Gyakorlati keret a digitális alállomások védelmére

Annak érdekében, hogy a lehető legjobban megértsük, hogyan védjük meg a digitális alállomásokat, vegyük a támadó szemszögét az ipari vezérlőrendszer Kill Chain segítségével. Ez a gyilkolási lánc a támadó akciókat olyan műveletekbe rendezi, amelyek egymásra épülnek, hogy a lánc végén elérjék a tervezett hatást (Ukrajnában példánkban az elektromos áram elvesztése). Céljainkra a gyilkolási lánc tömörített változatát fogjuk használni, amely felvázolja a lépéseket: Előkészítés, Behatolás, Pivot to OT, Execute OT és Attack.

Előkészítés

A támadók azzal kezdik, hogy információt gyűjtenek a célpontjukról. A segédprogramok esetében ez magában foglalhatja az alállomások helyének azonosítását, az SCADA architektúra megértését, a szállítói berendezések kutatását és a hálózati infrastruktúra feltérképezését. A 2015-ös ukrán támadók hónapokig tanulmányozták célpontjaikat. Hasonlóképpen, a 2021-es Colonial Pipeline támadás felderítéssel kezdődött, amely azonosította a sérülékeny VPN-hitelesítő adatokat.

Védekező ellenőrzések: A segédprogramoknak minimalizálniuk kell digitális lábnyomukat azáltal, hogy korlátozzák az alállomások konfigurációira és vezérlőrendszerekre vonatkozó nyilvánosan elérhető A munkavállalói biztonsági tudatosság képzésének hangsúlyoznia kell a működési adatok közösségi médiában vagy szakmai hálózatokon történő túlmegosztásának kockázatát, valamint az érzékeny adatok megfelelő kezelését.

behatolás

A támadók belépnek a célkörnyezetbe. A gyakori belépési módszerek közé tartoznak az adathalász e-mailek, a veszélyeztetett szoftverfrissítések, a fertőzött USB-meghajtók vagy az internetre néző rendszerek kiaknázása. Az ukrán támadók rosszindulatú Microsoft Office-mellékletekkel ellátott adathalászatot alkalmaztak, ami lehetővé tette a BlackEnergy rosszindulatú program telepítését és a további műveletekhez szükséges alapot.

Védekező ellenőrzések: Kövesse a vállalati informatikai kiberbiztonság legjobb gyakorlatait, beleértve a robusztus e-mail biztonsági megoldásokat, fejlett fenyegetésvédelmi és sandboxing képességekkel, vírusellenes és EDR megoldásokat vállalati munkaállomásokhoz, hálózati behatolás-érzékelő rendszereket és biztonsági műveleti központokat (akár házon belüli, akár felügyelt szolgáltatások nyújtása). Győződjön meg arról, hogy az OT-csapatok megfeleljenek a vállalati informatikai kiberbiztonsági stratégiához és naprakészek legyenek azokkal.

Pivot to OT

Miután hozzáférést szereztek a vállalati informatikai hálózatokhoz, a támadók arra törekszenek, hogy kiterjesztsék elérésüket az OT-hálózatokra, mint például a digitális alállomásokon található. Ez általában nem biztonságos távoli hozzáférési megoldások kihasználásával, érvényes felhasználói hitelesítő adatok ellopásával történik a veszélyeztetett informatikai rendszerekből, vagy fertőzött átmeneti eszközök, például telefonok és laptopok használatával történik. A fertőzött USB-meghajtók használata a Stuxnet támadás során az egyik példa arra, hogy még a levegőgátló hálózatok is veszélybe kerülhetnek. Az ukrán támadás során a támadók az informatikai rendszerekből ellopott hitelesítő adatokat használtak az OT hálózatok VPN-kapcsolatokon keresztül történő eléréséhez.

Védekező ellenőrzések: Szigorú irányelvek létrehozása a cserélhető adathordozókra és külső eszközökre. Az összes szoftver és firmware naprakész eszközkészletét tartsa fenn, és frissítse az eszközöket digitálisan aláírt biztonsági javításokkal (amennyire a műveletek lehetővé teszik). A hálózati hozzáférés-vezérlő (NAC) megoldások megakadályozhatják az illetéktelen eszközök csatlakozását az alállomási hálózatokhoz, míg az informatikai és OT hálózatok és az alállomások zónái közötti hálózat megzavarhatja az oldalirányú mozgást. Ipari behatolásérzékelő rendszereket (IDS) telepítsen, amelyek megértik az OT protokollokat és képesek azonosítani a rendellenes kommunikációt. Biztosítsa a távoli hozzáférést többtényezős hitelesítéssel, és gondoskodjon arról, hogy a harmadik fél távoli hozzáférése (jellemzően szállítói karbantartás céljából) hasonlóan biztosított legyen. Távolítsa el az alapértelmezett hitelesítő adatokat minden IED-n, relén és hálózati eszközön, ideális esetben szerepalapú hozzáférés-vezérlést valósítva meg. Végül az OT hálózatok rendszeres sebezhetőségi értékelése segít azonosítani a gyengeségeket a támadók előtt.

Végezze el az OT támadást

Az utolsó szakasz azt jelenti, hogy a támadók elérhetik céljaikat - legyen szó adatlopásról, rendszermanipulációról vagy pusztító cselekedetekről. Ukrajnában ez azt jelentette, hogy a megszakítók kinyitása (alállomás HMI-n keresztül) áramkimaradások keletkezése érdekében. Az ukrán támadók rosszindulatú firmware-feltöltéseket használtak a terepi eszközökkel való kommunikáció megszakítására, miközben szolgáltatásmegtagadási támadásokat hajtottak végre a call center felé, ami késleltetett helyreállítási erőfeszítésekhez vezetett, és csalódott ügyfelek nem kaphatnak válaszokat.

Védekező ellenőrzések: A vezérlőrendszerektől függetlenül működő biztonsági műszeres rendszerek (SIS) telepítése. Tartson offline biztonsági mentéseket a konfigurációkról és ellenőrizze a helyreállítási eljárásokat. Rendszeresen végezzen asztali gyakorlatokat és incidensekre reagáló gyakorlatokat az OT környezetre, hogy biztosítsa a gyors reagálást még akkor is, ha a kiberbiztonsági ellenőrzések meghiúsulnak.

A digitális alállomások védelme során a biztonsági ellenőrzések végrehajtása csak a csata fele, és az elektromos közműveknek össze kell hangolniuk az ellenőrzéseket a megállapított szabályozási és iparági keretekhez, és védekezési intézkedéseket kell feltérképezniük mind a NERC CIP követelményeihez, mind a NIST Cybersecurity keretrendszerhez (CSF).

NERC CIP igazítás

A North American Electric Reliability Corporation Critical Infrastructure Protection (CIP) szabványai kötelező követelményeket támasztanak a tömeges energiarendszerek kiberbiztonságára vonatkozóan. A digitális alállomásokra vonatkozó legfontosabb szabványok a következők:

CIP-004 (személyzet és képzés): A kiberbiztonság legkritikusabb elemére összpontosít: az emberekre. Meghatározza a felvételre, a képzésre és a beszállásra és a beszállásra vonatkozó követelményeket.

CIP-005 (elektronikus Security kerületek): A behatolás elleni védelem és az OT felé fordulás során tárgyalt hálózati szegmentációs és hozzáférés-ellenőrzési intézkedésekkel foglalkozik.

CIP-007 (Rendszerbiztonsági menedzsment): A kiberbiztonság mindennapi „blokkolását és kezelését” foglalja magában: javításkezelés, rosszindulatú programok megelőzése, biztonsági események figyelése és fiókkezelés. Ez magában foglalja a korai felismeréshez nélkülözhetetlen végpont-védelmet, naplózást és sebezhetőségkezelési gyakorlatokat.

CIP-008 (incidens reagálási tervezés): Biztosítja, hogy a szervezetek fejlesztsék, fenntartsák és gyakorolják a támadásokra való reagálási képességüket.

CIP-009 (helyreállítási tervezés): Arra összpontosít, hogy támadás után visszatérjen a „normális” állapotba. Biztosítja a biztonsági mentési eljárások telepítését és ellenőrzését, valamint a helyreállítás rendszeres sebességének és pontosságának tesztelését.

CIP-010 (Konfigurációs változáskezelés): Meghatározza az eszközök alapkonfigurációit, és strukturált változáskezelési folyamatot hoz létre ezekhez az alapvonalakhoz, amely magában foglalja a működési integritás javítástesztelését. Tartalmaz továbbá az időszakos sebezhetőségi értékelésekre vonatkozó követelményeket.

CIP-015 (belső hálózati Security felügyelete): A legújabb CIP szabvány, amelyet 2025 nyarán hagytak jóvá és 2028 októberétől lép hatályba. A CIP-015 célja annak megismerése, hogy mi történik „a vezetéken”: az OT hálózatok figyelemmel kísérése, bármilyen rendellenes tevékenység észlelése és megalapozott válaszadási döntések meghozatala.

NIST CSF integráció

A NIST Cybersecurity keretrendszer rugalmas, kockázatalapú megközelítést biztosít, amely hat alapvető funkció köré szerveződik, amelyek átfogó kiberbiztonsági stratégiát képviselnek:

Kormányozni: A szervezet kiberbiztonsági kockázatkezelési stratégiájának, elvárásainak és politikájának kidolgozása és figyelemmel kísérése.

Azonosítsa: Építsen közös megértést a kiberbiztonsági kockázatokról a rendszerek, eszközök, adatok és emberek között. Tekintse meg a jelenlegi biztonsági testtartást és a kapcsolódó kockázatokat.

Védje: Végezze el a korábban tárgyalt technikai vezérlőket: hálózati szegmentálás, hozzáférés-vezérlés, végpont-védelem stb. Célja, hogy csökkentse a támadási felületet, amelyet a támadó felhasználhat a hálózatban való helyre juttatásához.

Felismerje: Képességek telepítése a rosszindulatú kiberbiztonsági események előfordulásának időben történő helyes azonosítására. Használja a legkülönfélébb eszközökből összesített adatokat a láthatóság kontextusának növeléséhez.

Válasz: A kibertámadás észlelésekor tegyen lépéseket a támadók előrehaladásának tompítása, a hatás enyhítése és végső soron a támadók kiűzése érdekében a hálózatról.

Helyreállítás: A fenyegetés semlegesítése után állítsa vissza az esemény miatt károsodott képességeket vagy szolgáltatásokat. Használja ki a tanulságokat a jövőbeli biztonsági stratégia tájékoztatására.

A NERC CIP, a NIST CSF és a védelmi ellenőrzések kombinálása

Következtetés

A 2015-ös ukrajnai támadás bebizonyította, hogy a digitális alállomások olyan kritikus célpontokat jelentenek, ahol a kiberbiztonsági rések közvetlenül fizikai következményekkel járhatnak. A támadó gyilkolási láncának megértésével és a réteges védelmi segédprogramok megvalósításával azonban jelentősen csökkentheti kockázati profiljukat. Az informatikai és az OT-csapatok részvétele és a stratégia átgondolt alkalmazása révén a digitális alállomások kivételesen erős biztonsági alapokra helyezhetők, és felkészülhetnek arra, amit a támadók ezután próbálhatnak ki.