Obecně platí: NIDS nenahrazuje standardní nástroje kybernetické bezpečnosti, jako jsou firewall, ověřování, VPN a segmentace sítě. Tato standardní opatření dosud spolehlivě detekují a blokují většinu útoků, pokud jsou založeny na signatuře a přidány do knihovny příslušného nástroje. NIDS je vylepšení pro takové útoky, které nejsou zdokumentované v knihovnách signatur standardních nástrojů, tj. nelze je nijak detekovat s jejich pomocí. To může zahrnovat útoky, které používají nové infiltrační techniky, jako jsou zero day útoky nebo jiné techniky jako spear phishing, a které přelstí klasická obranná opatření jako ověřování nebo firewallové filtry. S ohledem na vysokou zranitelnost složek a systémů OT a rychle se vyvíjející paletu hrozeb podobných výše uvedeným má toto vylepšení rostoucí význam pro bezpečnost OT.
NIDS jako například Rhebo Industrial Protector od společnosti L+G Rhebo se skládá z monitorování OT s detekcí anomálií, které analyzuje veškerou komunikaci OT a hlásí veškeré aktivity odchylují se od deterministické a autorizované komunikace OT. Bezpečnostním technikům poskytuje druhou obrannou linii pro odhalování útoků, které již pronikly do sítě a nenápadně se snaží ji ovládnout.
Detekce přípravných aktivit je prevencí šifrování
Dvěma populárními příklady takových kybernetických incidentů v reálném světě jsou ransomware kampaň WannaCry z roku 2017, která využívala tehdejší zranitelnost EternalBlue a případ Colonial Pipeline z roku 2021, kdy útočníci použili odcizené heslo VPN. V obou případech došlo k překonání firewallu i ověřovacích opatření. I když se oba útoky zaměřovaly na informační technologie, oba měly velmi negativní dopady na průmyslové procesy některých společností v důsledku vazby na informační technologie a operační technologie.
WannaCry
Než software WannaCry narušil provoz v tisícovkách firem po celém světě, zanechal již stopu přípravné komunikace v sítích. Důvodem je, že jakmile Wannacry infikuje první stroj, snaží se kontaktovat doménu kill switch, a poté začne skenovat místní síť a náhodné internetové adresy. To by zahrnovalo systémy Windows, které se staly běžnými i v prostředích OT.
Monitorování sítě s detekcí anomálií by odhalilo skenování koncového bodu prostřednictvím portu 445 s protokolem SMB stejně jako nekompletní TCP. Kromě toho před spuštěním WannaCry obvykle komunikuje s doménou kill switch mimo síť společnosti. Toto spojení a následná komunikace by byly hlášeny jako anomálie ve výchozí komunikační struktuře OT. Reakce by byla rychlejší a důsledky menší.
Incident v Colonial Pipeline
Předtím, než útočníci při útoku na Colonial Pipeline zašifrovali servery a zastavili hlavní plynovod společnosti, zanechali v síti několik fingerprintů. Za prvé došlo k přenosu 100 GB dat na neznámou IP adresu. Za druhé došlo k připojení VPN z neznámé externí IP adresy. V síti OT by takové činnosti byly okamžitě hlášeny jako anomálie prostřednictvím monitorování OT s detekcí anomálií, což by bezpečnostním manažerům poskytlo časové okno pro eliminaci dalších škodlivých aktivit.
V případě Colonial Pipeline byla přímo dotčena pouze IT. Přesto to přimělo společnost k vypnutí OT systémů, aby zabránila dalšímu šíření ransomwaru. Přestože jde o rozumné opatření, způsobilo to závažný nedostatek dodávek ropy a plynu, a rovněž ztrátu příjmů. Díky monitorování OT s detekcí anomálií by společnost mohla rychle zkontrolovat své sítě OT na jakoukoli aktivitu, která je potenciálně škodlivá. Bezpečnostním technikům by to umožnilo s jistotou určit, zda je OT infikovaná či nikoli, a měli by čas rozhodnout o OT operacích na základě faktů, a nikoli dohadů.
Kontrolujte nezávadnost OT
Obojí, jak odhalení jakékoli zákeřné aktivity v OT v reálném čase tak schopnost rychle vyhodnotit riziko OT z útoku IT ransomwaru, může rozhodnout o výpadku veřejných služeb. V červnu 2022 byla německá společnost Entega zasažena útokem ransomwaru. Její dceřiná společnost e-netz Südhessen byla ohrožena spill-over útokem, který by ovlivnil dodávky energie pro jeden milion lidí. Společnost si okamžitě vyžádala od L+G Rhebo posouzení průmyslové bezpečnosti Rhebo, které zahrnovalo analýzu komunikace OT z minulého měsíce. Do 24 hodin manažer bezpečnosti e-netz znovu nabyl klidu. OT nevykazovala stopy ransomwaru ani žádné známky zákeřných aktivit, které by mohly mít povahu útoku.
Při vyhodnocování však bylo zjištěno několik dalších zranitelností a rizik, které byl manažer bezpečnosti poté schopen eliminovat.
Dokázal tak předejít výpadku, zajistit dodávky energie a zvýšit kybernetickou odolnost průmyslových procesů veřejné služby.