Κάθε νέα έκδοση ενημερώσεων ασφαλείας ακολουθείται από νέες ευπάθειες λογισμικού και κάθε προστατευτικός μηχανισμός από νέους φορείς επίθεσης. Συχνά τίθεται λοιπόν το ερώτημα για το αν υπάρχει αποτελεσματική προστασία από το «άγνωστο» και η απάντηση μπορεί να βρεθεί στην απρόσκοπτη αλληλεπίδραση διαφόρων μέτρων προστασίας.

Oops, τα αρχεία σας έχουν κρυπτογραφηθεί!» – μόλις πριν από λίγα χρόνια, ένα από τα πιο διάσημα κακόβουλα λογισμικά παγκοσμίως έγινε πρωτοσέλιδο με αυτές τις λέξεις. Αν και ούτε η φύση της απειλής ούτε η τεχνολογία που χρησιμοποιήθηκε χαρακτηριζόταν από μεγάλη καινοτομία, αυτό το κακόβουλο λογισμικό απέκτησε τεράστια φήμη μέσα σε λίγες ημέρες. Άλλα γνωστά worms και ιοί, όπως το Blaster, το Sasser ή το MyDoom και το Stuxnet, είχαν ήδη προκαλέσει ζημιές δισεκατομμυρίων τα τελευταία δεκαπέντε χρόνια.

Το «διάσημο» λογισμικό σήμερα παραμένει το ransomware WannaCry, παρά το γεγονός ότι άλλα worms είτε μόλυναν σημαντικά περισσότερες συσκευές, προκαλώντας βαρύτερη οικονομική ζημία είτε χρησιμοποίησαν ακόμα πιο εξελιγμένους τρόπους επίθεσης. Τόσο η ταχεία εξάπλωση όσο και ο τύπος των συσκευών που μολύνθηκαν συνέβαλαν στη γρήγορη διάδοση του. Μέσα σε λίγες ώρες, το ransomware εξαπλώθηκε σε πολλά συστήματα υπολογιστών σε πάνω από 150 χώρες και κρυπτογράφησε τα δεδομένα που ήταν αποθηκευμένα σε αυτά. Και ενώ η εξάπλωσή του θα μπορούσε να σταματήσει σχετικά γρήγορα, παραμένει μείζον ζήτημα ότι υπάρχουν κρίσιμα συστήματα που μπορούν πολύ εύκολα να δέχονται επίθεση.

Defence in Depth – τα θεμέλια της αποτελεσματικής στρατηγικής προστασίας
Το πιο σημαντικό βήμα που πρέπει να κάνουν οι επιχειρήσεις είναι να αναμετρηθούν με το θέμα της κυβερνοασφάλειας σε βιομηχανικά περιβάλλοντα. Στη συνέχεια, με την κατάλληλη επαγγελματική υποστήριξη, μπορούν να φτάσουν στην υλοποίηση μιας αποτελεσματικής προσέγγισης για περισσότερη ασφάλεια, βασισμένη στη στρατηγική που περιγράφεται ως Defence in Depth. Η βασική της αρχή είναι η χρήση ενός ευρέος φάσματος διαφορετικών και ανεξάρτητων λειτουργιών και προστατευτικών μέτρων για την απόκρουση μιας ενδεχόμενης επίθεσης. Στόχος είναι είτε η επίθεση να σταματήσει αμέσως είτε να εξασφαλιστεί αρκετός χρόνος, ώστε τα κατάλληλα αντίμετρα να αναπτυχθούν συλλογικά και να τεθούν σε εφαρμογή. Εάν τα προϊόντα αυτοματισμού διαθέτουν επαρκή χαρακτηριστικά ασφάλειας ήδη από τη σχεδίαση και ανάπτυξή τους, τότε αυτή η στρατηγική βασίζεται σε στέρεα θεμέλια.

Για το λόγο αυτό, η ασφάλεια κατά τη διάρκεια του κύκλου ζωής τους, σύμφωνα με το IEC 62443, αποτελεί σταθερό και πιστοποιημένο παράγοντα στις διαδικασίες σχεδίασης και ανάπτυξης των προϊόντων της Siemens Digital Industries. Οι προδιαγραφές της διαδικασίας ανάπτυξης αλλά και η στρατηγική του Defence in Depth – συμπεριλαμβανομένων των διαδεδομένων μηχανισμών όπως τα firewalls ή εφαρμογές για τον εντοπισμό επιθέσεων – περιγράφονται ήδη εκτενώς στο πρότυπο IEC 62443.
Η παρουσίαση ενός σεναρίου που δείχνει ποια πρόσθετα μέσα μπορούν να χρησιμοποιηθούν για την προστασία των συστημάτων παραγωγής από τρόπους επιθέσεων που μας ήταν άγνωστοι έως τη στιγμή της εκδήλωσής τους είναι ιδιαίτερα χρήσιμη.

Πώς μπορεί να γίνει αυτό;
Δυστυχώς, αν και θα ήταν χρήσιμη μια ανάλυση που να εξηγεί όλους τους τρόπους λειτουργίας και όλες τις μεθόδους που χρησιμοποιούν οι φορείς των κυβερνοεπιθέσεων, εντούτοις δεν υπάρχει κάτι τέτοιο. Ωστόσο, από ορισμένες πτυχές στη χρονική ακολουθία των περισσότερων κυμάτων κυβερνοεπιθέσεων, φαίνεται να ακολουθούν ένα αρκετά κοινό μοτίβο. Μετά την αιφνιδιαστική εκδήλωση των πρώτων μολύνσεων, οι ειδικοί ασφαλείας σε όλο τον κόσμο ενεργοποιούνται. Αρχίζουν να αναλύουν τη λειτουργία του κακόβουλου λογισμικού όσο το δυνατόν γρηγορότερα, ώστε να τεθούν σε εφαρμογή κάποια πρώτα αποτελεσματικά αντίμετρα. Τέτοια μέτρα μπορεί να είναι ο περιορισμός των συστημάτων που έχουν μολυνθεί με τη χρήση νέων signatures στα virus scanners και στα deep packet inspection firewalls ή η ενημέρωση με security updates των προγραμμάτων που έχουν πληγεί από την επίθεση.

Παρόλα αυτά, καθώς αυτά τα πρώτα αντίμετρα μπορούν να κυκλοφορήσουν μόνο μετά τον εντοπισμό και την ανάλυση του κακόβουλου λογισμικού, τα υπάρχοντα μέτρα ασφαλείας της άμυνας μας, θα πρέπει να συνεχίζουν την προσπάθεια αποτροπής της αρχικής μόλυνσης. Εάν αλλάξει το μοτίβο της επίθεσης, όπως συνηθίζεται με τις λεγόμενες πολυμορφικές επιθέσεις, ή εάν παρά τους προληπτικούς μηχανισμούς προστασίας, μια μόλυνση μεμονωμένων συστημάτων έχει ήδη συντελεστεί, θα πρέπει να αποκλειστούν οι διαδρομές διάδοσης της μόλυνσης στο δίκτυο και οι όποιες ευπάθειες να κλείσουν οριστικά. Και στις δύο περιπτώσεις, η χρήση ενός κεντρικού συστήματος διαχείρισης δικτύου (Network Management System – NMS) παρουσιάζει σαφή πλεονεκτήματα και συμβάλλει στην επίτευξη της απαιτούμενης διαφάνειας στο δίκτυο.

Εντοπισμός ευπαθειών – έλεγχος επικοινωνιών
Μετά τις πρώτες αναλύσεις των εμπειρογνωμόνων ασφαλείας, γνωστοί κατασκευαστές προϊόντων, όπως η Siemens, δημοσιεύουν ενημερώσεις ασφαλείας με τις οποίες γνωστοποιούν εάν τα προϊόντα τους επηρεάζονται από την ευπάθεια. Ως πρώτο βήμα, με τη βοήθεια του συστήματος διαχείρισης του δικτύου (NMS) και με ελάχιστη προσπάθεια, καταρτίζεται ο κατάλογος των assets του δικτύου – των συσκευών και των συμμετεχόντων στο δίκτυο – και αντιπαρατίθεται με τις πληροφορίες στα security alerts του κατασκευαστή. Σε περίπτωση ταυτοποίησης κάποιας συσκευής ως ευάλωτης στην ευπάθεια, μπορούν να ληφθούν περαιτέρω μέτρα περιορισμού στο δίκτυο της παραγωγής έως ότου καταστούν τελικά διαθέσιμες οι ενημερώσεις ασφαλείας από τους κατασκευαστές για τα επηρεαζόμενα προϊόντα.

Μέχρι την εφαρμογή των ενημερώσεων ασφαλείας, τα εντοπισμένα, ευάλωτα προϊόντα θα πρέπει να προστατεύονται από την απειλή με τον περιορισμό της διάδοσης του κακόβουλου λογισμικού από τα ports, που αφήνουν ανοιχτά τα διάφορα πρωτόκολλα και υπηρεσίες του τοπικού δικτύου. Συνεπώς, το επόμενο βήμα θα είναι να αποκλειστούν αυτά τα πρωτόκολλα και οι υπηρεσίες μέσω των firewalls. Η διαδικασία αυτή μπορεί να γίνει σχετικά εύκολα στη ζώνη μετάβασης μεταξύ office network (ΙΤ) και production network (ΟΤ). Στα firewalls, όμως, με τα οποία γίνεται η τμηματοποίηση (segmentation) και ο διαχωρισμός (segregation) του OT network σε νησίδες (cells), η διαδικασία της εφαρμογής των νέων κανόνων που θα αποτρέπουν τη διασπορά της μόλυνσης είναι αρκετά πιο σύνθετη.

Οι νέοι πρόσθετοι κανόνες θα πρέπει να εφαρμοσθούν σε πολλά firewalls. Θα πρέπει να ενεργοποιηθούν μόνο προσωρινά ή και καθόλου για ορισμένες νησίδες, ώστε να μην επηρεάζεται η διαδικασία παραγωγής. Εάν, ως πρόσθετο μέτρο στο πλαίσιο αυτών των κανόνων έκτακτης ανάγκης, κάποια δευτερεύοντα συστήματα, όπως οι servers καταγραφής των ιστορικών στοιχείων της παραγωγής, χρειάζεται προσωρινά να αποσυνδεθούν πλήρως από το δίκτυο της εγκατάστασης, απενεργοποιώντας interfaces εκτός από τις θύρες του switch ή του router, τότε το μέγεθος της πολυπλοκότητας γίνεται γρήγορα εμφανές. Επομένως, o έλεγχος του firewall από ένα κεντρικό Network Management System προσφέρει στο χρήστη απλές και ευέλικτες επιλογές για τον περιορισμό της επικοινωνίας μεταξύ των νησίδων του δικτύου και για τη διατήρηση της παραγωγής σε λειτουργία.

Ενημερώσεις ασφαλείας – προαπαιτούμενο μακροπρόθεσμης προστασίας
Σίγουρα, οι ενημερώσεις software και firmware που παρέχονται από τους κατασκευαστές πρέπει να εγκαθίστανται εγκαίρως για να προστατεύονται μόνιμα τα ευάλωτα προϊόντα. Ανάλογα με το δίκτυο και την αρχιτεκτονική του συστήματος, αυτό μπορεί να γίνει κατά τη λειτουργία ή σε έναν κύκλο συντήρησης της παραγωγής. Και στις δύο περιπτώσεις, αυτό μπορεί να μεταφράζεται σε σημαντική προσπάθεια. Για τα συστήματα υπολογιστών σε «κλειστά» domains, έχει καθιερωθεί μια παραλλαγή κεντρικής διαχείρισης των updates μέσω των λεγόμενων update servers. Για μια αντίστοιχη δυνατότητα διαχείρισης των updates των συσκευών της δικτυακής υποδομής της εγκατάστασης, όπως switches, routers firewalls κ.λπ., απαιτείται για άλλη μια φορά ένα κεντρικό Network Management System, ώστε με τη γρήγορη εγκατάσταση των updates στις συσκευές να αντιμετωπίζεται γρήγορα και η όποια ευπάθεια.

Στη συνέχεια, οι προσωρινά ενεργοποιημένοι περιοριστικοί κανόνες στα firewalls καθώς και τα αποσυνδεδεμένα συστήματα μπορούν να επανέλθουν σε κανονική λειτουργία, ολόκληρο το δίκτυο παραγωγής μπορεί να χρησιμοποιηθεί σε πλήρη έκταση και πάλι ως συνήθως, με την αρχειοθέτηση των ιστορικών στοιχείων και την επαναφορά των διαγνωστικών, που πριν είχαν διακοπεί. Με την εμπειρία και τις γνώσεις που αποκτούνται από τέτοιου τύπου επιθέσεις, όπως του WannaCry, γίνεται εμφανής η δυναμική που προσφέρει ένα Network Management System: Η αρχική μόλυνση δεν θα είχε ασφαλώς αποτραπεί, όμως η εξάπλωση της στο δίκτυο της εγκατάστασης θα μπορούσε να περιοριστεί σημαντικά έως ότου η ενημερωμένη έκδοση ασφαλείας θα είχε αναπτυχθεί στα ευάλωτα συστήματα.

Συνεπώς, ένα σύγχρονο NMS δεν είναι μόνο για καθαρά διοικητικούς ή διαγνωστικούς σκοπούς. Κυρίως, βοηθά στη διατήρηση της διαθεσιμότητας των εγκαταστάσεων σε καταστάσεις απειλής ως μέρος της στρατηγικής Defence in Depth, σε συνδυασμό με τα firewalls και τα υπόλοιπα μέτρα ασφαλείας. Απέναντι στις κυβερνοεπιθέσεις και στα μεταβαλλόμενα σενάρια επίθεσης, ένα σύστημα διαχείρισης δικτύου μπορεί να προσφέρει αποφασιστικό πλεονέκτημα.

H Siemens παρέχει ολοκληρωμένες συμβουλευτικές υπηρεσίες, ολοκληρωμένες λύσεις και στρατηγικές end-to-end protection για την προετοιμασία των βιομηχανιών έναντι μελλοντικών απειλών.
Siemens A.E.
Αγησιλάου 6-8, 151 23 Μαρούσι
T: 210- 6864111
Ε: [email protected]
W: www.siemens.gr