I den första delen av det här inlägget presenterade vi redan ett NIDS (system för att avslöja obehöriga intrång i nätverk) som en förebyggande lösning mot ransomware-attacker mot operativ teknik (OT). Nu ska vi titta närmare på hur det går till.
En huvudregel är att ett NIDS inte ersätter standardverktyg för cybersäkerhet såsom brandväggar, autentisering, VPN och nätverkssegmentering. Dessa standardåtgärder är fortfarande tillförlitliga när det gäller att upptäcka och blockera majoriteten av attackerna, så länge de är signaturbaserade och ingår i verktygets bibliotek. Ett NIDS skapar ett tillägg för attacker som inte finns dokumenterade i standardverktygens signaturbibliotek, alltså attacker som standardverktygen inte kan upptäcka. Detta kan inkludera attacker där man använder nya infiltrationsmetoder såsom dagnollattacker eller andra tekniker, som exempelvis riktat nätfiske – attacker som traditionella säkerhetsåtgärder, såsom autentisering och brandväggsfilter, inte kommer åt. Med tanke på OT-komponenternas och OT-systemens höga sårbarhet och det ovan beskrivna hotlandskapet, som utvecklas snabbt, blir detta tillägg allt viktigare för OT-säkerhet.
Ett sådant NIDS som Rhebo Industrial Protector från L+G-företaget Rhebo består av OT-övervakning med avvikelsedetektion där systemet analyserar all OT-kommunikation och rapporterar eventuella aktiviteter som avviker från den deterministiska och godkända OT-kommunikationen. Det utgör en andra försvarslinje i cybersäkerheten, så att de säkerhetsansvariga kan upptäcka attacker som har tagit sig in i nätverket och redan smyger runt inuti det.
Genom att upptäcka förberedande aktiviteter kan kryptering förebyggas
Två ofta omnämnda verkliga exempel på sådana cybersäkerhetsincidenter är attackerna med ransomware-programvaran WannaCry 2017, där en dåvarande sårbarhet i EternalBlue utnyttjades, och fallet Colonial Pipeline 2021, då angriparna använde ett stulet VPN-lösenord. I båda fallen överlistades brandväggar och autentiseringsåtgärder. Trots att båda attackerna var riktade mot IT hade de mycket negativa effekter i vissa företags industriella processer på grund av kopplingen mellan IT och OT.
WannaCry
Innan WannaCry lamslog verksamheten i tusentals företag runtom i världen hade den redan lämnat spår av sin förberedande kommunikation i nätverken. Detta beror på att WannaCry har en avstängningsmekanism där den försöker kontakta en domän så fort den har infekterat den första apparaten, och därefter börjar den söka igenom det lokala nätverket och olika slumpvalda internetadresser. Detta inkluderar Windows-system som har blivit vanliga även i OT-miljöer.
Ett system för nätverksövervakning med avvikelsedetektion skulle ha upptäckt genomsökningen av ändpunkterna via port 445 med SMB-protokollet samt ofullständig TCP. Innan WannaCry aktiverades kommunicerade den dessutom vanligtvis med avstängningsdomänen utanför företagets nätverk. Anslutningen till domänen och den efterföljande kommunikationen skulle ha rapporterats som en avvikelse från OT-kommunikationens normala struktur. Implementeringen av motåtgärder skulle ha påskyndats för att lindra attackens effekter.
Colonial Pipeline-incidenten
Innan angriparna krypterade Colonial Pipelines servrar och orsakade ett driftsstopp i företagets huvudrörledning hade de redan lämnat flera spår efter sig i nätverket. För det första överfördes 100 GB data till en okänd IP-adress. För det andra upprättade en okänd extern IP-adress en VPN-anslutning. I ett OT-nätverk skulle sådana aktiviteter genast ha rapporterats som avvikelser av ett system för OT-övervakning med avvikelsedetektion, vilket skulle ha gett de säkerhetsansvariga tid på sig att förhindra eventuella ytterligare skadliga aktiviteter.
I Colonial Pipelines fall var det endast IT som påverkades direkt. Företaget valde dock att stänga av sina OT-system för att förhindra ransomware-infektionen från att fortsätta sprida sig. Detta var visserligen en rimlig åtgärd, men det ledde till en stor brist på olja och gas samt förlorade inkomster. Om företaget hade haft ett system för OT-övervakning med avvikelsedetektion hade det snabbt kunnat kontrollera sina OT-nätverk för att upptäcka eventuella aktiviteter som tyder på skadlig aktivitet. På så sätt hade de säkerhetsansvariga kunnat vara säkra på om infektionen hade spridit sig till OT eller inte, och de hade då kunnat besluta om OT-driften utifrån fakta istället för antaganden.
Se till att OT är fri från infektion
Båda funktionerna – att upptäcka skadlig aktivitet i OT i realtid och att snabbt kunna bedöma om det finns en risk för OT när en ransomware-attack sker mot IT – kan avgöra om en attack mot ett nätbolag leder till strömavbrott. I juni 2022 drabbades det tyska företaget Entega av en ransomware-attack. Det fanns risk för att attacken skulle sprida sig till Entegas dotterbolag, nätbolaget e-netz Südhessen, vilket skulle ha påverkat strömförsörjningen till en miljon människor. Nätbolaget bad omedelbart L+G-företaget Rhebo att genomföra en Rhebo Industrial Security Assessment, som omfattade analys av OT-kommunikationen från den senaste månaden. Inom ett dygn kunde e-netz säkerhetschef pusta ut. I OT fanns varken några spår av ransomware-infektion eller några tecken på skadlig aktivitet som kunde kopplas till attacken.
I sin bedömning hittade Rhebo dock några sårbarheter och risker som säkerhetschefen kunde åtgärda efter incidenten.
På så sätt lyckades han hindra driftsstopp, säkra strömförsörjningen och öka cybersäkerheten i nätbolagets industriella processer.
