Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS Cyber Security Kill Chain IV

2017. július 29. - icscybersec

A múlt heti posztban végre eljutottunk az ICS Cyber Security Kill Chain bemutatásához, átnéztük a támadások első szintjét, ma pedig pedig a második szint ismertetésére térünk rá.

Az ICS CSKC esetén az első fázis csak arra szolgál, hogy a támadóknak lehetőségük legyen elindítani a második szint első fázisát, ami ismét a felderítésről szól, de ezúttal már az ipari rendszerek felderítése a cél. Ebben a fázisban a legtöbb kifejezetten ICS rendszereket célzó támadók a már kompromittált vállalati hálózatból kilopott adatok alapján próbálják beazonosítani az ipari rendszereket és azok gyenge pontjait. Ez az elemzés akár igen hosszú időt is igénybe vehet, éppen ezért az ICS CSKC első és a második szintje között akár hosszabb idő is eltelhet, mire a támadók úgy gondolják, hogy sikeresen azonosították a kihasználható gyenge pontokat.

Amikor a támadók úgy gondolják, hogy már rendelkeznek az ICS rendszer támadásához szükséges tudással, következik az ellenőrzési fázis, amikor tesztelniük kell, hogy helyesek voltak-e az elemzések nyomán kialakított feltételezéseik. Ehhez jellemzően olyan tesztkörnyezetet kell használniuk, ami azonos vagy legalábbis hasonlít a célba vett ICS rendszerre. Még a legegyszerűbb ICS rendszerek elleni támadás (pl. egy szolgáltatás-megtagadással járó scannelés) esetén is előzetes tesztekre van szükség, hogy a támadók biztosak lehessenek abban, hogy az adott művelet a várt eredményt fogja hozni. Az ennél jelentősebb hatást kiváltani akaró támadások esetén sokkal komolyabb tesztelésekre is szükség lehet, akár arra is, hogy a tesztekhez fizikai ICS berendezéseket és a szükséges szoftvereket is beszerezzék és felhasználják. Az egyes ipari szektorok szereplőinek ugyan nem nagyon van lehetőségük figyelemmel kísérni az ICS gyártók eladásait (még kevésbé a használt ipari eszközök és szoftverek újraértékesítését), az egyes kormányokra ez az állítás nem teljesen igaz.

Az ICS CSKC utolsó fázisa az ICS rendszer vagy rendszerek elleni támadás. Ebben a fázisban a támadók a korábban kifejlesztett képességeiket felhasználva már kifejezetten azzal a céllal indítanak támadást az ICS rendszer ellen, hogy fizikai folyamatokat tudjanak az irányításuk alá vonni. Ennek a támadásnak a komplexitása igen nagy mértékben attól függ, hogy a célba vett ICS rendszer biztonsága milyen szintet ér el, milyen a fizikai folyamat vezérlése és ellenőrzése, milyen a rendszerbe épített biztonsági (safety) kontrollok kialakítása és mi a támadók által elérni kívánt hatás. Egy ICS rendszer ellen végrehajtott szolgáltatás-megtagadásos támadást természetesen sokkal könnyebb végrehajtani, mint egy, a Stuxnet-hez vagy az ukrán villamosenergia-szektor elleni támadásokhoz hasonló műveltet. Ahhoz, hogy a támadók komoly károkat tudjanak okozni (mint például a 2014-ben történt német acélkohóban bekövetkezett incidensnél), a támadóknak teljes mértékben kontrollálniuk kell az ICS rendszerek által felügyelt folyamatokat. Bár az ICS környezetek támadásának számos módja van, mégis három nagy csoportba lehet osztani az ilyen támadásokat:

1. Szolgáltatás-megtagadás:
- a felügyeleti funkciók használhatatlanná tétele (Denial of View)
- a kontroll funkciók használhatatlanná tétele (Denial of Control)
- a biztonsági funkciók használhatatlanná tétel (Denial of Safety)
2. Funkciók elvesztése:
- a felügyeleti funkciók elvesztése (Loss of View)
- a kontroll funkciók elvesztése (Loss of Control)
3. Funkciók módosítása:
- a felügyeleti funkciók módosítása (Manipulation of View)
- a kontroll funkciók módosítása (Manipulation of Control)
- szenzorok és egyéb berendezések módosítása (Manipulation of Sensors and Instruments)
- a biztonsági funkciók manipulálása (Manipulation of Safety)

Ez az a pont, ahol nagyon jelentős különbség lehet egy IT és egy ICS rendszer elleni támadás hatásaiban, mert míg egy IT rendszer elleni támadás nagyon rosszul érintheti egy szervezet életét (akár az adott szervezet létezését is veszélyeztetheti), az ICS rendszerek és rajtuk keresztül a fizikai folyamatok támadása nagyon gyakran emberek sérülésével, súlyosabb esetben halálával járhat. Ennek ellenére az ICS közösség mind a mai napig nem érti teljes mélységében, hogy a kibertámadások milyen nagyon súlyos hatással lehetnek az ipari rendszerekre és folyamatokra. Emiatt elengedhetetlen, hogy az IT és OT biztonsággal foglalkozó szakemberek az eddigieknél sokkal hatékonyabban működjenek együtt egymással és a szabály- és törvényalkotókkal annak érdekében, hogy minél teljesebb képpel rendelkezhessünk az ICS rendszerek elleni támadások következményeit illetve az ICS rendszerek elleni támadások elkövetőinek céljait illetően. Ahogy az ipari rendszereket alkotó berendezések esetén sem az a kérdés, hogy tönkremennek-e és cserélni kell-e őket, hanem csak az a kérdés, hogy ez mikor következik be, ugyanez igaz az ICS rendszerek kibertbiztonságára is. Mindkét esetben a megfelelő tudással és tapasztalattal rendelkező mérnököknek fel kell készülniük az ilyen esetek bekövetkezésére és rendelkezniük kell nem csak a szükséges tudással, eszközökkel és személyzettel, hanem a megfelelő eljárásokkal is.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7612633025

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása