Tämän postauksen ensimmäisessä osassa nostimme esiin tunkeilijan havaitsemisjärjestelmän (network intrusion detection system, NIDS) keinona ehkäistä tuotantoverkkoihin (OT) kohdistuvia kiristyshaittaohjelma- eli ransomware-hyökkäyksiä. Luomme nyt tarkemman katsauksen järjestelmän periaatteisiin.
Ensinnäkään NIDS ei korvaa tavanomaisia kyberturvallisuustyökaluja, kuten palomuureja, todentamista, VPN-yhteyksiä ja verkon segmentointia. Nämä toimenpiteet havaitsevat ja estävät luotettavasti suurimman osan hyökkäyksistä, kunhan ne perustuvat tunnisteisiin ja tunnisteet on sisällytetty työkalun tietokantaan. NIDS muodostaa lisäsuojan sellaisten hyökkäysten varalta, joita ei ole dokumentoitu vakiotyökalujen tunnistetietokantaan ja joita ne eivät siten voi havaita. Tällaiset hyökkäykset voivat käyttää esimerkiksi uusia soluttautumismenetelmiä, kuten nollapäivähaavoittuvuuksia, kohdennettua tietojenkalastelua (spear phishing) tai muita menetelmiä, jotka ei pystytä torjumaan perinteisillä keinoilla, kuten todennuksella ja palomuurien suodatuksella. OT-komponenttien ja -järjestelmien suuren haavoittuvuuden sekä jatkuvasti kehittyvän uhkaympäristön valossa tällainen lisäsuoja on yhä tärkeämpää OT:n tietoturvalle.
Landis+Gyriin kuuluva Rhebo on kehittänyt anomaliapohjaisen NIDS-järjestelmän, Rhebo Industrial Protectorin, joka analysoi OT-tiedonsiirtoa ja raportoi mahdollisen deterministisestä ja todennetusta OT-tiedonsiirrosta poikkeavan toiminnan. Se toimii seuraavana puolustuslinjana, joka havaitsee jo verkkoon päässeet ja verkossa vaivihkaa etenevät hyökkäykset.
Valmistelevan toiminnan havaitsemalla voi estää salauksen
Kaksi hyvin tunnettua esimerkkiä kyberuhista ovat vuoden 2017 WannaCry-kiristyshaittaohjelmakampanja, joka hyödynsi EternalBlue-haavoittuvuutta, sekä vuoden 2021 Colonial Pipelinen tapaus, jossa hyökkääjät käyttivät varastettua VPN-salasanaa. Molemmissa tapauksissa palomuurit ja todennustoimenpiteet ohitettiin. Vaikka molemmat hyökkäykset kohdistuivat IT-järjestelmiin, niillä oli vahvoja kielteisiä vaikutuksia tiettyjen yritysten teollisiin prosesseihin johtuen IT:n ja OT:n välisestä kytköksestä.
WannaCry
Ennen kuin WannaCry lamautti tuhansien yritysten toiminnan eri puolilla maailmaa, se oli jo jättänyt jälkiä valmistelevasta tiedonsiirrosta verkoissa. Tämä johtuu siitä, että heti ensimmäisen koneen tartutettuaan WannaCry pyrkii ottamaan yhteyttä ns. tappokytkimenä toimivaan verkko-osoitteeseen ja alkaa skannata paikallisverkkoa ja satunnaisia internetosoitteita. Skannauksen piiriin kuuluvat Windows-järjestelmät, jotka ovat yleistyneet myös OT-ympäristöissä.
Anomaliapohjainen verkon valvonta olisi havainnut SMB-protokollaa hyödyntävän päätelaitteiden skannauksen portin 445 kautta sekä epätäydellisen TCP:n. Lisäksi WannaCry yleensä kommunikoi ennen aktivoitumistaan yrityksen verkon ulkopuolella sijaitsevan, tappokytkimenä toimivan verkko-osoitteen kanssa. Tämä yhteys ja verkkoliikenne olisi raportoitu anomaliana vertailukohtana olevaan normaaliin OT-liikenteeseen. Nopea reagointi olisi rajoittanut vaikutusta.
Colonial Pipelinen tapaus
Ennen kuin hyökkääjät salasivat Colonial Pipelinen palvelimet ja aiheuttivat yhtiön tärkeimmän polttoaineiden jakeluputkiston sulkemisen, ne olivat jättäneet runsaasti sormenjälkiä verkkoon. Ensimmäinen jälki oli 100 GB:n tiedonsiirto tuntemattomaan IP-osoitteeseen. Toinen jälki oli VPN-yhteys tuntemattomasta ulkopuolisesta IP-osoitteesta. OT-verkon anomalioiden valvontajärjestelmä olisi välittömästi raportoinut nämä toiminnot anomalioina ja antanut tietoturvahenkilöstölle mahdollisuuden estää vihamielisen toiminnan jatkuminen.
Colonial Pipelinen tapauksessa ransomware-hyökkäys vaikutti suoraan vain IT-järjestelmään, mutta haittaohjelman leviämisen estämiseksi myös yhtiön OT-järjestelmät suljettiin. Tämä sinänsä järkevä toimenpide johti kuitenkin merkittävään öljy- ja polttoainepulaan ja taloudellisiin tappioihin. OT-järjestelmän anomalioita valvovalla järjestelmällä yhtiö olisi pystynyt nopeasti tarkistamaan, esiintyikö OT-verkoissa merkkejä pahantahtoisesta toiminnasta. Näin olisi saatu varmuus siitä, oliko OT-järjestelmä saastunut, eikä päätöstä OT-toimintojen jatkamisesta olisi tarvinnut perustaa arvailujen varaan.
Varmista OT-järjestelmän puhtaus
Kyky sekä havaita haitallinen toiminta että arvioida nopeasti ransomware-hyökkäyksen aiheuttama riski OT:lle voi auttaa energiayhtiötä estämään toimituskatkokset. Kesäkuussa 2022 saksalainen Entega joutui ransomware-hyökkäyksen kohteeksi. Entegan tytäryhtiö e-netz Südhessen pelkäsi, että hyökkäys laajenee sen järjestelmiin, mikä olisi vaikuttanut miljoonan asiakkaan sähkönjakeluun. Yhtiö pyysi välittömästi L+G:hen kuuluvaa Rheboa suorittamaan Rhebo Industrial Security -arvioinnin muun muassa yhtiön OT-tietoliikenteestä viimeisen kuukauden ajalta. E-netzin tietoturvapäällikkö sai 24 tunnissa rauhoittavan tiedon. OT-järjestelmässä ei näkynyt merkkejä ransomware-ohjelmasta tai muusta haitallisesta toiminnasta, joka liittyisi hyökkäykseen.
Arvioinnissa löytyi kuitenkin pari haavoittuvuutta ja riskiä, joihin tietoturvapäällikkö pystyi puuttumaan.
Näin pystyttiin varmistamaan sähköntoimituksen jatkuvuus ja parantamaan yhtiön prosessien kyberresilienssiä.