2025 decemberének végén a lengyel kritikus energetikai infrastruktúrát – ideértve a szélerőmű- és napenergia-parkokat, a kapcsolt hő- és villamosenergia-termelő erőműveket, valamint az ipari rendszereket – összehangolt kibertámadás érte, amelyet feltehetően állami szponzorált hackerek hajtottak végre.
Íme egy rövid összefoglaló arról, mit sikerült elérniük a támadóknak:
- A támadók az alapértelmezett hitelesítő adatok felhasználásával és többfaktoros hitelesítés nélkül nyerték el a kezdeti hozzáférést a védelem nélküli VPN- és tűzfal-eszközökön (pl. Fortinet hardverek) keresztül
- Miután bejutottak, elérték az OT- és ICS-rendszereket, és olyan pusztító „wiper” kártevő szoftvert telepítettek, amelynek célja a vezérlőkön és a HMI-ken található fájlok törlése vagy megrongálása volt
- A támadás megszakította a kommunikációt és a felügyeletet a létesítmények és a hálózatüzemeltetők között, megrongálta a firmware-t, sőt egyes ICS-eszközöket véglegesen tönkretett – áramkimaradást azonban nem okozott.
Hogyan segíthettek volna az adatdiódák
Az adatdióda egy olyan kiberbiztonsági hardvereszköz, amely egyirányú adatáramlást biztosít, vagyis az adatok fizikailag csak egy irányba – az egyik hálózatról a másikra – haladhatnak, visszafelé történő adatátvitelre nincs lehetőség. Nézzük meg, milyen módokon akadályozhatta volna meg az adatdióda ezt a támadást.
1. A működési hálózatokhoz való jogosulatlan hozzáférés megakadályozása
Az OT- és ICS-eszközök a hálózaton keresztül elérhetők voltak, mivel a külső hálózati eszközök (például a VPN-átjárók) ezekbe a környezetekbe vezettek. Amennyiben használtak adatdiódákat, azokat a következő eszközök között alkalmazhatták:
- Az internethez kapcsolódó hálózat és a vállalati IT-szegmens
- A vállalati IT-szegmens és az OT/ICS-terület
Ha a dióda be van építve, akkor még abban az esetben sem juthatna kétirányú hálózati forgalom az OT-térbe, ha a támadók feltörnék a VPN-szolgáltatást.
Ez azt jelenti, hogy ha a hitelesítő adatokat ellopták volna, a támadók nem tudnának parancsokat vagy kártékony kódokat küldeni a dióda mögötti rendszerekbe, mivel a dióda fizikailag megakadályozza a forgalom bejutását abba a zónába.
2. A felügyeleti/vezérlő csatornák védelme
Egyes rendszerek (például a hálózatfelügyeleti irányítópultok vagy a történeti adatszolgáltató szerverek) gyakran igényelnek adatokat az ICS-ből, de soha nem kell visszaparancsokat küldeniük. Egy adatdióda használatával az OT-adatok biztonságosan továbbíthatók a felügyeleti rendszereknek, és semmilyen külső vagy vállalati domainhez tartozó rendszer nem kezdeményezhet forgalmat az OT-eszközök felé.
Ez az ipari környezetben alkalmazott védelmi architektúra egyik kulcsfontosságú eleme, ahol a forgalomnak egyirányúnak kell lennie.
3. Az oldalirányú elmozdulás elleni merevítés
Ebben a támadásban a támadók, miután bejutottak a hálózatba, oldalirányban terjedtek tovább – a behatolási pontoktól a háttérben lévő Windows-doménekbe és az OT-vezérlőkhöz. Ha adatdióda lett volna a rendszerben, a hálózati szegmentációt fizikailag is érvényre juttatták volna. Az adatdióda emellett biztosította volna, hogy az air gap-eket egyirányú adatáramlás révén biztonságosan ellenőrizzék.
Még ha egy támadónak sikerülne is bejutnia egy szegmensbe, nem tudna eljutni a többi szegmensbe, ha azokat egyirányú korlátok védik.
Többszintű kiberbiztonság
Fontos szem előtt tartani, hogy az adatdiódák bevezetése az OT-kiberbiztonsági stratégia kulcsfontosságú eleme, de nem az egyetlen.
- Erős hitelesítés érvényesítése
- A szoftveres biztonsági résekkel és a helytelen beállításokkal kapcsolatos legfrissebb információk nyomon követése
- Ne feledjük, hogy a diódák a hálózat tervezésének szempontjából fontosak, nem pedig felügyeleti eszközök
Más szavakkal: a diódák leghatékonyabban egy többszintű védelmi stratégia részeként működnek, amelyet a következő elemekkel kell kombinálni:
- Kiváló referenciák és MFA-diploma
- A frissítések megfelelő telepítése és a firmware ellenőrzése
- Hálózati szegmentálás és a legkisebb jogosultság elve
- Rendellenesség- és behatolásérzékelő rendszerek
Csináld vagy dióda
Az adatdiódák fizikai, kényszerített egyirányú adatáramlást biztosítanak, ezzel védve a kritikus környezetet, és jelentősen megnehezítve a támadók számára az ipari rendszerek elérését és irányítását, még akkor is, ha sikerül áttörniük a külső védelmi eszközöket. Lengyelország esetében – ahol a hackerek az internetre kapcsolt rendszereket használták ki, majd oldalirányban behatoltak a vezérlő hardverekbe – az adatdiódák stratégiai bevezetése a következőket eredményezhette volna:
- Az OT-szegmensekbe vezető támadási útvonalak blokkolása
- Megakadályozták a rosszindulatú parancsok és kártevő programok ICS-be történő bejuttatását
- A romboló cselekmények hatókörét korlátozták
Az OPSWATMetaDefender Optical Diode termékcsaládja számos formátumot és konfigurációt kínál, amelyek kifejezetten arra lettek tervezve, hogy ott nyújtsanak védelmet, ahol Önnek szüksége van rá. Vegye fel a kapcsolatot szakértőinkkel még ma, és fedezze fel, hogyan tudják diódáink vagy egyirányú átjáró megoldásaink biztosítani kritikus környezeteinek biztonságát.
