Czego nauczyłem się, oceniając sieci OT

1. Identyfikacja zagrożeń bezpieczeństwa 

Patrząc na swoją sieć OT, klienci zawsze pytają nas: „Jak sądzicie, na jakie zagrożenia bezpieczeństwa jesteśmy narażeni?”  

Dysponując gromadzoną przez wiele lat wiedzą z zakresu bezpieczeństwa cybernetycznego i 20-letnim doświadczeniem w dziedzinie systemów automatyki stosowanych w energetyce i sieciach SCADA, nadal mamy problemy z udzieleniem odpowiedzi na to pytanie. 

W poszukiwaniu satysfakcjonujących odpowiedzi, spędziliśmy trzy lata (2017–2020), oceniając elektrownie i stacje energetyczne na wszystkich kontynentach, od Szwajcarii po Indie, od Stanów Zjednoczonych po Namibię. Zgromadzone przez nas doświadczenie w zakresie bezpieczeństwa cybernetycznego i monitoringu funkcjonalnego pomogło nam w opracowaniu nowego podejścia do bezpieczeństwa w środowisku OT – ponieważ w zabezpieczeniach sieci systemów automatyki stosowanych w energetyce nie chodzi jedynie o samo cyberbezpieczeństwo

Bezpieczeństwo funkcjonalne oraz ciągła operacyjność również odgrywają istotną rolę w ogólnej koncepcji bezpieczeństwa. Jedynie uwzględniając łącznie wszystkie czynniki składające się na poprawne działanie sieci SCADA i systemu automatyki stacyjnej (SAS), można stworzyć i, co bardziej istotne, utrzymać ogólną koncepcję bezpieczeństwa.  

Dzisiaj z dumą nazywamy StationGuard naszym produktem. Jest to system wykrywania nieautoryzowanego dostępu (IDS), który nie tylko pozwala nam na utrzymanie bezpieczeństwa cybernetycznego systemów SAS i centrów sterowania, lecz również na formułowanie ocen bezpieczeństwa sieci OT z bezprecedensowym poziomem precyzji i użyteczności. 

W dalszej części tego artykułu wyjaśnię,  

  • dlaczego oferujemy oceny bezpieczeństwa dla centrów sterowania, elektrowni i sieci stacyjnych,  
  • dlaczego oferujemy je za darmo oraz  
  • jakie były moje najbardziej interesujące wnioski.
  •  

2. Ocena bezpieczeństwa sieci OT 

Przed dodaniem systemu StationGuard do naszego repertuaru inżynierowie firmy OMICRON przetestowali i ocenili wiele sieci systemów SAS, elektrowni i centrów sterowania: przeprowadzaliśmy badania penetracyjne, pomagaliśmy opracowywać bezpieczne architektury stacji, pomagaliśmy w tworzeniu bezpiecznych procedur inżynierii OT dla stacji i przeprowadzaliśmy oceny ryzyka w elektrowniach, by wymienić choćby kilka spośród naszych aktywności. Wiedzę, którą w tym czasie zgromadziliśmy, wykorzystaliśmy, opracowując nasz system IDS StationGuard.  

Z jego pomocą ocena bezpieczeństwa jest prosta, łatwa, zrozumiała i nieskomplikowana – najważniejsze problemy bezpieczeństwa cybernetycznego środowiska OT, które regularnie krzyżuje się z siecią IT przedsiębiorstwa, mogą być precyzyjnie ujawniane. 

Pod koniec 2020 roku skontaktował się ze mną kolega, który poprosił o stworzenie raportu z oceny bezpieczeństwa dla jednego z naszych klientów przy pomocy systemu StationGuard. Otrzymałem pliki techniczne od klienta i zaznajomiłem się z architekturą sieci przedsiębiorstwa. Te dokumenty zawsze stanowią konwencjonalną podstawę dla oceny bezpieczeństwa formułowaną zanim jeszcze będziemy kontynuować przeprowadzenie oceny na terenie danego obiektu.  

Po ukończeniu etapu oceny przedstawiamy nasze wnioski klientom. W ramach naszych ocen bezpieczeństwa zazwyczaj przygotowujemy: 

  • wyczerpujący spis aktywów obejmujący wszystkie urządzenia komunikujące się w sieciach,  
  • listę „nietypowych” usług obserwowanych w sieci oraz  
  • problemy funkcjonalne, które znaleźliśmy w systemie automatyki lub systemie SCADA. 
  •  

Dane zawarte w mojej pierwszej ocenie bezpieczeństwa okazały się wysoce nieoczekiwane, zarówno dla inżynierów zajmujących się stacjami, jak i specjalistów w dziedzinie IT. Pośród zagrożeń ujawnionych przez naszą ocenę znalazły się liczne, niezauważone wcześniej połączenia zewnętrzne, obecność nieoczekiwanych urządzeń w sieci, przestarzały firmware, nieudane operacje terminali RTU, błędy konfiguracji, a także problemy z siecią i jej protokołem redundancji (RSTP). 

W kolejnych latach moi koledzy i ja przeprowadzaliśmy (coraz sprawniej) wiele ocen bezpieczeństwa na całym świecie, nie tylko dla stacji, ale również dla elektrowni i centrów sterowania, włącznie z obiektami korzystającymi z protokołów IEC 61850, IEC 60870-5-104, DNP3, Modbus TCP/IP i wielu innych protokołów IT.  

Wyniki naszych ocen bezpieczeństwa zawsze były bardzo interesujące, a czasami również alarmujące

3. Wnioski z naszych ocen bezpieczeństwa 

Urządzenia IED (inteligentne urządzenie elektroniczne), które moi koledzy i ja często żartobliwie nazywamy „urządzeniami emocjonalnymi”, mogą błędnie reagować na nieoczekiwane zapytania z terminali RTU, błędy konfiguracji i problemy z komunikacją. 

W naszych ocenach bezpieczeństwa zwykle znajdowaliśmy kilka zagrożeń bezpieczeństwa w każdej sieci zakładowej. Oto kilka występujących najczęściej przypadków: 

  • nieudokumentowane połączenia zewnętrzne mające bezpośredni dostęp do urządzeń IED i przełączników, 
  • Przestarzały firmware ze znanymi słabymi punktami, 
  • nieużywane usługi oraz 
  • nieupoważniony dostęp. 
  •  

Te problemy z bezpieczeństwem są najczęściej pogłębiane przez problemy funkcjonalne, takie jak: 

  • problemy z konfiguracją urządzeń IED, terminali RTU i przełączników sieciowych; 
  • błędy synchronizacji czasu oraz 
  • problemy z redundancją sieci. 
  •  

Z mojego doświadczenia wynika, że większość sieci w centrach kontrolnych i zakładach pracuje płynnie po przekazaniu do eksploatacji, ale po kilku latach użytkowania, a niekiedy nawet miesiącach, pojawiają się w nich problemy. Nawet w działających z pozoru prawidłowo systemach automatyki i systemach SCADA mogą tkwić ukryte problemy.  

Przykładowo, widzieliśmy sieci, które rekonfigurują się co 10 sekund z powodu problemów z konfiguracją redundancji Rapid Spanning Tree. Powoduje to poważne problemy podczas awarii sieci, gdy jest potrzebna większa przepustowość. Następnie te problemy mogą powodować błędy i stwarzać ryzyko awarii lub ataku cybernetycznego. 

W kolejnej części artykułu wymienię niektóre często występujące zagrożenia, na które natknąłem się w ostatnich latach. 

 

3.1. Nieużywane usługi 

Patrząc wyłącznie na sam interfejs użytkownika komputera, urządzenia IED lub terminala RTU nigdy nie wiesz, jaka komunikacja ma miejsce w sieci, dopóki nie zostanie ona objęta monitoringiem. Otwarte/nieużywane usługi generują nieproporcjonalnie wysoki wzrost okazji dla hakerów do zaatakowania Twojego systemu automatyki lub system SCADA. Na szczęście możemy łatwo wykrywać te nieużywane usługi komunikujące się w sieci. 

Oto niektóre spośród często znajdowanych przez nas nieużywanych usług: 

  • IPv6: najczęściej uaktywniany na komputerach osobistych, ale czasami również na urządzeniach IED. Protokół IPv6 nigdy nie był tak naprawdę używany, ale za jego sprawą pojawia się kilka wektorów ataku w sieci. 
  • Udostępnianie plików Windows: usługa udostępniania plików zawsze była aktywna na komputerach osobistych, a także na terminalach RTU i bramach pracujących w oparciu o system Windows, ale nie była używana. 
  • Usługi licencjonowania oprogramowania: działają za zgodą administratora na komputerach osobistych i bramach pracujących w oparciu o system Windows, ale nie mają żadnego sensu w izolowanych sieciach zakładowych. A jednak są wstępnie instalowane razem z narzędziami inżynierskimi i niektórymi wersjami oprogramowania HMI. Jest kilka znanych krytycznych słabych punktów związanych z tą usługą. 
  • CoDeSys Gateway Server – usługa przeznaczona dla środowiska tworzenia programów PLC, aktywna 24 godziny na dobę, 7 dni w tygodniu, w krytycznych urządzeniach IED w elektrowniach i stacjach. Również w tym przypadku jest kilka znanych krytycznych słabych punktów związanych z tą usługą. 
  • PTPv2: ten protokół jest domyślnie aktywny w niektórych przełącznikach przemysłowych, nawet gdy nigdy nie jest używany.  
  •  

Proste wyłączenie tych usług zmniejszy liczbę cyklicznych zagrożeń dla Twoich urządzeń. 


3.2. Połączenia zewnętrzne 

Elektrownie i centra sterowania ze zdalnymi połączeniami z korporacyjnych sieci IT zawsze są najbardziej zagrożone atakiem cybernetycznym. Rozważmy przykład sieci stacyjnej w Ameryce Południowej, którą oceniałem w 2021 roku. 

W tej ocenie bezpieczeństwa wychwyciliśmy aktywność licznych klientów z zewnętrznymi adresami IP, które korzystały z usług sieciowych urządzeń IED i przełączników znajdujących się w stacji. Przedsiębiorstwo zezwoliło swoim inżynierom na łączenie się z urządzeniami IED i konfigurowanie ich z domu przy użyciu połączenia zdalnego (tuneli VPN).  

Odkryciem, które zaniepokoiło ekspertów ds. bezpieczeństwa IT, były adres IP i adres MAC, których nie potrafił rozpoznać ani udokumentować żaden z członków zespołu. W końcu udało nam się wyśledzić ten adres IP i ustalić, skąd wzięło się to połączenie, a następnie zablokować mu dostęp do systemu. 

Nawet przy zastosowaniu wszystkich współczesnych środków bezpieczeństwa oferowanych przez stacje, takich jak tunele VPN, zapory sieciowe, kontrola dostępu RBAC itp., nadal istnieje znaczące zagrożenie bezpieczeństwa: poza kwestią samej architektury w systemie istniało po prostu za dużo połączeń, z których niektóre w ogóle nie były udokumentowane. Uwidoczniliśmy je w naszej ocenie bezpieczeństwa, a przedsiębiorstwo dokonało restrukturyzacji połączeń. 


3.3. Przestarzały firmware ze znanymi słabymi punktami 

Podczas KAŻDEJ oceny bezpieczeństwa napotykałem przestarzałe wersje firmware’u używane przez przedsiębiorstwa.  

W ramach naszej oceny przedstawialiśmy inżynierom i ekspertom ds. IT zatrudnianym przez przedsiębiorstwo wykrywany w sposób pasywny spis urządzeń. Importując pliki techniczne, takie jak pliki projektu SCL zgodne z IEC 61850 i listy urządzeń w formacie CSV, rozszerzaliśmy informacje o urządzeniach o dodatkowe szczegóły, takie jak wersja oprogramowania, konfiguracja sprzętowa i numery seryjne. Utworzony w ten sposób spis urządzeń stanowi dobrą podstawę dla analizy słabych punktów i ryzyka. 


3.4. Błędy konfiguracji komunikacji SCADA

Błędna konfiguracja urządzeń RTU i SCADA może prowadzić do występowania zdarzeń krytycznych w obiekcie, które nie są transmitowane do centrum sterowania i spowalniają komunikację. 

Przykładowo w jednej z odwiedzonych przez nas europejskich stacji występowały błędy konfiguracji raportów MMS. Raporty były skonfigurowane w taki sposób, że wysyłano je na niewłaściwy adres IP klienta. 

Po skorygowaniu tych błędów konfiguracji szybkość komunikacji urządzeń IED zwiększyła się w zauważalnym stopniu. Ten problem sam w sobie nie stanowił zagrożenia bezpieczeństwa, jednak obniżona szybkość komunikacji stanowiła ryzyko operacyjne i mogła utrudniać procesy reakcji. 


3.5. Wykrywanie zmian konfiguracji 

Jest więcej niż jeden sposób wykrywania zmian konfiguracji istotnych urządzeń w środowisku OT. 

W jednej z amerykańskich stacji wykryliśmy błędną konfigurację komunikatów GOOSE. Problem pojawił się, ponieważ urządzenia były konfigurowane przez dwie różne osoby. Brak komunikacji pomiędzy inżynierami przełożył się z kolei na problemy z komunikacją pomiędzy urządzeniami OT.  

Odkryliśmy, że pewne funkcje zdalnego zarządzania w stacji nie działały poprawnie ze względu na nieprawidłowe warunki blokowania. Oznacza to, że w nagłych przypadkach nie byłyby one zdolne do zdalnej obsługi swoich rozdzielnic. Fakt, że wspomniani inżynierowie w ogóle nie zdawali sobie sprawy z istnienia problemu, dopóki nie odkryliśmy go, dokonując oceny bezpieczeństwa, całkowicie przeraził ich. 

Mnie ten przypadek również otworzył oczy. Nauczyłem się, że mały problem w komunikacji GOOSE może spowodować znacznie większe kłopoty w całym zakładzie.  

Dlatego też, aby poszerzać naszą wiedzę i nawiązywać kontakty z innymi pracownikami zatrudnionymi w elektrowniach, stacjach i centrach sterowania, nadal oferujemy darmową podstawową ocenę bezpieczeństwa.   

4. Korzyści z naszej darmowej oceny bezpieczeństwa 

Nieważne, czy zajmujesz się bezpieczeństwem cybernetycznym, inżynierią sterowania i zabezpieczeń, czy inżynierią sieci, czy jesteś kierownikiem, integratorem systemów, czy po prostu pracujesz w centrum sterowania, elektrowni lub stacji – chciałbym przedstawić Ci jeszcze kilka powodów, dla których taka ocena bezpieczeństwa jest warta Twojego czasu.  

 

4.1. Użytkownicy zewnętrzni w Twojej sieci OT 

Nie stanowi tajemnicy, że wiele firm trzecich jest silnie zaangażowanych w procesy uruchamiania (a także serwisowania) systemów SAS i innych sieci OT. Jak wspomniano powyżej, obecność oddzielnych grup inżynierów w obiekcie może stwarzać wyzwania, gdy przychodzi do utrzymywania stabilności systemu OT.  

Dociera do mnie wiele skarg na strony trzecie, które nieprawidłowo konfigurują systemy i zostawiają otwarte połączenia. Dobrze działające przedsiębiorstwo jest w dużej mierze zależne od zarządzania tym chaosem, a jednocześnie musi przykładać dużą wagę do zapewnienia ciągłej operacyjności systemu. Zarządzanie tymi czynnikami ryzyka często jest czasochłonne, kosztowne i pochłania wiele zasobów

Nasza ocena ryzyka pozwala na skuteczną identyfikację urządzeń i zagrożeń oraz wspomaga operacje przedsiębiorstwa w zakresie postępowania ze stronami trzecimi, co umożliwia uniknięcie kosztów długoterminowych. 


4.2. Prosty sposób umożliwiający specjalistom ds. IT zrozumienie świata OT 

Klasyczne rozwiązania IDS przeznaczone do systemów IT niestety nie pozwalają na ocenę zdarzeń i protokołów OT. Podejście oparte na uczeniu się, wykorzystywane przez systemy IDS, wymaga szerokiej wiedzy w dziedzinie OT, która jest niezbędna do dokonania oceny wstępnej i rozpoznania, która aktywność jest dozwolona, a która powinna być zabroniona.  

Dodatkowo eksperci ds. bezpieczeństwa IT najczęściej nie znają środowiska OT i zasad jego funkcjonowania, więc nie są w stanie podejmować takich decyzji. Stanowi to wyzwanie, gdy trzeba zarządzać incydentami w obrębie systemu OT, i wymusza wprowadzenie procesów zapewniania bezpieczeństwa do świata OT. 

Nasz produkt StationGuard oferuje rozwiązanie: dostarcza on zrozumiałych danych dla inżynierów IT i OT. W naszej ocenie bezpieczeństwa wykonywanej za pomocą systemu StationGuard można połączyć te dwa odmienne światy i stworzyć podstawę wzajemnego zrozumienia. 


4.3. Przyjrzyj się wzorcom Twojej sieci 

Jak już wspomniałem, sieci OT są pełne niespodzianek i złożoności. 

Zawsze lepiej podjąć środki zaradcze dzisiaj i uchronić się przed potencjalnymi problemami, które mogą wystąpić w przyszłości: może znajdziemy przyczynę chronicznego problemu w Twojej sieci? Może istnieje niewykryty problem, który trzeba znaleźć? 

Można odkryć jeszcze wiele rzeczy, ale jedno jest pewne: każde ryzyko, które może zaburzyć Twoją pracę w środowisku krytycznym czasowo, będzie kosztowne. 

5. Poproś o ocenę bezpieczeństwa dla Twojej stacji 

Oferujemy darmową ocenę bezpieczeństwa dla naszych potencjalnych klientów z całego świata! 

Jesteś specjalistą ds. IT lub kierownikiem, który chce się dowiedzieć więcej o elementach OT swojej organizacji? Chcesz zdobyć wiedzę o zagrożeniach bezpieczeństwa w Twojej sieci OT?  

Jesteś inżynierem lub kierownikiem zajmującym się systemami SAS i chcesz wyszukać (lub rozwiązać) problemy funkcjonalne lub zweryfikować swoją komunikację sieciową?  

W każdym przypadku możesz poprosić nas o przeprowadzenie oceny bezpieczeństwa! 

Aby poprosić o dokonanie oceny bezpieczeństwa, wyślij mi wiadomość o temacie „SG Free Assessment” na następujący adres e-mail: info@omicronenergy.com (Ze względu na naszą politykę prywatności, nie mogę tu podać adresu mojej osobistej poczty e-mail. Jednak możesz mieć pewność, że wszystkie wiadomości e-mail będą przesyłane bezpośrednio do mnie.) 

Dziękuję za zapoznanie się z moim raportem! 

Z poważaniem
Ozan Dayanc (OT Security Engineer)

Odkryj więcej artykułów OMICRON

Posłuchaj naszych podcastów

You are using an outdated browser version.
Please upgrade your browser or use another browser to view this page correctly.
×