Dlaczego testy „offline” nie są bezpieczne: poważne podejście do cyberbezpieczeństwa z testerem CMC 500
Przez lata bezpieczeństwo stacji było definiowane przez niekwestionowane przez nikogo założenie: „Jesteśmy bezpieczni, ponieważ testujemy offline”. Jest to pocieszająca myśl, która nadawała kierunek naszym procedurom i kształtowała nasze poczucie bezpieczeństwa. Dzisiaj jednak to przekonanie stało się niebezpieczne.
To stare poczucie bezpieczeństwa stanowi teraz słabość, ponieważ same zagrożenia uległy zmianie. Nie kryją się już tylko po drugiej stronie zapory sieciowej, próbując dostać się do środka. Przybywają na nośnikach USB lub w naruszonych plikach ustawień, które znajdują się już wewnątrz twojego obszaru zaufania.
Gdy zagrożenie jest już w sterowni, brak połączenia z Internetem nie ma żadnego znaczenia. Twój tester nie jest już odizolowany; staje się głównym celem i potencjalnie najsłabszym ogniwem twojego łańcucha bezpieczeństwa.
Ta nowa rzeczywistość zmusza do dokonania krytycznego wyboru. Czy masz polegać na samych procedurach, aby chronić się przed potencjalnymi słaby punktami kryjącymi się wewnątrz twoich narzędzi? W przypadku testera CMC 500 ten wybór stanowi fundament jego konstrukcji. Aby zrozumieć, co to oznacza w rzeczywistym świecie, przyjrzymy się nieskomplikowanemu przykładowi dwóch ludzi, którzy w uproszczony sposób reprezentują strony tego konfliktu.
Cyberbezpieczeństwo to nie jest funkcja. To nienegocjowalna zasada strukturalna.
Rzeczywiste cyberzagrożenie w terenie: historia Johna i Jane
Poznajcie Johna, skrupulatnego technika zajmującego się zabezpieczeniami. John dokładnie organizuje swoje rutynowe zajęcia, ma wysokie standardy i bezwarunkowo ufa swoim narzędziom. Jego działania mają kluczowe znaczenie dla utrzymania integralności sieci.
A teraz poznajcie Jane, hakerkę, która prosperuje, eksploatując zaufanie i przyjmowane założenia.
Dzień Johna rozpoczyna się od rutynowego zadania w Stacji Alfa. Pobiera potrzebne pliki testów z serwera plików. Na miejscu otrzymuje od klienta aktualizację plików na nośniku USB. John bezbłędnie realizuje każdą procedurę: wszystkie połączenia z siecią na jego komputerze, włącznie z biurowym serwerem (za wyjątkiem tego, który jest połączony z jego testerem) są wyłączone.
Nic nie może pójść źle, prawda?
Ale Jane wykonała już swój ruch. Użyła socjotechniki, żeby kilka dni wcześniej umieścić złośliwe oprogramowanie na biurowym serwerze plików. Komputer Johna ma najnowsze poprawki bezpieczeństwa i aktualny skaner antywirusowy, ale Jane wykorzystuje lukę zero-day.
Zapobieganie atakom typu man-in-the-middle dzięki szyfrowanej komunikacji
W chwili, w której John rozpoczyna test, złośliwe oprogramowanie na jego komputerze się uaktywnia. Jego pierwszym celem jest nasłuchiwanie. Podejmuje próbę analizy komunikacji pomiędzy komputerem a testerem w celu odkrycia haseł, konfiguracji IP lub szczegółów dotyczących firmware’u.
Rezultat: komunikacja testera CMC 500 jest szyfrowana już od pierwszego pakietu. Jeżeli dane zostaną przechwycone, będą stanowić tylko zaszyfrowany szum.
Sfrustrowane złośliwe oprogramowanie idzie o krok dalej. Pozycjonuje się pośrodku, podszywając się pod tester w oczach komputera Johna i pod komputer w oczach testera. Jest to klasyczny atak typu man-in-the middle, zaprojektowany w celu przechwytywania poleceń i manipulowania nimi.
W jaki sposób reaguje tester CMC 500: CMC 500 nie przyjmuje żadnych założeń. Wykorzystuje kryptografię klucza publicznego i cyfrowe certyfikaty, umożliwiające komputerowi weryfikację tożsamości testera CMC 500. Niepowtarzalny klucz prywatny testera CMC 500 jest przechowywany w module sprzętowym Trusted Platform Module 2.0 (TPM 2.0), który zapewnia jego fizyczne bezpieczeństwo. Ponieważ złośliwe oprogramowanie Jane nie może wytworzyć ważnego certyfikatu, połączenie jest natychmiast odrzucane. To działanie stoi w wyraźnej sprzeczności ze starszymi praktykami, które opierają się na systemie testującym offline; tego rodzaju system założyłby, że połączenie jest zaufane i w ogóle nie wiedziałby o ataku na podszywanie się, takim jak ten, który opisaliśmy.
Nie ma certyfikatu, nie ma połączenia. Nie ma tożsamości, nie ma dostępu.
Ochrona połączeń Wi-Fi przed nieupoważnionym dostępem
John przechodzi do testów z generacją po stronie pierwotnej. Używa wielofunkcyjnego testera CMC 500 do generowania
prądów pierwotnych. Nawiązuje połączenie przez Wi-Fi, aby móc się swobodnie poruszać i skutecznie wykonywać pomiary.
Równocześnie Jane jeszcze się nie poddała. Zdecydowała się na zmianę taktyki, gdy jej pierwsza próba została zablokowana, i osobiście pojechała do stacji, aby bezpośrednio połączyć się z testerem w sieci Wi-Fi. Gdyby jej się to udało, mogłaby wydawać umyślnie nieprawidłowe polecenia, uaktywniać niebezpieczne operacje, a nawet wyrządzić krzywdę personelowi stacji. Jest to bezpośredni atak na kontrolę dostępu urządzenia.
W jaki sposób reaguje tester CMC 500: to właśnie w tym punkcie proste, proceduralne środki bezpieczeństwa spotykają się z uodpornioną konstrukcją. John nie tylko nawiązuje połączenie – on tworzy większy zasób bezpieczeństwa. Jego komputer już domyślnie uwierzytelnił tester CMC 500. Jednak dzięki dodaniu hasła powstała możliwość uwierzytelniania wzajemnego: teraz również tester CMC sprawdza, kto próbuje się z nim połączyć. Bez prawidłowych danych uwierzytelniających lub fizycznego dostępu, który umożliwiałby ich zresetowanie, Jane jest zablokowana.
Nie ma hasła, nie ma dostępu. Żadnych luk w obronie.
Gwarancja integralności firmware’u dzięki bezpiecznemu i mierzonemu rozruchowi
Gdy jej zamiary zostały ponownie udaremnione, Jane zmienia strategię na najbardziej fundamentalną formę ataku. Kiedy John nawiązuje połączenie z siecią stacji w celu aktualizacji ustawień, Jane próbuje przesłać pakiet złośliwego firmware’u do testera CMC 500. Gdyby jej się udało, zainfekowany firmware mógłby rozpocząć niepożądane działania, zaatakować urządzenia IED w stacji lub ukryć się i w uśpieniu czekać na krytyczny moment.
To jest ta chwila, która odróżnia proaktywną konstrukcję od reaktywnej polityki. Inny tester mógłby zacząć od wczytania swojego systemu operacyjnego, polegając na wykonywanym po instalacji skanowaniu w celu znalezienia zagrożeń, lecz w tym momencie drzwi byłyby już otwarte.
W jaki sposób reaguje tester CMC 500: drzwi testera CMC 500 nigdy nie otwierają się przed niezweryfikowanym kodem. Wykorzystuje on bezpieczny i mierzony rozruch, proces zakotwiczony w warstwie sprzętowej jego modułu TPM 2.0. Zanim jeszcze zostanie wykonana pierwsza instrukcja instalacji, jest ona weryfikowana przez sygnaturę OMICRON firmware’u. Podczas wykonywania każdy element firmware’u jest weryfikowany kryptograficznie, mierzony i porównywany ze znanymi sumami kontrolnymi.
Złośliwy firmware Jane nie ma podpisu. Rezultat? Brak instalacji. Pozostaje cichy.
Nie ma weryfikacji, nie ma wykonania.
To jest zobowiązanie, nie pozycja do odhaczenia: nasze podejście do bezpieczeństwa na przestrzeni cyklu życia
Historia Johna i Jane nie jest wyjątkowa. Nawet w tym momencie, gdy czytasz ten tekst, napastnicy tacy jak Jane pracują bez wytchnienia, by obejść zabezpieczenia i wykorzystać niezałatane luki w obronie. Dlatego właśnie bezpieczeństwo nie jest jednorazową pozycją do odhaczenia. Zamiast tego musi ono stanowić stałe zobowiązanie, wbudowane w cały cykl życia produktu.
Utrzymujemy przejrzysty i proaktywny proces obsługi podatności, z którym możesz się zapoznać w naszym artykule w Magazynie OMICRON. Bez względu na to, czy zostaną one wykryte przez nasze zespoły wewnętrzne, czy zgłoszone przez użytkowników, zajmujemy się wszystkimi potencjalnymi lukami w zabezpieczeniach, od początku do końca:
- Regularne aktualizacje oprogramowania w celu usprawniania i uodparniania systemu.
- Publiczne ujawnianie i środki zaradcze, dzięki którym zawsze dysponujesz najnowszymi informacjami i narzędziami potrzebnymi do ochrony twoich urządzeń.
Bezpieczeństwo nie jest po prostu funkcją. To nasze zobowiązanie. Każdego dnia, w każdym urządzeniu CMC 500.
Wielopoziomowa obrona: w jaki sposób tester CMC 500 zabezpiecza testy
Weryfikacja tożsamości i ochrona danych uwierzytelniających
- Kryptografia klucza publicznego
- Szyfrowanie komunikacji punkt-punkt
- Trusted Platform Module (TPM 2.0)
- Uwierzytelnianie wzajemne
Integralność firmware’u
- Bezpieczny i mierzony rozruch
Bezpieczeństwo wbudowane w cykl życia produktu
- Zarządzanie podatnościami w całym cyklu życia produktu.
Chcesz uzyskać głębszy wgląd?
Wraz z ewolucją napastników, takich jak Jane, nasze zrozumienie cyberbezpieczeństwa w testach terenowych również musi się zmieniać.
Więcej informacji możesz uzyskać z nadchodzącego odcinka naszego podcastu: #116: Why Testing Offline Is Not Cyber Secure
W tym odcinku nasi eksperci przedyskutują następujące zagadnienia:
- Dlaczego „offline” nie znaczy „bezpieczny”
- Rzeczywiste scenariusze ataków i sposoby obchodzenia tradycyjnych zabezpieczeń w stacjach
- W jaki sposób wbudowane zabezpieczenia, takie jak moduł TPM 2.0 z bezpiecznym i mierzonym rozruchem, tworzą naprawdę uodpornione urządzenie.
Ponieważ bezpieczeństwo nie jest po prostu funkcją – to sposób myślenia.
Wybierz tester, który jest gotowy zanim pojawi się zagrożenie
Nie czekaj na następne włamanie, które ujawni najsłabsze ogniwo twojego łańcucha zabezpieczeń. Reaktywne środki już nie wystarczają. Czas uczynić zaufanie wbudowaną cechą twoich rozwiązań i zbudować postawę bezpieczeństwa, której fundament będzie stanowić proaktywna obrona zaprojektowana przez inżynierów.
Zabezpiecz swoją sieć narzędziem, które stworzono z myślą o zagrożeniach dnia jutrzejszego, a nie na podstawie wczorajszych założeń.
Zobacz proaktywne zarządzanie zagrożeniami w akcji
Odkryj, jak tester CMC 500 może uodpornić twoje procedury bezpieczeństwa i ochronić twoją infrastrukturę krytyczną.
