Cyberbezpieczeństwo

Pierwszy krok do skutecznego systemu obronnego to poznanie jego najsłabszych punktów.  Jest to trudne, ale konieczne… i nigdy się nie kończy.
Przedsiębiorstwa, które zdecydowały się na wprowadzenie programu poprawy cyberbezpieczeństwa, często same zapędzają się w kozi róg, ponieważ popełniają błąd już na samym początku. Bez podstawowej wiedzy o cyberbezpieczeństwie nie można planować, a tam, gdzie nie ma planu, powstaje bałagan i jeszcze więcej problemów. Znalezienie najsłabszych punktów systemu wymaga rzetelnej i rozważnej analizy. W teorii koncepcja wydaje się prosta, ale praktyka może szybko zweryfikować ten pogląd. W większości przypadków entuzjazm szybko opada, ponieważ okazuje się, że sytuacja jest znacznie gorsza niż się spodziewano.
Jednym z pierwszych kroków jest określenie, jakie standardy i reguły bezpieczeństwa mają być wdrażane. Wybór zależy od natury Twojego procesu i gałęzi przemysłu. Możesz pomyśleć, że wdrażanie konkretnego standardu jest „zbyt górnolotne” i lepiej skupić się na wyborze zapory, miej jednak na uwadze następującą analogię: załóżmy, że chcesz rozpocząć działalność w branży spożywczej, co jest jednoznaczne ze spełnieniem surowych wymogów sanitarnych. Możesz dbać o czystość najlepiej jak potrafisz, ale jeśli nie znasz standardów, to istnieje niewielka szansa, że zakład przejdzie pomyślenie inspekcję sanitarną. Tak samo jest ze standardami cyberbezpieczeństwa – możesz zabezpieczyć najbardziej wrażliwe fragmenty systemu, ale to wcale nie oznacza, że stanie się on bezpieczny.
Następnie musisz przekonać samego siebie, że ocena systemu bezpieczeństwa nie jest jednorazowym działaniem. To proces, który trwa nieustannie. O bezpieczeństwie musisz myśleć codziennie, ponieważ ani system, ani zagrożenia nie są statyczne. Informacje na temat nowych zagrożeń możesz czerpać z takich grup, jak DHS ICS-CERT. To pomoże być Ci na bieżąco i będzie sugerować kierunki nowych analiz.
Bolesny proces
Prawdopodobnie fizycznie i psychicznie najtrudniejszym etapem oceny bezpieczeństwa jest analiza wszystkich urządzeń, ich połączeń i oprogramowania. To może być monumentalne zadanie, jeśli nie masz pełnej dokumentacji urządzeń lub to, co masz, jest nieaktualne. To dotyczy wszystkiego:

  • serwerów,
  • switchy i hubów sieciowych,
  • terminali użytkowników,
  • komputerów przenośnych i stacjonarnych,
  • PLC i innych sterowników,
  • krosownic i konwerterów mediów,
  • bezprzewodowych nadajników i odbiorników,
  • przenośnych urządzeń z dostępem do sieci,
  • wszystkiego innego.

Kiedy znalazłeś już te wszystkie urządzenia, zrób wykaz oprogramowania, które na nich zainstalowano, oraz połączeń między nimi. Tak, to może być ogromne zadanie, ale jest absolutnie niezbędne. Nie koncentruj się wyłącznie na najbardziej znaczącym oprogramowaniu, uwzględnij również takie aplikacje, jak Microsoft Word oraz sterowniki urządzeń i ich firmware. Sporządzona dokumentacja musi być na bieżąco aktualizowana przy każdej zmianie w systemie – nawet pozornie nieistotnej (łatki, uaktualnienia oprogramowania). W przeciwnym razie nie będzie możliwości zablokowania wszystkich punktów, które może odnaleźć kreatywny haker.

W idealnym świecie zabezpieczenie przed lukami w oprogramowaniu nie stanowiłoby tak wielkiego problemu – aktualizacje pojawiają się zwykle na bieżąco. Oprogramowanie w żadnej firmie nie jest jednak aktualizowane w tempie pojawiania się poprawek. Nigdy nie widziałem, żeby tak było – nie jesteś więc sam.
Przegląd systemu może być prostszy, jeśli masz plan
Porozmawiaj z ludźmi – osoby, które na co dzień zajmują się siecią przedsiębiorstwa, mogą dostarczyć wielu informacji o urządzeniach i potencjalnych słabych punktach. Jeśli oczekujesz współpracy, prowadź dyskusję, a nie przesłuchanie. Zawczasu upewnij się, że dokumentacja, w której wskazane będą wrażliwe punkty systemu, nie trafi w niepowołane ręce.
Przejrzyj dokumentację – cokolwiek jest lepsze niż nic. Nawet przestarzałe i niekompletne schematy mogą stanowić dobry punkt wyjściowy.
Sprawdź konfigurację urządzeń – to może być bardzo nużące zadanie, ale musisz znać oprogramowanie, które pracuje w Twoim przedsiębiorstwie. Znalezienie odpowiedzi będzie trudne, jeśli program stanowi fragment maszyny lub zamkniętego środowiska dostarczonego przez integratora. Dostawcy, chcąc chronić swój produkt, nie udostępniają wszystkich informacji, ale coraz więcej z nich rozumie potrzebę tworzenia bardziej szczegółowych dokumentacji na potrzeby analizy bezpieczeństwa. Warto przy tej okazji pozbyć się zbędnych urządzeń – na przykład tego odtwarzacza MP3 wpiętego do komputera w sterowni.
Prześledź okablowanie – zaopatrz się w ochronne podkładki pod kolana i zobacz, co dzieje się za biurkiem i głęboko w szafie informatycznej. Zobacz, dokąd biegną kable, które znasz i skąd biorą się te, o których nie wiedziałeś. Musiały istnieć powody, dla których ktoś uznał, że powiązanie niektórych urządzeń jest dobrym pomysłem – znajdź te powody.
Przeanalizuj ruch w sieci – gdy będziesz poznawać interakcję urządzeń, coś może zwrócić Twoją uwagę, bądź zatem czujny. Sprawdź, kto z kim wymienia informacje i czy nie trafiają one niepotrzebnie do kogoś innego. Kto jest podłączony za pomocą VPN? Jakie dodatkowe kanały wymiany informacji musiały być utworzone po zmianie właściciela?
Dokładnie sprawdź łączność bezprzewodową – kabel idzie od punktu do punktu, nad łącznością bezprzewodową trudniej jest zapanować. Zacznij od ustalenia, ile i jakie częstotliwości są używane. To krytyczny fragment planu – do włamania wystarczy czasem kupno takiego samego repetera, jaki ktoś wykorzystał do zastąpienia uszkodzonej sieci kablowej.
Kiedy dokumentacja zaczyna nabierać kształtu, sprawdź sam siebie. Przejdź się po hali i sprawdź, czy diagram odwzorowuje rzeczywistość. Jeśli z rysunku wynika, że do tamtego switcha podłączonych jest pięć urządzeń, dlaczego zajętych jest sześć gniazd? Chwyć dowolny kabel i zobacz, czy jesteś w stanie odnaleźć go na planie. Czy firewall jest odpowiednio skonfigurowany? Jeśli oblejesz jakikolwiek z tych testów, musisz dokładnie przyjrzeć się wykonanej do tej pory pracy.
Następny poziom
Gdy dokumentacja jest gotowa, można rozpocząć bardziej wyszukane analizy. Spójrz na swój system i zadaj sobie kilka pytań:
Który fragment procesu i jakie narzędzia mogą być obsługiwane ręcznie? Co stanie się, jeśli zostaniesz zaatakowany albo nastąpi awaria? Czy masz możliwość niezależnego uruchomienia każdej maszyny w trybie manualnym? Jeśli utknąłeś w nieplanowanej sytuacji, te zdolności mogą stanowić różnicę między kontynuacją procesu a całkowitym zatrzymaniem.
Jaka część Twojego systemu współdzieli tę samą infrastrukturę? Czy integracja nie jest za duża? Utrzymanie pewnej rozdzielności pomiędzy fragmentami procesu i poszczególnymi urządzeniami pomaga izolować problemy i minimalizować skutki włamania.
Jak „płaskie” jest bezpieczeństwo Twojego przedsiębiorstwa? Jeśli zdalny terminal znajduje się w odosobnionej części fabryki, poziom bezpieczeństwa powinien być większy, a sam terminal zabezpieczony przed niepowołanym dostępem.
Istnieje wiele urządzeń sieciowych, których fabryczne zabezpieczenia są na bardzo niskim poziomie. Jakie są słabe punkty tych urządzeń i jak wypływają one na bezpieczeństwo całego systemu? Niektóre urządzenia mogą mieć jeszcze domyślne hasła ustawione przez producenta. W wielu z nich nie da się zmienić metody autoryzacji dostępu do sieci – takie niekonfigurowane urządzenia trzeba objąć dodatkową ochroną.
Spójrz na swój system krytycznie i pomyśl o celowym spowodowaniu awarii. Czy możesz wymusić zamknięcie albo otwarcie zaworu? Czy możesz uruchomić pompę wtedy, kiedy nie powinna pracować? Jeśli haker będzie próbował włamać się do Twojego przedsiębiorstwa, takie sytuacje mogą się wydarzyć.
Czy mniej istotne (i słabiej chronione) systemy mogą stanowić bramę do czegoś ważnego? Przyjrzyj się połączeniom między systemami. Mniej ważne systemy mają słabszą ochronę, ponieważ ryzyko spowodowania przez nie chaosu jest małe. Chociaż takie podejście jest słuszne, upewnij się, że za pomocą tych systemów nie da się przeniknąć głębiej – do jego krytycznych fragmentów.
Przemysłowe realia
Inżynierowie pracujący na co dzień w branży IT pytają, dlaczego w przemyśle nie można wykorzystać dobrze znanych mechanizmów bezpieczeństwa stosowanych w sieciach komputerowych. Odpowiedź jest prosta: większość przemysłowych urządzeń ma bardzo słabe zabezpieczenia, więc haker może stosunkowo łatwo przejąć nad nimi kontrolę. Nasze sieci muszą mieć szereg szczelnych zapór. W przeciwnym razie po sforsowaniu głównego firewalla dostęp do urządzeń procesowych nie sprawi większego problemu i będzie przyczyną kłopotów albo nawet narażenia czyjegoś życia.
To jeden z powodów, dlaczego tak ważna jest znajomość własnej sieci. Musisz być w stanie uprzedzić atak hakera, poznając słabe punkty systemu bezpieczeństwa i naprawiając je, zanim ktoś z zewnątrz spróbuje je wykorzystać. Twoje przedsiębiorstwo nigdy nie będzie w 100% zabezpieczone, ale dzięki skoordynowanym wysiłkom masz szansę być o krok przed hakerem.
Matt Luallen, stały współpracownik CFE Media, jest założycielem Cybati – organizacji oferującej szkolenia i konsulting w zakresie cyberbezpieczeństwa.
CE