Az FBI (Szövetségi Nyomozó Iroda) és a Cybersecurity and Infrastructure Security Agency (Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség) legújabb iránymutatásai rávilágítanak az operatív technológiai (OT) környezeteket fenyegető sürgető és folyamatosan változó veszélyre. Közös figyelmeztetésükben a hatóságok arra hívták fel a figyelmet, hogy iráni kapcsolattal rendelkező támadók aktívan kihasználják az internethez kapcsolódó PLC-ket (programozható logikai vezérlőket) az Egyesült Államok kritikus infrastruktúrájának különböző szektorai – többek között a víz- és szennyvízkezelő rendszerek, az energetika és a kormányzati létesítmények – területén. Az AA26-097A számú tanácsadó közlemény kiemeli azt a mintát , amelyet az iparágban sokan már régóta sejtettek, de most már a valós eseményekben is megfigyelhető: ezek a szereplők már nem támaszkodnak szoftveres sebezhetőségekre vagy zero-day kihasználásokra az ipari környezetek befolyásolása érdekében. Ehelyett legitim hozzáférési útvonalakat, natív ipari protokollokat és szabványos mérnöki eszközöket használnak fel a vezérlőrendszerekkel való közvetlen interakcióhoz.
Felfedett vezérlési útvonalak, nem pedig biztonsági rések
Az OT-környezetekre nézve nem a javítatlan sebezhetőségek, hanem a nyitott vezérlési útvonalak jelentik a fő kockázatot. A sebezhetőségek felderítésére, a rendszerek javítására és a rosszindulatú tevékenységek figyelemmel kísérésére épülő hagyományos stratégiák továbbra is fontosak, de a legújabb biztonsági figyelmeztetés egyértelműen rámutat: ha egy támadó bejut az OT-környezetébe, akkor ott szabadon mozoghat.
Számos megfigyelt esetben a támadók képesek voltak közvetlenül csatlakozni az internetre kapcsolt PLC-khez olyan szabványos ipari kommunikációs portok használatával, mint a 44818, 2222, 102 és 502. Széles körben elérhető mérnöki szoftverek segítségével érvényes kapcsolatot létesítettek ezekkel az eszközökkel, és úgy kommunikáltak velük, mintha jogosult kezelők lennének.
Az „elérhető” és a „sebezhető” fogalmak közötti különbségtétel alapvető változást jelent. A kérdés már nem csupán az, hogy egy rendszer sebezhető-e, hanem az, hogy elérhető-e. Ha egy vezérlőrendszerhez hálózaton keresztül hozzá lehet férni, akkor azt működtetni is lehet. És ha működtetni lehet, akkor meg is lehet zavarni.
Hogyan zajlanak a modern OT-támadások
A biztonsági figyelmeztetésben ismertetett támadási módszer egyszerű lépésekből áll:
- Kezdeti hozzáférés: A PLC-k vagy az operatív technológiai (OT) rendszerek külső hálózatoknak való kitettsége, akár közvetlenül, akár távoli hozzáférési csatornákon keresztül, például VPN-eken vagy átjáró-kiszolgálókon keresztül
- Legális eszközökkel történő kapcsolódás: Ezt követően a támadók olyan legális tervezőeszközöket használnak, mint például a Studio 5000 Logix Designer, hogy kapcsolatot létesítsenek az eszközzel. Tervezői munkaállomások, gyártói eszközök vagy natív protokollok (pl. Modbus, EtherNet/IP) használata
- Végrehajtás:
- A vezérlő logika módosítása
- Projektfájlok feltöltése/letöltése
- Parancsok kiadása fizikai folyamatoknak
- Következmények: Működési zavarok, biztonsági kockázatok és esetleges pénzügyi veszteség
Ez a módszer azért hatékony, mert számos hagyományos biztonsági ellenőrzést megkerül. Sem a protokoll, sem az eszköz szintjén nincs semmi olyan, ami önmagában „rosszindulatúnak” minősülne, és így az észlelést kiváltaná.
A hagyományos vezérlőelemek már nem elegendőek
A mai OT-környezetek többsége tűzfalak, VPN-ek, szegmentációs stratégiák és távoli hozzáférés-vezérlők kombinációjára támaszkodik. Bár ezek az intézkedések elengedhetetlenek, vannak velük járó korlátaik:
- A tűzfalak működése a helyes beállítástól és a szabályok kezelésétől függ; emellett tervezésüknél fogva engedélyezik a szükséges protokollokat.
- A VPN-ek és a távoli hozzáférés a hitelesítő adatok integritásán alapulnak
- Az érzékelő- és felügyeleti rendszerek akkor lépnek működésbe, amikor a hozzáférés már létrejött
A CISA által kiemelt esetekben a támadóknak nem kellett hagyományos értelemben megkerülniük ezeket a biztonsági intézkedéseket. Egyszerűen csak a már meglévő hozzáférést használták ki.
Éppen ezért a tanácsadó jelentés kiemelt figyelmet fordít a felesleges kitettség kiküszöbölésére és a hálózati szegmentálás szigorítására.
A szegmentálás és a determinisztikus elszigetelés kombinálása
A szegmentálás már régóta ajánlott bevált gyakorlatnak számít, de nem minden szegmentálás egyforma.
A szoftverek és szabályzatok révén érvényesített logikai szegmentálás csökkentheti a kockázatot, de nem szünteti meg azt teljesen. A helytelen konfigurációk, a hitelesítő adatok megsértése vagy a közvetett hozzáférési útvonalak továbbra is nem szándékos kapcsolatokat hozhatnak létre az IT- és az OT-környezetek között.
A magas kockázatú környezetekben determinisztikus elszigetelésre van szükség.
A támadási útvonal kiküszöbölése egyirányú kommunikációval
Megbízhatóbb megoldás, ha teljesen kizárjuk a bejövő hozzáférés lehetőségét.
Az adatdiódák hardveres, egyirányú kommunikációt biztosítanak a hálózatok között. Ez lehetővé teszi, hogy az üzemeltetési adatok a felügyeleti környezetből kikerüljenek megfigyelési, elemzési vagy megfelelési célokból, miközben technikailag lehetetlenné teszik, hogy bármilyen adat, parancs vagy kapcsolat visszakerüljön oda.
A CISA által leírt támadási minták fényében ez közvetlen hatással jár:
- A távoli parancsok nem jutnak el a PLC-khez
- Egyetlen rendszergazdai eszköz sem tud csatlakozni külső hálózatokról
- A vezérlő környezetbe semmilyen rosszindulatú program vagy jogosulatlan forgalom nem juthat be
Itt nem a rosszindulatú tevékenységek felderítéséről vagy blokkolásáról van szó. Hanem arról, hogy teljesen megszüntessük a lehetőséget.
A CISA ajánlásainak figyelembevétele
A CISA kockázatcsökkentési iránymutatása három alapvető intézkedést emel ki:
- Az OT-eszközök közvetlen internetes kitettségének megszüntetése
- Az IT- és OT-hálózatok közötti szegmentáció megerősítése
- A távoli hozzáférés korlátozása és ellenőrzése
Az egyirányú kommunikációs architektúrák magasabb biztonsági szint mellett valósítják meg ezeket az ajánlásokat azzal, hogy biztosítják: a kritikus vezérlőrendszerekhez nem lehet hozzáférni, még akkor sem, ha a feljebb lévő hálózatok megsérülnek.
OT Security újragondolása: a védelemtől a tervezésig
Az AA26-097A tanácsadó dokumentum rámutat arra, hogy a védelmi stratégiáknak a velük szemben felmerülő fenyegetésekkel együtt kell fejlődniük. Ha a támadóknak már nem kell kihasználniuk a biztonsági réseket, akkor nem elegendő kizárólag az észlelésre és a megelőzésre összpontosítani. A hangsúlyt azokra az architektúra-szintű védelmi intézkedésekre kell helyezni, amelyek egész kockázati osztályokat szüntetnek meg. Az operatív technológiai (OT) rendszerek külső hálózatokról való elérhetetlenné tétele egy ilyen intézkedés.
A biztonság előtérbe helyezése
A CISA legújabb figyelmeztetése rávilágít egy olyan tényre, amelyet a szervezetek már nem hagyhatnak figyelmen kívül:
- A kitettség egyenlő a kockázattal az OT-környezetekben
- Mivel a támadók egyre gyakrabban használják ki a jogos hozzáférést és a rendszerbe épített funkciókat, a leghatékonyabb védelem nem csupán a jobb felügyelet vagy a szigorúbb szabályok, hanem a felesleges kapcsolatok teljes megszüntetése.
- Az operációs rendszerek olyan környezetének megtervezése, amelyeket eleve elérhetetlenné tesznek, már nem csupán elméleti szempontból ajánlott gyakorlat. Ez egyre inkább gyakorlati követelményévé válik az operatív rugalmasság biztosításának.
