Рекламная функция Подключение к Интернету изменило все, в том числе промышленную среду старой школы. По мере того, как компании модернизируют свои операции, они подключают все больше своего оборудования к Интернету. Это ситуация, которая создает явные и актуальные проблемы безопасности, и отрасли нужны новые подходы к их устранению.
Внедрение промышленного Интернета вещей (IIoT) ускоряется. Исследование Inmarsat показало, что 77% опрошенных организаций полностью развернули хотя бы один проект IIoT, причем 41% из них сделали это в период со второго квартала 2020 по 2021 год.
В том же исследовании также говорится, что безопасность является главной проблемой для компаний, приступающих к развертыванию IIoT: 54% респондентов жаловались, что это мешает им эффективно использовать свои данные. Половина также назвала проблемой риск внешних кибератак.
Решения IIoT имеют решающее значение для конвергенции ИТ и ОТ (операционных технологий). Платформы OT, часто системы промышленного управления (ICS), помогают компаниям управлять своими физическими устройствами, такими как прессы и ленточные конвейеры, которые приводят в действие производственное производство, или клапанами и насосами, обеспечивающими подачу воды в городское хозяйство.
При этом они генерируют огромные объемы данных, полезных для аналитических целей. Но передача этой информации в соответствующие корпоративные инструменты означает преодоление разрыва между ИТ и ОТ.
Операторы также хотят, чтобы эти системы OT были доступны удаленно. Предоставление обычным ИТ-приложениям возможности управлять этими устройствами означает, что они могут быть связаны с теми же внутренними процессами, которые определены в ИТ-системах. А предоставление удаленного доступа для техников, которые не могут или не хотят совершать многокилометровые поездки туда и обратно только для внесения оперативных изменений, также может сэкономить время и деньги.
Эта потребность в удаленном доступе обострилась во время кризиса COVID-19, когда социальное дистанцирование и ограничения на поездки не позволили техническим специалистам вообще посещать объекты. Inmarsat обнаружила, что пандемия была основной причиной ускоренного внедрения IIoT, например: 84% сообщили, что они ускорили или ускорят свои проекты в качестве прямого ответа на пандемию.
Так что для многих конвергенция ИТ и ОТ не просто удобна; это важно. Но это также создало идеальный шторм для групп безопасности. Система ICS, доступная извне, увеличивает поверхность атаки для хакеров.
Атаки ICS в действии
Иногда эта конвергенция ИТ/ОТ может быть такой же простой, как установка программного обеспечения для удаленного доступа на ПК на объекте. Это установка, которая позволила хакерам получить доступ к системам управления с помощью установки инструмента удаленного доступа на муниципальной станции водоснабжения в Олдсмаре, штат Флорида, в 2021 году, прежде чем попытаться отравить местных жителей гидроксидом натрия. ПК, скомпрометированный злоумышленником, имел доступ к оборудованию OT на заводе. Шериф города сообщил, что невидимый злоумышленник водил курсором мыши перед одним из его рабочих.
Неясно, что заставило хакеров попытаться отравить невинных жителей Флориды, но у некоторых атак есть финансовые мотивы. Одним из примеров является атака программы-вымогателя EKANS, которая поразила компанию Honda в июне 2020 года и привела к остановке производственных операций в Великобритании, США и Турции.
Злоумышленники использовали программу-вымогатель EKANS для атаки на внутренние серверы компании, что привело к серьезным нарушениям работы ее заводов. При анализе атаки компания по кибербезопасности Darktrace объяснила, что EKANS — это новый тип программы-вымогателя. Программы-вымогатели, нацеленные на сети OT, обычно сначала поражают ИТ-оборудование, а затем разворачиваются. EKANS встречается относительно редко, поскольку он нацелен непосредственно на инфраструктуру ICS. Он может атаковать до 64 конкретных систем ICS в своей цепочке уничтожения.
Другие атаки на АСУ эксперты считают спонсируемыми государством. Вредоносное ПО Triton, впервые направленное на нефтехимические заводы в 2017 году, по-прежнему представляет угрозу, по мнению ФБР, которое приписывает атаки поддерживаемым государством российским группам. По мнению Бюро, эта вредоносная программа особенно опасна, поскольку допускает физический ущерб, воздействие на окружающую среду и гибель людей.
Стандартные решения безопасности здесь не сработают
Традиционные подходы к кибербезопасности неэффективны при устранении этих уязвимостей OT. Компании могут использовать средства защиты конечных точек, включая средства защиты от вредоносных программ, для защиты своих ПК. Но что, если конечной точкой будет программируемый логический контроллер, видеокамера с поддержкой ИИ или лампочка? Эти устройства часто не имеют возможности запуска программных агентов, которые могут проверять их внутренние процессы. Некоторые из них могут не иметь процессоров или средств хранения данных.
Даже если бы устройство IIoT имело пропускную способность и мощность обработки для поддержки встроенного агента безопасности, маловероятно, что используемые им пользовательские операционные системы будут поддерживать общие решения. В средах IIoT часто используется несколько типов устройств от разных поставщиков, что создает разнообразный портфель нестандартных систем.
Тогда есть вопрос масштаба и распределения. Администраторы и специалисты по безопасности, привыкшие иметь дело с тысячами стандартных ПК в сети, обнаружат, что среда IIoT, в которой число датчиков может исчисляться сотнями тысяч, сильно отличается. Они также могут распространяться на обширную территорию, особенно по мере того, как среды граничных вычислений набирают обороты. Они могут ограничить свои подключения к сети в некоторых более удаленных средах для экономии энергии.
Оценка традиционных платформ защиты АСУ ТП
Если традиционные конфигурации ИТ-безопасности не могут справиться с этими проблемами, то, возможно, альтернативы, ориентированные на ОТ, могут? Стандартной моделью является модель кибербезопасности Purdue. Созданный в Университете Пердью и принятый Международным обществом автоматизации как часть стандарта ISA 99, он определяет несколько уровней, описывающих среду ИТ и АСУ ТП.
Нулевой уровень имеет дело с физическими машинами — токарными станками, промышленными прессами, клапанами и насосами, которые выполняют работу. Следующий уровень включает в себя интеллектуальные устройства, управляющие этими машинами. Это датчики, которые передают информацию от физических машин и приводов, управляющих ими. Затем мы находим системы диспетчерского управления и сбора данных (SCADA), которые контролируют эти машины, такие как программируемые логические контроллеры.
Эти устройства подключаются к системам управления производственными операциями следующего уровня, которые выполняют промышленные рабочие процессы. Эти машины обеспечивают оптимальную работу завода и записывают данные о его работе.
На верхних уровнях модели Purdue находятся корпоративные системы, непосредственно связанные с ИТ. Первый уровень здесь содержит специфические для производства приложения, такие как планирование ресурсов предприятия, которое занимается производственной логистикой. Затем на самом верхнем уровне находится ИТ-сеть, которая собирает данные из систем АСУ ТП для управления бизнес-отчетностью и принятия решений.
В прежние времена, когда ничто не общалось ни с чем за пределами сети, с помощью этого подхода было проще управлять средами ICS, поскольку администраторы могли сегментировать сеть по ее границам.
Уровень демилитаризованной зоны (DMZ) был намеренно добавлен для поддержки этого типа сегментации, располагаясь между двумя корпоративными уровнями и уровнями ICS, расположенными дальше по стеку. Он действует как воздушный зазор между предприятием и доменами ICS, используя оборудование безопасности, такое как брандмауэры, для контроля трафика, проходящего между ними.
Не каждая среда IT/OT будет иметь этот уровень, учитывая, что ISA представила его совсем недавно. Даже те, кто сталкивается с проблемами.
Сегодняшние операционные среды отличаются от тех, что были в 1990-х годах, когда впервые появилась модель Purdue, а облака в том виде, в каком мы его знаем, еще не существовало. Инженеры хотят входить непосредственно в локальные операции управления или системы SCADA. Поставщики могут захотеть контролировать свои интеллектуальные устройства на сайтах клиентов непосредственно из Интернета. Некоторые компании стремятся перенести весь свой уровень SCADA в облако, как это решил Северн Трент Уотер в 2020 году.
Эволюция ICS как услуги (ICSaaS), управляемой третьими сторонами, еще больше запутала ситуацию для групп безопасности, пытающихся справиться с конвергенцией ИТ и ОТ. Все эти факторы могут открыть многочисленные дыры в среде и обойти все предыдущие усилия по сегментации.
Прорезать весь запутанный беспорядок
Вместо этого некоторые компании внедряют новые подходы, выходящие за рамки сегментации. Вместо того, чтобы полагаться на быстро исчезающие границы сети, они анализируют трафик на уровне устройств в режиме реального времени. Это недалеко от первоначальных предложений по де-периметризации, выдвинутых Open Group’s Jericho Forum в начале 2000-х годов, но тогда анализировать трафик в столь многих различных точках сети было сложно. Сегодня защитники могут лучше следить за происходящим благодаря появлению искусственного интеллекта.
Darktrace применяет некоторые из этих концепций в своей промышленной иммунной системе. Вместо поиска известных вредоносных сигнатур на границах сегментов сети он начинает с изучения того, что является нормальным повсюду в среде ИТ и ОТ, включая любые части этой среды, размещенные в облаке.
Устанавливая развивающийся базовый уровень нормальности, сервис затем анализирует весь трафик на предмет активности, выходящей за его пределы. Он может предупреждать администраторов и аналитиков по безопасности об этих проблемах, как это было сделано для одного европейского клиента-производителя.
Сервис также является автономным. Когда клиент достаточно доверяет своим решениям, чтобы щелкнуть выключателем, иммунная система может перейти от простого оповещения к соразмерным действиям. Это может означать блокировку определенных форм трафика, обеспечение нормального поведения устройства или, в тяжелых случаях, помещение в карантин всей системы, включая оборудование на уровнях OT/ICS.
Руководители Darktrace надеются, что этот переход к более детализированной модели постоянного повсеместного анализа трафика в сочетании с оценкой в реальном времени известного нормального поведения поможет предотвратить растущую волну кибератак на АСУ. Надеемся, что это также позволит компаниям стать более гибкими, поддерживая удаленный доступ и облачные инициативы ICS. В будущем вам не придется рисковать тем, что кто-то выключит свет в вашем стремлении сохранить свет включенным.
При поддержке Дарктрейс
