Moderné výrobné linky, vodárne, elektrárne či mestské dopravné systémy dnes už nefungujú výlučne vo fyzickom priestore. Stále viac sa prepájajú s IT infraštruktúrou, a s tým rastie aj riziko kybernetických útokov. Zariadenia OT (Operational Technology) a IoT (Internet of Things) sa však často nachádzajú mimo hlavného záujmu manažmentu v oblasti kybernetickej bezpečnosti.
IT vs. OT ochrana
Kým v IT svete sú bežnou súčasťou ochrany antivírusy, firewally či špecializované bezpečnostné tímy, priemyselné zariadenia ako PLC, SCADA systémy alebo senzorové jednotky zostávajú často vystavené rizikám bez dostatočnej ochrany. V mnohých priemyselných podnikoch pritom stále chýba jasná stratégia ako uchopiť kybernetickú bezpečnosť týchto priemyselných systémov.
Dôležitý nástroj
Pre „bezpečákov“ a bezpečnostné tímy je použitie frameworku Mitre ATT&CK for ICS zásadným krokom k efektívnemu riešeniu kybernetickej bezpečnosti v OT/ICS svete. Tento framework detailne popisuje taktiky a techniky, ktoré používajú útočníci v priemyselnom prostredí. Vďaka nemu môžu organizácie lepšie porozumieť spôsobom útoku a pripraviť sa na ne vopred. Každá technika obsahuje reálne príklady z minulosti, cielené aktíva, odporúčania na mitigáciu a detekciu.
Vizuálny prehľad
Jednotlivé techniky a taktiky je možné vizualizovať pomocou nástroja Mitre Attack Navigator, ktorý umožňuje filtrovať techniky podľa rôznych kritérií, a zároveň viete upriamiť pozornosť na tie, ktoré sú najčastejšie používané útočníkmi z konkrétnych APT skupín – napríklad podľa ich zamerania na špecifický sektor.
Vstup do systému
V úvodnej fáze útoku sú často zneužívané zraniteľnosti systémov, ktoré sú verejne dostupné z internetu. Preto sme aj v minulosti robili prieskum slovenského a českého internetu, ktorý odhalil značné množstvo verejne prístupných ICS/OT systémov. Rovnako časté a efektívne bývajú spearphishingové kampane.
Bežné protokoly
Útočníci následne vykonávajú ďalšie aktivity – napríklad zmeny prevádzkového režimu riadiacej jednotky, snažia sa zachovať si perzistenciu cez legitímne účty, prípadne hardkódované prihlasovacie údaje - meno, heslo, certifikáty či API tokeny.
Následne eskalujú svoje privilégia a zabezpečujú obchádzania detekcie a obranných mechanizmov, aby zostali nepozorovaní počas celého útoku.
Mapovanie siete
Nasleduje prieskum prostredia – útočníci sa napríklad často snažia identifikovať služby na vzdialenú správu a laterálne sa šíriť, či už za pomoci získaných prihlasovacích údajov, alebo prostredníctvom exploitácie služieb na vzdialenú správu. Okrem toho zbierajú údaje, či už zo systémov, sietí, alebo dokonca zachytávajú obraz.
Bežné protokoly
Medzi pokročilé techniky patrí využitie bežných portov na obídenie firewallov, proxovanie prevádzky, ale aj komunikácia prostredníctvom štandardných protokolov na aplikačnej vrstve, ako sú HTTP, RDP, Modbus či DNP3. Tie sa používajú na komunikáciu a posielanie príkazov kompromitovaným systémom, zariadeniam, riadiacim jednotkám a platformám so špecializovanými aplikáciami, ktoré sa používajú v prostrediach ICS.
Znefunkčnenie ochrany
Útočníci sa často snažia zabrániť tomu, aby vaše bezpečnostné a ochranné funkcie, prípadne zásahy operátorov, reagovali na poruchu či zmenený alebo nebezpečný stav. Používajú na to techniky ako blokovanie hlásení či zmena prihlasovacích údajov. Okrem toho často používajú neautorizované príkazy na narušenie logiky riadenia, čo môže mať škodlivý vplyv na fyzické prostredie.
Konečný cieľ
V záverečných fázach útoku dochádza k strate dostupnosti, strate alebo obmedzení kontroly a často aj k priamemu ohrozeniu primárnych činností organizácie a finančných výsledkov. Z môjho pohľadu je však najzávažnejšie ohrozenie zdravia a bezpečnosti.
Na čo sa zamerať
Útočníci síce dokážu rýchlo zmeniť IP adresy, domény či hashe škodlivého softvéru, no techniky, ktoré používajú, zostávajú často rovnaké. Preto je efektívne zamerať sa práve na ne – sú stabilnejšie a umožňujú lepšie zacielenie bezpečnostných opatrení.
Na základe identifikácie relevantných techník pre vašu organizáciu je možné nájsť ku každej technike konkrétne odporúčania pre jej mitigáciu a detekciu.
Pri výbere bezpečnostných riešení či služieb je tiež vhodné overiť si, do akej miery pokrývajú techniky uvedené v rámci MITRE ATT&CK for ICS.
Marek Madžo,