Recomandările recente ale Biroului Federal de Investigații (FBI) și ale Agenției pentru Securitatea Cibernetică și a Infrastructurii (CISA) evidențiază o amenințare urgentă și în continuă evoluție la adresa mediilor OT. Într-un aviz comun, agențiile au avertizat că actorii rău intenționați afiliați Iranului au exploatat în mod activ controlerele logice programabile (PLC) conectate la internet din sectoarele de infrastructură critică ale SUA, inclusiv sistemele de alimentare cu apă și de canalizare, sectorul energetic și instalațiile guvernamentale. Avizul, AA26-097A, evidențiază un model pe care mulți din industrie îl bănuiau de mult timp, dar care este acum observat în incidente reale: acești actori nu se mai bazează pe vulnerabilități software sau exploatări zero-day pentru a afecta mediile industriale. În schimb, ei utilizează căi de acces legitime, protocoale industriale native și instrumente de inginerie standard pentru a interacționa direct cu sistemele de control.
Căi de control expuse, nu vulnerabilități
Căile de control expuse, și nu vulnerabilitățile neacoperite, reprezintă riscul principal pentru mediile OT. Strategiile tradiționale axate pe identificarea vulnerabilităților, aplicarea patch-urilor și monitorizarea comportamentelor rău intenționate rămân importante, dar cel mai recent aviz arată clar: dacă un atacator poate pătrunde în mediul OT, acesta poate acționa în interiorul acestuia.
În numeroase cazuri observate, atacatorii au reușit să se conecteze direct la PLC-urile conectate la internet folosind porturi de comunicații industriale standard , precum 44818, 2222, 102 și 502. Folosind programe de inginerie ușor accesibile, aceștia au stabilit sesiuni valide cu aceste dispozitive și au interacționat cu ele ca și cum ar fi fost operatori autorizați.
Distincția dintre „accesibil” și „vulnerabil” reprezintă o schimbare fundamentală. Problema nu mai este doar dacă un sistem este vulnerabil, ci dacă este accesibil. Dacă un sistem de control poate fi accesat prin rețea, acesta poate fi controlat. Iar dacă poate fi controlat, poate fi și perturbat.
Cum sunt executate atacurile OT moderne
Modelul de atac descris în aviz urmează o traiectorie simplă:
- Acces inițial: expunerea controlerelor logice programabile (PLC) sau a sistemelor OT la rețele externe, fie direct, fie prin intermediul unor căi de acces la distanță, cum ar fi rețelele VPN sau serverele intermediare
- Interacțiunea prin mijloace legitime: de aici, atacatorii utilizează instrumente de proiectare legitime, precum Studio 5000 Logix Designer, pentru a iniția conexiuni cu dispozitivul. Utilizarea stațiilor de lucru de proiectare, a instrumentelor furnizorilor sau a protocoalelor native (de exemplu, Modbus, EtherNet/IP)
- Execuție:
- Modificarea logicii de control
- Încărcarea/descărcarea fișierelor de proiect
- Transmiterea comenzilor către procesele fizice
- Impact: perturbări operaționale, riscuri legate de siguranță și posibile pierderi financiare
Ceea ce face ca această abordare să fie eficientă este faptul că ocolește multe dintre măsurile tradiționale de securitate. Nu există nimic „malicios” în sine la nivel de protocol sau de instrument care să declanșeze detectarea.
Mijloacele tradiționale de control nu mai sunt suficiente
În prezent, majoritatea mediilor OT se bazează pe o combinație de firewall-uri, rețele VPN, strategii de segmentare și mecanisme de control al accesului la distanță. Deși sunt necesare, aceste măsuri prezintă anumite limitări inerente:
- Firewall-urile depind de o configurare corectă și de gestionarea regulilor; de asemenea, ele permit accesul protocoalelor necesare prin natura lor.
- Rețelele VPN și accesul la distanță se bazează pe integritatea datelor de autentificare
- Sistemele de detectare/monitorizare intră în funcțiune după ce accesul a fost deja stabilit
În scenariile prezentate de CISA, atacatorii nu au fost nevoiți să ocolească aceste măsuri de securitate în sensul convențional al cuvântului. Ei au folosit pur și simplu accesul de care dispuneau deja.
De aceea, recomandarea pune un accent deosebit pe eliminarea expunerilor inutile și pe consolidarea segmentării rețelei.
Combinarea segmentării și a izolării deterministe
Segmentarea este de mult timp considerată o bună practică recomandată, dar nu toate tipurile de segmentare sunt la fel.
Segmentarea logică, aplicată prin intermediul software-ului și al politicilor, poate reduce riscul, dar nu îl elimină. Configurațiile incorecte, compromiterea datelor de autentificare sau căile de acces indirecte pot genera în continuare conexiuni neintenționate între mediile IT și OT.
În mediile cu risc ridicat este necesară izolarea deterministă.
Eliminarea căii de atac prin comunicarea unidirecțională
O abordare mai eficientă constă în eliminarea completă a posibilității de acces din exterior.
Diodele de date asigură o comunicare unidirecțională, bazată pe hardware, între rețele. Acest lucru permite ca datele operaționale să părăsească mediul de control în scopuri de monitorizare, analiză sau conformitate, făcând în același timp imposibilă din punct de vedere tehnic revenirea oricăror date, comenzi sau conexiuni în interiorul acestuia.
În contextul tiparelor de atac descrise de CISA, acest lucru are un impact direct:
- Nicio comandă transmisă de la distanță nu poate ajunge la PLC-uri
- Niciun instrument de inginerie nu se poate conecta din rețelele externe
- Niciun program malware și niciun trafic neautorizat nu pot pătrunde în mediul de control
Nu este vorba despre detectarea sau blocarea activităților rău intenționate. Este vorba despre eliminarea completă a acestei posibilități.
În conformitate cu recomandările CISA
Ghidul CISA privind măsurile de atenuare pune accentul pe trei acțiuni esențiale:
- Eliminarea activelor OT din expunerea directă la internet
- Consolidarea separării dintre rețelele IT și OT
- Restricționarea și controlul accesului de la distanță
Arhitecturile de comunicare unidirecționale pun în practică aceste recomandări la un nivel mai ridicat de siguranță, garantând că sistemele critice de control nu pot fi accesate, chiar și în cazul în care rețelele din amonte sunt compromise.
O nouă abordare a OT Security: de la apărare la proiectare
Avizul AA26-097A susține că ipotezele defensive trebuie să evolueze odată cu amenințările pe care le vizează. Dacă atacatorii nu mai au nevoie să exploateze vulnerabilitățile, atunci concentrarea exclusivă pe detectare și prevenire nu mai este suficientă. Prioritatea trebuie să se îndrepte către măsuri de control la nivel de arhitectură care elimină categorii întregi de riscuri. Una dintre aceste măsuri este aceea de a face sistemele OT inaccesibile din rețelele externe.
Prioritatea acordată securității
Cel mai recent aviz al CISA subliniază o realitate pe care organizațiile nu o mai pot ignora:
- Expunerea echivalează cu riscul în mediile de terapie ocupațională
- Pe măsură ce atacatorii exploatează din ce în ce mai mult accesul legitim și funcționalitățile native, cea mai eficientă măsură de apărare nu constă doar într-o monitorizare mai bună sau în politici mai stricte, ci în eliminarea completă a conexiunilor inutile.
- Proiectarea mediilor OT astfel încât să fie inaccesibile prin natura lor nu mai reprezintă doar o bună practică teoretică. Aceasta devine o cerință practică pentru asigurarea rezilienței operaționale.
