V první části tohoto příspěvku jsme již představili systémy detekce průniku do sítě (Network Intrusion Detection Systems, NIDS) jako řešení pro zmírnění útoků ransomwaru na operační technologii (OT). Podívejme se blíže, jak to funguje.
Obecně platí: NIDS nenahrazuje standardní nástroje kybernetické bezpečnosti, jako jsou firewall, ověřování, VPN a segmentace sítě. Tato standardní opatření dosud spolehlivě detekují a blokují většinu útoků, pokud jsou založeny na signatuře a přidány do knihovny příslušného nástroje. NIDS je vylepšení pro takové útoky, které nejsou zdokumentované v knihovnách signatur standardních nástrojů, tj. nelze je nijak detekovat s jejich pomocí. To může zahrnovat útoky, které používají nové infiltrační techniky, jako jsou zero day útoky nebo jiné techniky jako spear phishing, a které přelstí klasická obranná opatření jako ověřování nebo firewallové filtry. S ohledem na vysokou zranitelnost složek a systémů OT a rychle se vyvíjející paletu hrozeb podobných výše uvedeným má toto vylepšení rostoucí význam pro bezpečnost OT.
NIDS jako například Rhebo Industrial Protector od společnosti L+G Rhebo se skládá z monitorování OT s detekcí anomálií, které analyzuje veškerou komunikaci OT a hlásí veškeré aktivity odchylují se od deterministické a autorizované komunikace OT. Bezpečnostním technikům poskytuje druhou obrannou linii pro odhalování útoků, které již pronikly do sítě a nenápadně se snaží ji ovládnout.
Detekce přípravných aktivit je prevencí šifrování
Dvěma populárními příklady takových kybernetických incidentů v reálném světě jsou ransomware kampaň WannaCry z roku 2017, která využívala tehdejší zranitelnost EternalBlue a případ Colonial Pipeline z roku 2021, kdy útočníci použili odcizené heslo VPN. V obou případech došlo k překonání firewallu i ověřovacích opatření. I když se oba útoky zaměřovaly na informační technologie, oba měly velmi negativní dopady na průmyslové procesy některých společností v důsledku vazby na informační technologie a operační technologie.
WannaCry
Než software WannaCry narušil provoz v tisícovkách firem po celém světě, zanechal již stopu přípravné komunikace v sítích. Důvodem je, že jakmile Wannacry infikuje první stroj, snaží se kontaktovat doménu kill switch, a poté začne skenovat místní síť a náhodné internetové adresy. To by zahrnovalo systémy Windows, které se staly běžnými i v prostředích OT.
Monitorování sítě s detekcí anomálií by odhalilo skenování koncového bodu prostřednictvím portu 445 s protokolem SMB stejně jako nekompletní TCP. Kromě toho před spuštěním WannaCry obvykle komunikuje s doménou kill switch mimo síť společnosti. Toto spojení a následná komunikace by byly hlášeny jako anomálie ve výchozí komunikační struktuře OT. Reakce by byla rychlejší a důsledky menší.
Incident v Colonial Pipeline
Předtím, než útočníci při útoku na Colonial Pipeline zašifrovali servery a zastavili hlavní plynovod společnosti, zanechali v síti několik fingerprintů. Za prvé došlo k přenosu 100 GB dat na neznámou IP adresu. Za druhé došlo k připojení VPN z neznámé externí IP adresy. V síti OT by takové činnosti byly okamžitě hlášeny jako anomálie prostřednictvím monitorování OT s detekcí anomálií, což by bezpečnostním manažerům poskytlo časové okno pro eliminaci dalších škodlivých aktivit.
V případě Colonial Pipeline byla přímo dotčena pouze IT. Přesto to přimělo společnost k vypnutí OT systémů, aby zabránila dalšímu šíření ransomwaru. Přestože jde o rozumné opatření, způsobilo to závažný nedostatek dodávek ropy a plynu, a rovněž ztrátu příjmů. Díky monitorování OT s detekcí anomálií by společnost mohla rychle zkontrolovat své sítě OT na jakoukoli aktivitu, která je potenciálně škodlivá. Bezpečnostním technikům by to umožnilo s jistotou určit, zda je OT infikovaná či nikoli, a měli by čas rozhodnout o OT operacích na základě faktů, a nikoli dohadů.
Kontrolujte nezávadnost OT
Obojí, jak odhalení jakékoli zákeřné aktivity v OT v reálném čase tak schopnost rychle vyhodnotit riziko OT z útoku IT ransomwaru, může rozhodnout o výpadku veřejných služeb. V červnu 2022 byla německá společnost Entega zasažena útokem ransomwaru. Její dceřiná společnost e-netz Südhessen byla ohrožena spill-over útokem, který by ovlivnil dodávky energie pro jeden milion lidí. Společnost si okamžitě vyžádala od L+G Rhebo posouzení průmyslové bezpečnosti Rhebo, které zahrnovalo analýzu komunikace OT z minulého měsíce. Do 24 hodin manažer bezpečnosti e-netz znovu nabyl klidu. OT nevykazovala stopy ransomwaru ani žádné známky zákeřných aktivit, které by mohly mít povahu útoku.
Při vyhodnocování však bylo zjištěno několik dalších zranitelností a rizik, které byl manažer bezpečnosti poté schopen eliminovat.
Dokázal tak předejít výpadku, zajistit dodávky energie a zvýšit kybernetickou odolnost průmyslových procesů veřejné služby.