honlapunkon is. A szerk.
