Blackout po ataku na Ukrainę, ochrona infrastruktury i wsparcie państwa. Jak zabezpieczyć sieci energetyczne przed cyberatakiem?

Wtorek, 29 Listopada 2016, 12:09

Pierwszy atak cybernetyczny, wskutek którego doszło do blackoutu, miał miejsce na Ukrainie, atakujący dość dobrze ukrywali swoje działania i posiadali szerokie rozpoznanie systemów. W celu zwiększenia ochrony konieczne jest nie tylko posiadanie odpowiedniej technologii, ale też prowadzenie badań świadomość użytkowników czy regulacje prawne – wskazują eksperci. Podczas II Forum Bezpieczeństwa Sieci Technologicznych paneliści rozmawiali bezpieczeństwie fizycznym i cyfrowym infrastruktury energetycznej, najnowszych trendach w cyberatakach oraz o innowacyjnych sposobach ochrony przed nimi.

Podczas pierwszego panelu zatytułowanego Cyberzagrożenia vs Cyberbezpieczeństwo, który odbył się podczas II Forum Bezpieczeństwa Sieci Technologicznych paneliści rozmawiali o głównych problemach w biznesie i administracji w podejściu do cyberbezpieczeństwa, cyberbezpieczeństwie sieci technologicznych oraz roli NC Cyber.

Pierwszym z panelistów był Paweł Skowroński z KPMG, który wygłosił prezentację zatytułowaną: „Bezpieczeństwo sieci technologicznych z perspektywy biznesu i administracji”. Stwierdził on, że nie ma obecnie pełnego zrozumienia bezpieczeństwa pomiędzy zaangażowanymi stronami: biznesem i administracją oraz służbami. Mają one inne priorytety.

Główne problemy, które spotyka się we wzajemnej komunikacji to: brak wspólnego języka i precyzyjnych regulacji i standardów. Skowroński zauważył również, że nie stworzono historii ataków w organizacji (w Polsce nie były prowadzone na ten temat żadne badania). Można tutaj skorzystać z doświadczeń sąsiadów: w Niemczech doszło do ataku na hutę stali, a na Ukrainie na elektrownię. Ponadto zarówno osoby w administracji, jak i biznesie nie rozumieją aktualnych trendów, ryzyka oraz konsekwencji przełamania zabezpieczeń.

Odwiecznym problemem jest też niedobór funduszy. Procent organizacji, które nie wykonały weryfikacji bezpieczeństwa systemów komputerowych w ostatnich 12 miesiącach wynosi 31. Mamy również do czynienia z niejasnym podziałem odpowiedzialności, dlatego tak trudno nam się porozumieć. Problemem jest też niejasny podział odpowiedzialności. Według badań przeprowadzonych przez Instytut Sans główną winę ponoszą hakerzy. Nie do końca jesteśmy w stanie ustalić źródło zagrożenia. Ostatecznym celem zarówno biznesu, jak i administracji powinno być kompleksowe bezpieczeństwo jednostek.

Następną prezentację przedstawił Grzegorz Bojar z PSE. Dotyczyła ona cyberbezpieczeństwa systemów technologicznych spółki.

W prezentacji zauważono, że pierwsze ataki na infrastrukturę krytyczną miały miejsce w 1982 roku. Systemy technologiczne są cały czas atrakcyjnym celem ataków. Doszło już do udanych ataków na samochody, na przedsiębiorstwo naftowe Saudi Aramco czy do pierwszego blackoutu spowodowanego atakiem cyfrowym, który miał miejsce ostatnio na Ukrainie.

W dalszej części prezentacji Grzegorz Bojar przedstawił następujące ustalenia dotyczące ataku na Ukrainę. Złośliwe oprogramowanie przebywało w sieciach ponad 6 miesięcy, a zaatakowane zostały 3 lokalizacje dystrybucyjne oraz call center, na które przypuszczono atak DDoS. Sprawcy posiadali zaawansowane rozpoznanie systemów, dość dobrze ukrywali również swoje działania.

Ostatnie ataki wykorzystują przejęcie uprawnień, a nie wykryte podatności. W celu przeprowadzenia skutecznego ataku koniecznie jest rozpoznanie celu i najłatwiej to zrobić, gdy atakujący posiada jakiś dostęp. Najlepszą drogą ataku jest tzw. HMI (Human Machine Interface). Większość z ostatnich operacji korzystało z podstawowych technik atakowania.

Grzegorze Bojar omówił również ochronę perymetryczną i przedstawił rolę, jaką ona odgrywa:

  • zapobieganie wtargnięciu przez intruza,
  • wykrycie intruza,
  • wywołanie określonego działania na takie zdarzenia

Ponadto wzmacniać obronę może tzw. technika cebuli, czyli im więcej warstw ochronnych, tym lepiej.

Trzecią prezentację na panelu wygłosił Juliusz Brzostek z NASK, który mówił o miejscu NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa. Swoją prezentację rozpoczął on od przedstawienia, czym jest NC CYBER. Ma to być dwuwymiarowa platforma współpracy na rzeczy podniesienia stanu bezpieczeństwa cyberprzestrzeni RP. Stanowi solidne zaplecze dla Ministerstwa Cyfryzacji w zakresie dążenia do zapewnienia najwyższego poziomu bezpieczeństwa w cywilnej cyberprzestrzeni RP zarówno na poziomie strategiczno-politycznym, jak i operacyjnym.

NC Cyber składa się z 4 działów, a budżet operacyjny ma wynieść około 8–9 mln złotych. W skład NC Cyber wchodzi SOC, gdzie operatorzy 24 godziny przez 7 dni w tygodniu monitorują sieci, przyjmują zgłoszenia o incydentach, współpracują z partnerami operatorów usług kluczowych, policją, prokuraturą m.in. w dzieleniu się informacjami oraz przedstawiają oceny stanu bezpieczeństwa, automatyczną analizę ryzyka oraz działania zmierzające do obniżenia poziomu niebezpieczeństwa. Drugim filarem jest CERT Polska, który odgrywa rolę centrum wymiany informacji oraz zaawansowanych analiz i platformy współpracy analitycznej. Pozostałe dwa to polityki i standardy oraz szkolenia i ćwiczenia.

Podczas drugiego panelu zatytułowanego: „Krytyczne elementy systemów technologicznych wymagające zabezpieczeń”, który odbył się podczas II Forum Bezpieczeństwa Sieci Technologicznych paneliści rozmawiali o bezpieczeństwie fizycznym informatycznej infrastruktury krytycznej i kompleksowej ochronie infrastruktury

Pierwszym panelistą był doktor Łukasz Kister z PSE, który wygłosił prezentację zatytułowaną: „Bezpieczeństwo fizyczne informatycznej infrastruktury krytycznej”.

W skład informatycznej infrastruktury krytycznej wchodzą centra przetwarzania danych, punkty sterowania, sieci wewnętrzne, gdzie przesyłane są kluczowe dane, sieci rozległe, które wychodzą poza nasze obiekty i mamy nad nimi mocno ograniczony nadzór, oraz punkty dostępowe systemu, często bardzo rozproszone.

Wśród zagrożeń doktor wymienił ograniczenie dostępu do informacji, utratę informacji w tym tzw. pozorną utratę informacji, która polega na tym, że tracimy do niej wyłączność oraz ulega ona zniekształceniu.

W ramach strategii zabezpieczeń dr Kister wymienił identyfikację zagrożeń, analizę podatności, wycenę ryzyka. W podsumowaniu zauważył, że w Polsce nie doszło do żadnych blackoutów, co w jego opinii jest spowodowane wysokim poziomem bezpieczeństwa infrastruktury energetycznej w Polsce.

Druga prezentacja przedstawiona przez Pawła Franka z SEQUENCE Security była zatytułowana: „Kompleksowa ochrona infrastruktury krytycznej”. Franka wyraził obawę o bezpieczeństwo systemów SCADA oraz powiedział, że koniecznie jest dostosowanie rozwiązań do specyfiki polskiego rynku.

W dalszej części prezentacji mówca skupił się na wymienieniu typowych dla sektora energetycznego scenariusza zagrożeń. Pierwszy etap polega na kradzieży danych uwierzytelniających, które zostają użyte do instalacji złośliwego oprogramowania lub narzędzi zdalnego dostępu dającego kontrolę nad urządzeniami sieci przesyłowej przez internet.

Franka zwrócił również uwagę na zagrożenie ze strony wbudowanego oprogramowania (firmware) w kamerach, routerach i modemach.

Swoją prezentację zakończył, mówiąc, że kwestia ataku to pytanie o znajomość swoich zasobów i polityk bezpieczeństwa, w ramach których wyróżnia się topologię sieci, aplikacje, protokoły zależności i podatności.

Podczas panelu dyskusyjnego dr Łukasz Kister z PSE mówił o zagrożeniu dla zarządzania automatyką przemysłową ze strony niezweryfikowanych osób. Wskazał również na brak pomocy ze strony instytucji państwa, w tym zakresie. Nie ma świadomości, ile osób ma dostęp, czy nie znajdują się wśród nich osoby o wysokim poziomie ryzyka, np. radykalizacją religijną czy polityczną. Panelista zdefiniował również cel PSE, którego priorytetem będzie odseparowanie od systemów zewnętrznych.

Paweł Franka starał się przedstawić, jak myśli haker. Początkowo taka osoba przeprowadza badanie systemów bezpieczeństwa oraz zabezpieczeń, jakie posiada cel ataku. Następnie przystępuje do napisania odpowiedniego oprogramowania. Kolejnym etapem jest znalezienie informacji na temat pracowników w sieciach społecznościowych i wysłanie dedykowanego maila z załączonym złośliwym oprogramowaniem. Szacuje się, że luki zero-day exploit zostają wykryte dopiero 206 dni po wejściu do systemów przez atakującego.

Dr Kister dodał, że Estonia została w 2007 roku unicestwiona atakiem cyfrowym i od tego czasu intensywnie inwestowała w zabezpieczenia systemów komputerowych. Polska nie została dotknięta podobnymi atakami, które miały również miejsce w Niemczech, Wielkiej Brytanii czy Francji, co jest dość dziwne, biorąc pod uwagę niższy poziom świadomości. Dodał on, że samo przyjęcie ustawy o cyberbezpieczeństwie nie spowoduje automatycznie, że staniemy się bezpieczni w cyberprzestrzeni.

Podczas trzeciego panelu zatytułowanego „Skala i tempo wzrostu zagrożeń sieci technologicznych”, który odbył się podczas II Forum Bezpieczeństwa Sieci Technologicznych, paneliści rozmawiali o zagrożeniu atakiem DDoS, sposobach zainfekowania sieci oraz ich przeciwdziałaniu.

Pierwszą prezentację zatytułowaną: „100M pakiet/sek, czyli jak radzić sobie z atakami DDoS”, wygłosił Przemysław Frasunek z Atende Software. Mówił on, że popularność ataków DDoS wynika z tego, że jest to prosty, tani i skuteczny sposób atakowania. Dodatkowo nie wiadomo, kto stoi za atakiem. Nie trzeba być nawet specjalistą, żeby je przeprowadzać, ponieważ istnieją gotowe programy. Atak DDoS polega na przeciążeniu funkcjonowania serwerów.

Z roku na rok rośnie liczba ataków DDoS, które są również coraz większe. Wynika to w dużej mierze z upowszechnienia ataków z wykorzystaniem botnetów składających się z urządzeń IoT. We wrześniu mieliśmy do czynienia z atakiem na blog Briana Krebsa, który osiągnął rozmiary 660 gigabajtów na sekundę. W październiku podczas ataków na Dyn ich rozmiar osiągnął 1200 gigabajtów na sekundę, co wpłynęło na funkcjonowanie serwisów Netflix, Paypal, Spotify czy Twitter.

Zdaniem panelisty w przyszłości wzrośnie liczba botnetów składających się z IoT ze względu na miliony zapomnianych, nieaktualizowanych urządzeń. Ataki DDoS będą jeszcze częściej wykorzystywane do odcinania największych firm oraz całych krajów. Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się wygrać z tym problemem.

Drugą prezentację wygłosił Seweryn Jodłowski z Palo Alto, który mówił o rozwoju zagrożeń i ich mitygacji. Większość ataków ukierunkowana jest na użytkowników końcowych i stacje końcowe. Typowy cykl życia atakującego składa się ze zwabienia użytkownika, następnie zainfekowania jego maszyny i uruchomienia złośliwego kodu. Potem następuje eksploracja zasobów i ich kradzież.

Systemy komputerowe mogą być zainfekowane z wykorzystaniem Exploit Kits czy też załączników w wiadomościach poczty elektronicznej jak np. dokumentów PDF czy Microsoft Office, czy plik .JS, jak również linków URL w mailu. Dodatkowo używa się zaawansowanych narzędzi wykorzystujących podatności aplikacji i systemów operacyjnych w celu cichej infekcji komputerowej ofiary w momencie wizyty na stronie WWW.

Najbardziej niebezpieczną bronią przeciwko przedsiębiorstwom są załączniki zawierające pliki PDF i Word ze złośliwym oprogramowaniem. Biorąc pod uwagę, że cała komunikacja w firmie opiera się na nich, trudno je zablokować. Wektory ataków w złośliwych dokumentach bazują na makrach i na wykorzystanie expoitów.

W celu zwiększenia ochrony przed tymi atakami zaleca się blokadę nieznanych i potencjalnie złośliwych URL, blokowanie znanych zagrożeń sygnatury, blokowanie niebezpiecznych typów plików oraz wykorzystanie środowiska Sandbox do analizy nieznanych plików.

W czasie dyskusji zwrócono uwagę, że w internecie przestępczość rośnie szybciej niż prawo Moore’a. Zauważono, że antywirusy nie są zbyt skuteczne, ponieważ są w stanie wyłapać tylko 45% złośliwego oprogramowania. Należy więc zastosować proceduralne oraz proaktywne rozwiązania wspierające nasze bezpieczeństwo.

Czytaj też: Ekspert: Konieczne odizolowanie sieci przemysłowych [Cyberdefence24.pl TV]

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz