Kako zaštititi ICS/OT infrastrukturu?

Objavljeno: 11/08/2022   By:exclusive-networks

Sve češće svedočimo napadima na kritičnu infrastrukturu organizacija odnosno ICS/OT (eng. industrial control system and operational technology). Cyber napad na američki Colonial Pipeline iz Maja 2021. pokazuje koliko takva vrsta napada može biti razorna za organizaciju. Istovremeno, takvi napadi pokazuju zašto CISO i sigurnosni timovi trebaju proaktivno delovati kako bi bolje odgovorili na sigurnosne izazove. 

S ciljem utvrđivanja uticaja cyber napada na ICS/OT sektor, Trend Micro je sproveo istraživanje The State of Industrial Cybersecurity. Istraživanje ujedno donosi predloge za otpornost na cyber napade u vreme kada sigurnosni izazovi postaju sve inovativniji. 

Prema istraživanju sprovedenom nad ispitanicima u sektoru proizvodnje, industrije nafte i plina te elektroprivrede, ICS/OT sektor je podjednako primamljiv državnim i nedržavnim malicioznim akterima. 

Poslednjih nekoliko meseci mediji neprestano izveštavaju o kompromitaciji kritične infrastrukture za postizanje političkih ciljeva, i to u vezi s ratom u Ukrajini. S druge strane, nedržavni akteri u pravilu deluju s ciljem iznude, a ciljaju velike i dobrostojeće organizacije. 

Što karakterizira ICS/OT? 

Dugi niz godina, OT okruženja nisu bila previše povezana s IT tehnologijom. To ujedno znači da OT infrastruktura nije bila digitalno povezna s vanjskim svijetom. Kompletnom se infrastrukturom određene organizacije upravljalo izolirano. 

S vremenom, sve veći dio OT infrastrukture se počinje integrisati ili povezivati sa spoljnim svetom – povezivati na internet ili spajati na lokalnu mrežu. Otvaranje vrata vanjskom svetu otvorilo je i vrata napadačima. 

Prema istraživanju iz 2020., industrijski sektor treći je u svetu po broju ransomware napada. Napadači češće napadaju jedino vladine organizacije i banke. Razlog tome ne leži samo u činjenici da se često radi o velikim organizacijama koje su u mogućnosti napadačima isplatiti ogromne novčane iznose. Naime, OT infrastruktura organizacija često počiva na legacy, zastarelim operacijskim sistemima poput Windows 7, Windows XP, itd. Također, tek manji dio organizacija ima implementirana neka od sigurnosnih rešenja u takvim sistemina, npr. antimalware. Problem je i takozvana flat network arhitektura, dizajnirana da smanji broj routera i switcheva, gde nema previše segmentacije. 

Pojedine organizacije i dalje karakterizira air gap mreža, kod koje ne postoji povezanost na javni internet. 

OT infrastruktura podjednako je temelj za produktivnost i kontinuitet/dostupnost te zbog toga ima nizak prag tolerancije na latenciju ili bilo kakve prekide. Na primer, ažuriranje ili patchiranje je omogućeno samo prilikom redovitog održavanja. 

Koje taktike koriste napadači u ICS/OT sektoru? 

Napadači koriste niz taktika, a neke od najčešćih su eksploatacija udaljenog pristupa i javno dostupnih aplikacija ili cloud servisa te kompromitacija uređaja koji su izloženi javno na internetu. 

Prema Trend Micro istraživanju, prosečan napad u industrijskom sektoru može izazvati poremećaj u trajanju od tri do četiri dana. Ti neočekivani i produženi downtime procesi mogu uticati na pad proizvodnje ili izazvati poremećaje u snabdevenom lancu. 

U slučaju gubitka kontrole i pristupa nad infrastrukturom, može se dogoditi da napadači isključe struju ili namerno izazovu štetu poput požara. U vrlo radikalnim slučajevima, poput onih u kojima se na meti napadača nađu elektrane ili hemijske tvornice, napadači mogu izazvati ozbiljnu ekološku katastrofu ili čak ljudske žrtve. 

Iako se ponekad čini da ovakvi scenariji spadaju u domenu SF filmova, oni su itekako stvarni i sve češći. Ne samo da organizacije „koštaju“ ugleda, takvi napadi u pravilu izazivaju ogromnu finansijsku štetu. 

Prema istraživanju The State of Industrial Cybersecurity, prosečna šteta u organizacijama zahvaćenima istraživanjem iznosila je 2,8 miliona dolara. Trošak se ne odnosi samo na ransomware iznude, već i na gubitke u prodaji te troškove povezane s oporavkom te prevencijom ponavljanja napada. Prevencija, na primer, može značiti i zapošljavanje novog osoblja. 

Kako se odbraniti od napada u ICS/OT sektoru? 

Pre 2010., napadi u ICS/OT sektoru bili su retki i radilo se o non-targeted napadima. Danas su napadi itekako uobičajeni. Prema Trend Micro istraživanju, samo 2020. je identifikovano 127 novih tipova ransomware napada koji iskorišćavaju OT infrastrukturu. 

Prepoznavši nivo ranjivosti ICS/OT infrastrukture i činjenicu da ne postoji mnogo rešenja koja se deducirano bave zaštitom takvih okruženja, Trend Micro se odlučio odmaknuti od razvijanja rešenja samo za zaštitu IT infrastrukture. 

Tako je razvijen TXOne. 

Što je TXOne? 

TXOne je naziv za niz sigurnosnih rešenja namenjenih zaštiti ICS/OT okruženja. Rešenja je 2019. predstavio TXOne Networks, sestrinska kompanija Trend Micra. Osim Trend Micro stručnjaka, u razvoju rešenja direktno su učestvovale vodeće industrijske kompanije i zaposleni zaduženi za sigurnost i upravljanje kritičnom infrastrukturom. 

Stručnjaci su se prilikom razvoja rešenja vodili činjenicom da je dostupnost (availability) OT infrastrukture ključna. U prevodu, sigurnosna rešenja ne smeju ometati proizvodne procese ili poticati downtime. Također, rešenja ne smeju uticati na način rada ili funkciju uređaja. 

Na nivou mreže, takva rešenja moraju garantovati nisku latentnost i omogućiti kompletnu vidljivost u rad svih pojedinih uređaja. 

S druge strane, na razini endpointa, Trend Micro se morao pobrinuti da njihov softver zauzima najmanju moguću količinu sistemskih resursa uređaja. Rešenja ujedno treba da budu kompatibilna s legacy sistemima. 

Rezultat je adaptivno rešenje koje se prilagođava svim tipovima korisnika, odnosno OT infrastrukture te politikama rada. 

Obrambenu strategiju TXOne palete proizvoda karakterizuju sledeće tačke: 

  • Prevencija 
  • Detekcija 
  • Otpornost 

Šta obuhvata TXOne paleta proizvoda? 

Rešenja TXOne razvijena su za primenu na nivoima 1 (basic control), 2 (supervisory control) i 3 (site manufacturing operations and control) Purdue modela. TXOne paleta proizvoda može se podeliti na tri dela. U nastavku donosimo pregled svakog od njih i popis specifičnih proizvoda koje uključuju. 

  • Rešenja za sigurnosnu inspekciju 

Proizvodi su namenjeni rutinskom skeniranju stand-alone i specijalnih uređaja. Uz pomoć posebno dizajniranog Portable Security installation-free uređaja, sprovode inspekciju kontrolnih tačaka (checkpoints) ulaznih i izlaznih uređaja. 

Rešenja uključuju Trend Micro Portable Security 3 i Trend Micro Portable Security 3 Pro. 

ICS/OT Trend Micro
ICS/OT Trend Micro
  • Rešenja za endpoint zaštitu 

Kako bi se osigurao operativni integritet, ova rešenja omogućavaju lock down modernih i legacy uređaja uz pomoć adaptivne ICS endpoint zaštite. 

Rešenja uključuju TXOne StellarEnforce i TXOne StellarProtect. 

  • Rešenja za odbranu mreže 

Proizvodi omogućavaju segmentaciju mreže na zone temeljene na produktivnosti. Omogućena je zaštita ranjivih uređaja na nivou mreže. Nivo zaštite se povećava, zahtevi za nadzorom pojednostavljuju, a cyber napadi smanjuju. 

Rešenja uključuju OT Defense Console, EdgeIPS, EdgeIPS Pro, Edge IPS Pro 216 i EdgeFire. 

Saznajte više o TXOne.