ICS/OT-hur riktade attacker blev ett allvarligt hot
Industrial Control Systems (ICS) och Operation Technology (OT) utgör grunden för kritisk infrastruktur och är en del av vår vardag. Tekniken bakom ICS & OT var utformad för att hålla i 30 år, så gå tillbaka till 1990-talet i tanken: det är svårt att föreställa sig att dåtidens IT-ingenjörer tänkte på nutidens utmaningar när det kommer till ICS/OT-säkerhet.
Ransomware, malware & datavirus
Ransomware är ett bra exempel på vad som skulle kunna utgöra ett allvarligt hot mot industrisystem som tex SCADA (datoriserat styrsystem för industriella processer som tillverkning, transporter, el) eller liknande. Industriell malware-hot mot verksamheters ICS/OT-säkerhet, till exempel Stuxnet som senare förstörde kärncentrifuger, ansågs mer som science fiction än teknik.
Datavirus och maskar omnäms knappt före 1970-talet, vid vår efterforskning, kan vi endast hitta en artikel i ämnet; från universalgeniet John von Neumann i ”Teorin om självreproducerande automata”. Sedan på 1990-talet kunde vi räkna de betydande datavirusen på våra fem fingrar. Samma sak gäller idag för skräddarsydd ICS-malware.
ICS/OT-säkerhetsbrist i komplexa industriella system
Idaho National Laboratory-forskare simulerade 2007 en cyberattack där en dieselgenerator, skyddsreläer och strömbrytare angreps. Målet var att bevisa att en cyberattack kan ha en betydande fysisk inverkan på komponenter i det nationella elnätet. Forskare antog att en angripare kunde få tillgång till de skyddsreläer som styr generatorns strömbrytare, och genom att omprogrammera reläerna försatte forskarna generatorn i ett instabilt tillstånd.
Med detta säkerhetshål var det därför inte konstigt att vi senare bevittnade angrepp som:
- Stuxnet incidenten 2010.
- Ukraina-blackout-historien 2015 och 2016.
- Riktad Triton-malware attack mot Saudiska oljeanläggningars säkerhetssystem.
WannaCry & NotPetya
WannaCry och NotPetya är två klassiska malware & mask-hot. Dessa malware är utformade för att infektera så många system som möjligt utan anpassning eller teknik specifik för ICS-miljöer och de fann vägen in i industriella kontrollsystem.
Dessa orsakade betydande ekonomiska kostnader, men de hade en lägre potential för riktigt apokalyptisk skada. Jämför detta med ICS/OT-skräddarsydd malware, som utgår från djup kunskap om den industriella processen och verksamheten och kan orsaka specifika störningar, förstörelse av utrustning och i värsta fall äventyra människoliv.
Cyberattacker krävde fysisk tillgång
I ”Mr. Robot”-serien, förklarar Elliot för utpressare att det inte är så lätt att hacka sig in i ett fängelse som många tror. Även om ett fängelse kan kontrolleras av ett sårbart SCADA (Supervisory control and data acquisition)-system, krävs ofta fysisk tillgång till delar av systemet för att inleda en attack. När det gäller Mr. Robot lyckas Elliot öppna fängelsedörrar och orsaka en tillfällig störning av fängelsets ICS.
Utförandet av en framgångsrik, repeterbar attack med hög sannolikhet att lyckas är dock mycket svårare.
Stuxnet Dropper
Stuxnet malware beskrivs av många som en av de mest komplexa typerna av skadlig kod som någonsin identifierats. Ralf Langer som författaren till ”Att döda en centrifug, en teknisk analys av vad Stuxnets skapare försökte uppnå” beskriver Stuxnet i ett TED-talk från 2011 med orden:
”Stuxnet Dropper är komplex och högteknologisk, och dess last är ren raketforskning”
Även om det inte är tekniskt lätt att hacka ICS-komponenter och åsamka dem permanent skada, övergår attackerna nu snabbt från Hollywood till verklighet, vilket tvingar ICS-operatörer att ge denna övergång och dessa trender den uppmärksamhet de förtjänar.
Mot ICS/OT-säkerhet: Guide to Industrial Control Systems
Den stora utmaningen idag är därför att designa och bygga skydd mot nuvarande och kommande malware, ransomware och exploateringsattacker anpassade till, och inriktade på våra ICS-/OT-system. Man kan börja med en (enklare) bottom-up-strategi, använda ett säkerhetsramverk som CISs Implementation Guide for Industrial Control Systems och NISTs Guide to Industrial Control Systems (ICS) Security.
CIS-guiden erbjuder 20 grundläggande säkerhetskontroller, och NIST inkluderar vägledning med 19 säkerhetskontroller, med en betydande överlappning mellan de två guiderna. Medan dessa säkerhetskontroller är sunt förnuft kräver de fortfarande en dedikerad grupp tekniker för att implementera och hantera dem: säkerhetskopiera data, ha ett incidentrespons-team, kontrollera flyttbara media och så vidare.
Det är dock bäst att ta en top-down-strategi först: skapa en korrekt systemarkitektur (eller migrera till en) som inkluderar systemsegmentering. Alla mirakulösa säkerhetslösningar som använder dagens buzzwords som maskininlärning och AI kan inte hjälpa oss om vi har ett platt OT-nätverk med flera ingångspunkter från Internet.
Industrial Control Systems – från arkitektur till kontroller
En populär modell som används för att börja bygga en rimlig ICS / OT-arkitektur är Purdue Model for Control Hierarchy, som främjar ett logiskt segmenteringsramverk med 5 zoner. Zoner mellan 0 och 2 är cell- / områdeszoner, zon 3 är tillverkningszonen, och utöver det och inklusive zon 4 är företagszonen. Ofta använder organisationer bästa praxis för att implementera en buffert, en demilitariserad zon (DMZ) mellan företagsnätverket och OT-miljön (dvs mellan zonerna 3 och 4), på samma sätt som vad som varit rekommenderat mellan företagets IT-miljö och Internet.
Medan Purdue-modellen ger struktur och vägledning för att gå mot en riktig arkitektur, är detta inte ett enkelt jobb för befintliga distribuerade system med många enheter. En fungerande arkitektur möjliggör ändå implementering av många användbara gränskontroller såsom OT-brandväggar. Dessa kan avsevärt bidra till att förebygga och isolera exempelvis malware som sprids genom en SMB-sårbarhet (läs den relaterade bloggen HÄR ) eller script-kiddies inriktade på vad som råkar vara sårbart och exponerat.
Eftersom implementering av intern granulär segmentering och åtkomstkontroll (brandväggar) ofta är svår i befintliga ICS/OT-system, kan man istället förbättra den övergripande säkerheten med hjälp av övervakning av nätverkssäkerheten. Med kontinuerlig nätverkssäkerhetsövervakning fokuserar man insatserna på att upptäcka misstänkt aktivitet, men med begränsad eller ingen automatisk förebyggande åtgärd, vilket skulle kunna förhindra det normala flödet och stoppa produktionsprocessen.
Incidentrespons för ICS/OT-säkerhet
Efter att ha börjat övervaka er ICS/OT-säkerhet är nästa logiska steg att skapa en förmåga till incidentrespons, med en tydligt definierad process med processflödesdiagram och instruktioner, testade med såväl praktiska som teoretiska övningar. Som alla andra komplexa mänskliga uppgifter, kräver incidentrespons mycket övning för att behärska helt utantill, ungefär som att köra en bil till arbetet.
Tidigt i riskhanterings- och designprocessen måste du också arbeta med Asset discovery, – management och -analysis. Om man inte vet vad man ska skydda, vad som är mest värdefullt och var det ligger, är det omöjligt att bygga en kostnadsoptimal lösning någorlunda i tid. Att använda påträngande IT-standardverktyg och scanna aktiva tillgångar och sårbarheter undviks gärna inom ICS/OT-säkerhet på grund av den betydande risken för oavsiktlig denial-of-service. Lyckligtvis erbjuder nätverksövervakning en ganska enkel och skalbar metod för dynamisk tillgångsupptäckt i anslutna ICS/OT-system.
En helig treenighet för ökad ICS/OT-säkerhet
Att bygga en ordentlig arkitektur, identifiera tillgångar och kontinuerligt övervaka nätverket går därför hand i hand, och vi skulle betrakta dessa tre koncept utmärkta första åtgärder för att minska säkerhetsrisker. Med rätt nätverkssegmentering och -utrustning är övervakning av nätverket relativt lätt att implementera vid centralpunkter där huvuddelen av vår nätverkstrafik flyter.
På sådana centrala punkter kan man skapa SPAN/spegelportar på en driftad industriell switch för att börja övervaka ICS/OT-trafik. Övervakningstekniken kan sedan, vid den första observationen, dynamiskt identifiera alla tillgångar som ses i nätverkstrafiken. Om ditt mål bara är att identifiera dina tillgångar räcker ett enkelt verktyg som Wireshark. Vi borde dock ha ett mer ambitiöst mål med kontinuerlig säkerhetsövervakning: öppet källkodsverktyg, till exempel Snort, har en god uppsättning nätverkstrafiksignaturer för att identifiera skadlig trafik även i en ICS-miljö.
Sedan är det hårt arbete och samarbete mellan OT och IT-specialister som krävs för att anpassa dessa signaturer till vår miljö och få rätt balans mellan falska och riktiga larm (false positives kan ju behöva genereras även för visst legitimt beteende, ex. Admin-ingripande e.d.). För att utöka övervakningsförmågan ytterligare kan vi komplettera med kommersiella verktyg som kan tillföra övervakning av nätverksbeteende och anomalibaserad detektion, utöver Asset discovery, -management, Protocol dissection och flödesvisualisering.
Människor och processer: MITRE ATT&CK-ramverket
Precis som IT-säkerhet varken kan eller bör ICS/OT-säkerhet enbart förlita sig på teknik, människor och säkerhetsfokuserade processer behövs också. Idag kan bristen på kunniga ICS/OT-säkerhetsexperter göra det svårt att bygga ett dedikerat team för ICS/OT-säkerhet. Verksamheter kan för närvarande lösa detta genom att lägga ut design-, implementerings- och delvis övervakningsprocessen hos specialiserade nischleverantörer.
För att skapa en pålitlig, transparent och objektiv process kan man idag integrera hotsimulering i design-, implementerings- och driftsprocessen. För närvarande är det kändaste MITRE ATT&CK-ramverket och dess Cyber kill chain-koncept. MITRE ATT&CK utvecklades för IT-miljöer och var inte tillämplig på industrisystem förrän utvecklingen av MITRE ATT&CK for Industrial Control Systems 2019.
MITRE ATT&CK-ramverket för ICS följer en angripare från initial åtkomst till det slutliga målet för attacken och kan effektivt användas för att förutsäga attackens nästa steg. Till exempel fokuserar MITRE ATT&CK för ICS på taktik, tekniker och procedurer (TTP) som observerats tidigare. Dessa TTP: er liknar dåliga vanor som rökning eller alkoholmissbruk, och antagandet är att motståndaren har svårt att överge sitt beteende. I detta avseende är övervakning av kända tekniker av stort värde för vår försvarsprocess.
För att ge ett exempel, programnedladdningstekniken som är en del av ”Persistence”, ”Inhibit Response Function” och ”Impair Process Control” metoderna i MITRE ATT&CK för ICS är en värdig kandidat att jaga med kontinuerlig nätverkssäkerhetsövervakning. En nedladdning av ett program kan indikera en skadlig förändring i logiken för ett programmerbart styrsystem (PLC). Om denna förändring sker utanför kända underhållsfönster, bör vi på allvar undersöka denna aktivitet och svara på en potentiell incident.
Sammanfattning: ICS/OT-säkerhet under hot
Genom att undersöka ATT&CK för ICS-ramverket kan vi konstatera att antalet kända motståndare, malware och exploits är relativt lågt jämfört med jämförbara IT-ramverk. Detta visar att ICS-hacking inte är trivialt och inte så utbrett som IT-fokuserade hot. ICS-attacker håller dock på att bli en skrämmande realitet som kan påverka vårt dagliga liv med kostnader bortom de rent ekonomiska. Angriparna blir djärvare, och attackerna vi har sett har visat extremt avancerad branschkunskap. Vår industriella teknik kommer inte att anpassa sig till denna nya verklighet lika snabbt som angriparna. Det är hög tid att ICS/OT-säkerhet får den uppmärksamhet den förtjänar.