A múlt heti posztban az ICS hálózatok biztonságáról írtam, a mai és következő heti írásban pedig az ipari végponti eszközök biztonságát fogom egy kicsit részletesebben áttekinteni. Ma elsősorban az IT és az OT (Operations Technology, magyarra leginkább talán ICS működéstechnológia kifejezésként lehet lefordítani, az a szakterület az ipari környezetben működő szervezeteknél, akik az ipari és folyamatirányító berendezések és rendszerek üzemeltetésével és fejlesztésével foglalkoznak) közötti különbségekről lesz szó, központban a két terület által használt végponti berendezésekkel.

Több neves szervezet (ICS-CERT, SANS, stb.) kutatói vizsgálják az utóbbi években rendszeresen a különböző ipari eszközök biztonságát és ezek a vizsgálatok meglehetősen lehangoló képet festenek a végponti eszközök biztonságáról. A SANS 2016-os, ICS biztonsági felmérése szerint a számítógépes végpontok jelentik a legnagyobb kockázatot az ipari rendszerek esetében, mégis, az érintett szervezetek alig 50%-a végez sérülékenység vizsgálatokat az érintett végponti berendezéseken.

IT és OT végponti berendezések

Az ipari környezetekben az IT az OT végpontok között számos különbség van, mind a célokban, amire használják őket, mind a működésük során prioritásként kezelt szempontokban, ez utóbbi pedig meghatározza azt is, hogy az OT-ben dolgozó üzemeltetők nagyon máshogy állnak az ilyen eszközök üzemeltetéséhez.

Egy ipari területen tevékenykedő szervezetnél az IT elsősorban a vállalati/ügyviteli hálózatra koncentrál (a Purdue referencia architektúra szerinti 4. és 5. szintre). Ezek a rendszerek jellemzően üzleti információs rendszerek, tranzakciós rendszerek és szinte kizárólag az IT vezető felelősségi körébe tartoznak. Az informatikai végponti eszközök IP-alapú munkaállomások, mobil eszközök, adatbázisok, alkalmazás és webszerverek. Gyakran időszakos vagy állandó kapcsolatban állnak a szervezet partnereinek (beszállítók, ügyefelek) egyes rendszereivel. Az informatikai végpontok napjainkban egyre dinamikusabban változnak (elég arra gondolni, hogy bizonyos fejlesztők akár naponta adhatnak ki frissítéseket, hibajavításokat, de még a legnagyobb gyártók is havi gyakorisággal adnak ki frissítéseket a termékeikhez) és egyre több rendszer van az Internetre csatlakoztatva. Ez a dinamikus környezet az oka annak, hogy az IT területén dolgozó szakemberek egyre komolyabb figyelmet fordítanak az általuk üzemeltetett végponti eszközök biztonságára, hiszen a végpontok és az azokhoz rendelkezésre álló hozzáférési módok számos támadási vektort jelenthetnek.

Az OT rendszerek szintén számos végpontot tartalmaznak - gyakran az IT vépontokhoz nagyon hasonló kategóriájú eszközöket is - alkalmazás szerverek, adatbázis szerverek, HMI-ok, mérnöki munkaállomások és természetesen Level2 vezérlő rendszerek tartoznak ide. Minden ilyen eszközön fut egy operációs rendszer, rendelkeznek konfigurációs állományokkal, jellemző rájuk a jelszó-alapú authentikáció. Ahogy korábban már írtam róla, az OT területen dolgozó szakemberek nagyon sokáig egyáltalán nem aggódtak a logikai biztonság miatt, úgy gondolva, hogy az ipari környezetek egyedi kialakítása, protokolljai, kommunikációs csatornái és az egyes ICS gyártók szabadalmakkal védett hardverei, együtt a fizakai biztonsági intézkedésekkel, megóvják az OT eszközöket a kibertámadásoktól. Az elmúlt években aztán jó néhány olyan kiberbiztonsági incidens került napvilágra, ahol nem csak az érintett ipari szereplők ügyviteli hálózatait, hanem az OT rendszereket is sikerrel kompromittálták a támadók - elég csak a Stuxnetre, a németországi acélkohó vagy az ukrán áramszolgáltatók elleni kibertámadásokra gondolni. Az OT gondolkodás azonban továbbra is (érthető módon) a emberek biztonságát (safety) tartja elsődleges prioritásának, utána pedig jellemzően a rendelkezésre állás következik, szemben a hagyományos IT biztonsággal, ami az ügyviteli informatikai rendszerek esetén jellemzően a bizalmasságot és a sértetlenséget többnyire még a rendelkezésre állásnál is fontosabbnak tartja.
 
Az OT számos, csak ipari környezetekben előforduló végponti eszközzel dolgozik, ilyenek többek között a PLC-k, RTU-k, az intelligens electronikus eszközök (IED), az elosztott vezérlőrendszerek (DCS), a SCADA-rendszerek, a HMI-ok és MMI-ok valamint a digitális és analóg konverterek (DAC-ok) és különböző fizikai interfész-konverterek (pl. soros-Ethernet konverterek).

Az esetek döntő többségében az OT rendszerek egyáltalán nem változnak olyan dinamikusan, mint a vállalati IT rendszerek és az életciklusuk is jóval hosszabb, mint az IT rendszerek esetén (10-15 vagy akár 20 év 3-5 évvel szemben). Az OT rendszerek jellemzően olyan, hosszú ideje érintetlen régi rendszerek, amelyek ráadásul speciális (időnként szabadalmaztatott, egyedi) kommunikációs protokollokkal kommunikálnak és időnként (egyre ritkábban) fizikailag is teljesen el vannak választva a vállalat IT rendszereitől. Azonban ahogy az IT egyre több területen nélkülözhetetlenné válik, úgy terjednek el egyre jobban a PC-alapú végpontok is az OT területén, ma már egyre több OT végpont x86-alapú számítógépből kerül kialakításra, az HMI berendezések döntő többsége is x86 architektúrára épül. Ezeken az eszközökön aztán olyan operációs rendszerek és egyéb szoftverek futnak, amik számos új (és meglehetősen könnyen kihasználható) támadási vektort kinálnak a támadóknak. Ezek a változások oda vezetnek, hogy az ipari környezetekben minél előbb ki kell alakítani olyan hatékony, több rétegű végpontvédelmi megoldásokat, amikkel meg lehet előzni a sikeres támadásokat vagy legalább idejekorán észlelni lehet azokat.

A következő heti posztban a lehetséges eszközök és intézkedések közül fogok néhányat bemutatni, valamint néhány végponti biztonsággal kapcsolatos tévedést és olyan, OT-specifikus nehézséget, amikkel az ipari végpontok esetén találkozhatunk.