Az ICS rendszerek elleni kibertámadások nagyon sok jellemzőjükben különböznek az IT rendszerek elleni támadásoktól, ez még akkor is igaz, ha az utóbbi időben nyilvánosságra került jelentősebb ICS biztonsági incidenseknek komoly IT biztonsági része is volt.

Ahhoz, hogy mélyrehatóbban tudjunk foglalkozni az ICS Cyber Security Kill Chain-nel, először kicsit át kell tekinteni, hogy mi is az ennek a keretrendszernek az alapját adó Cyber Security Kill Chain, ezt fogjuk egy kicsit részletesebben áttekinteni a mai és a jövő heti posztban.

Mi az a Cyber Security Kill Chain?

A CSKC-t a Lockheed Martin munkatársai dolgozták ki 2011-ben és munkájuk során (ahogy a kiberbiztonság során már oly sokan előttük) ők is az angolszász katonai terminológiához nyúltak vissza. A Kill Chain kifejezés a katonai zsargonban az ellenséggel való harcérintkezés fázisait foglalja össze.

Ennek mintájára alkották meg a Lockheed-Martin munkatársai a CSKC-t, ami az APT-nek is nevezett kibertámadások jellemző felépítését ismerteti, mind a támadók, mind a védekezésben résztvevő kiberbiztonsági szakemberek feladatait ismertetve az egyes fázisokban. A CSKC 7 fázisra bontja a kifinomult kibertámadásokat, ezek az alábbiak (már az egyes fázisok neve is egészen jól visszautal arra, hogy ez a keretrendszer a katonai terminológiából építkezik):

1. Felderítés (Reconnaissance): A célpont(ok) beazonosítása.

A támadók tevékenységei: Ebben a fázisban a támadók a műveleteik megtervezését végzik, információt gyűjtenek, hogy megértsék a megtámadni tervezett rendszer működését, esetleges hibák után kutatnak, amiknek a kihasználásával elérhetik a céljaikat. Ehhez e-mail címeket gyűjtenek,  a megtámadni tervezett szervezet munkatársait próbálják beazonosítani a közösségi oldalakon, átvizsgálják a sajtóban megjelent híreket, konferencia-résztvevők listáit és felmérik a szervezet Interneten elérhető szervereinek körét.

A védők tevékenységei: A támadók felderítéssel kapcsolatos tevékenységeit normális esetben nehéz lehet észlelni, de ha sikerül, az így szerzett információk nagy segítséget jelenthetnek a támadók céljainak azonosításában. Ilyen információkat lehet találni az Interneten elérhető szerverek logjaiban, a látogatásokról készült webes analitikákból (böngésző statisztikák, látogatási idők, stb.).

2. “Fegyverkezés” (Weponization): Felkészülés a műveletre.

A támadók tevékenységei: A támadók ebben a fázisban a korábban gyűjtött és elemzett adatokra építve elkezdik a felkészülést magára a támadásra. Ehhez általában publikusan vagy csak zárt körben elérhető, esetleg házon belül, egyedileg fejlesztett eszközöket (exploit kit-eket, egyedi exploit-okat) használnak. A fájl-alapú exploit-okhoz elkészítik a megfelelő csali-dokumentumokat és előkészítik a kompromittált eszközökre szánt hátsó ajtókat biztosító szoftvereket, valamint a C2 (command&control) infrastruktúrákat majd lefordítják a megalkotott programkódokat.

A védők tevékenységei: A CSKC-nek ez az a fázisa, ami alapvető fontosságú a védők számára, hogy megértsék. Annak ellenére, hogy nem képesek észlelni a támadók tevékenységét ebben a fázisban, mégis a széleskörű malware-elemzés (nem csak azt vizsgálva, hogy milyen kártékony kódot használ az adott malware, hanem a teljes működési modelljét), segíthet átlátni a támadók módszereit és segíthet olyan eszközöket és technikákat kifejleszteni, amik javítják az adott szervezet észlelési képességeit. Fontos részlet lehet, hogy egy adott malware mikor készült. Egy régebben készült malware újra és újra megjelenhet az adott szervezetnél (hiszen a támadók gyakran nem képesek vagy nem akarnak jelentős erőforrásokat fordítani egy új malware létrehozására, csak újrahasznosítanak egy régebbit), azonban egy új, korábban nem ismert malware megjelenése valószínűleg aktív, célzott támadásra utalhat. A védőknek ehhez a fázishoz érdemes fájlokat és meta-adatokat gyűjteni, ami segítségükre lehet a később elemzések során. Érdemes figyelemmel követni, hogy a támadók milyen eszközöket (exploit kit-ek, újrahasznosított egyedi fejlesztési malware-ek, stb.) milyen támadásoknál használtak, azok széles körben használtak vagy csak néhány, jól meghatározható esetben?

3. A támadás megindítása (Delivery): A malware célba juttatása

A támadók tevékenységei: Ebben a fázisban a támadók szinte kizárólag két módszerrel szoktak élni, az első az aktív támadás, amikor az Interneten elérhető szervereket veszik célba és azok sérülékenységeit kihasználva szereznek hozzáférést. A másik módszernél a különböző csali eszközöket (e-maileket vagy fizikai adathordozókat juttatnak a célponthoz vírusos fájlokkal, különböző közösségi oldalakon végrehajtott műveleteket vagy fertőző weboldalak, gyakran legitim weboldalakon elhelyezett exploitokat használva).

A védők tevékenységei: A védekezésben résztvevőknek ebben a fázisban van először igazi esélyük arra, hogy megakadályozzák a támadókat abban, hogy elérjék a céljaikat. Ehhez célszerű elemezniük a malware-ek célba juttatását és későbbi irányítását szolgáló infrastruktúrát. A védőknek meg kell érteniük a célba vett szerverek működését, a velük kapcsolatba kerülő emberek feladatait, szerepüket és felelősségeiket, valamint az ezekkel kapcsolatban elérhető információkat. Fontos pont, hogy a védők megértsék, a támadók mi alapján választották ki a célpontjukat. A legtöbb esetben a védők számára is elérhetőek a támadók által használt eszközök (vagy legalábbis ezek egy része), ezeket tanulmányozva a támadás korai fázisában nagyobb esély nyílhat a megállítására. Szintén vizsgálni kell, hogy melyik napszakban indult egy támadás, ha a támadók láthatóan munkaidőn kívül tevékenykednek, akkor jó okkal lehet feltételezni (bár korántsem 100%-os biztonsággal), hogy egy célzott támadással van dolgunk. Ebben a fázisban az is nagyon fontos, hogy az összes releváns logot összegyűjtsék, mert még ha nem is sikerül megakadályozni a támadást, később sokat segíthet, ha be lehet azonosítani, mikor és hogyan kezdődött a támadás.

A jövő heti blogposztban befejezzük a Cyber Security Kill Chain áttekintését, utána pedig belekezdünk az ICS Cyber Security Kill Chain részletekbe menő bemutatásába.