Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Cryptobányász malware-t találtak egy európai viziközmű cég ICS rendszerében

2018. február 10. - icscybersec

Ahogy az elmúlt év végén a cryptovaluták értéke soha nem látott magasságokba emelkedett, úgy nőtt az azt bányászó malware-ek és a velük végrehajtott támadások száma is. Egyes hírek szerint a WannaCry néven elhíresült (és több ICS rendszer leállításában is szerepet játszó) malware-hez hasonlóan az EternalBlue exploitot kihasználva terjedő, de ezúttal nem ransomware-ként, hanem cryptobányászként viselkedő malware kezd terjedni, aminek az IT biztonsági szakma a WannaMiner nevet adta. Mostanáig ezek a cryptobányász malware-támadások nem érintettek ICS rendszereket (vagy legalábbis publikusan ilyen hír nem volt elérhető), a héten azonban ez is megváltozott. Egy európai szennyvízkezelő cég Windows XP-alapú GE Digital CIMPLICITY SCADA szerverein a Monero cryptovalutát bányászó malware-t talált a Radiflow nevű IT biztonsági cég.

Az incidenssel kapcsolatban már több cikk is megjelent, a részleteket az eWeek és a SecurtiyWeek oldalain lehet olvasni.

Kérdésből persze több is felmerül az emberben, de a válaszok egyáltalán nem adnak okot bizakodásra.

1. Meglepő-e, hogy az ICS rendszereket is elérték a cryptobányász malware-ek? A válasz röviden: nem. Ahogy ebben az esetben is látható, a SCADA szoftver egy kb. 5 éve nem támogatott operációs rendszerre volt telepítve, vagyis a rendszerben számos olyan ismert és nem javított hiba van, amit egy támadó kihasználhat, hogy saját kódot futtasson. Ha ehhez hozzátesszük azt a tényt, hogy az ICS biztonsági szakma minden erőfeszítése ellenére folyamatosan nő az Internetről elérhető ICS rendszerek és berendezések száma, csak az meglepő ebben az incidensben, hogy nem került napvilágra jóval korábban egy hasonló eset.

2. Mire lehet számítani a jövőben? Véleményem szerint a hasonló incidensek száma nőni fog - az persze nem világos, hogy ezek mekkora hányada lesz publikálva, de abban biztos vagyok, hogy a helyzet nem fog javulni, sőt romlani fog.

Mit lehet tenni, hogy megelőzzünk egy hasonló incidenst?

Elsősorban az ICS biztonsági szakértők által gyakran hangoztatott intézkedéseket kell bevezetni illetve fenntartani, ha már bevezették:

- Az ICS berendezéseket és rendszereket nem szabad publikus hálózatokra csatlakoztatni!
- Az ICS és vállalati IT rendszereket megfelelő hálózati szegmentálással kell egymástól elválasztani! Ennek tervezéséhez és megvalósításához a Purdue-modell ad némi kapaszkodót.
- A megfelelő hálózati szegmentálás után mélységi védelmet kell kiépíteni! Ehhez én célszerűnek tartom különböző gyártók különböző működési elvre épülő megoldásainak kombinálását (pl. eltérő gyártó végpontvédelmi megoldásainak alkalmazását a vállalati és ipari hálózatokban működő számítógépeken, különböző gyártóktól származó tűzfalak, stb. használatát).
- A megelőzés mellett fel kell készülni arra is, ha a támadók bizonyulnak jobbnak és átjutnak a kiépített védelmi vonalakon, megfelelő incidens észlelési képességeket kell kialakítani! Az ICS rendszerek nagyfokú statikussága ebben az esetben nagy segítség lehet, hiszen a jóval ritkább és kisebb számú változás mindegyikét ki lehet vizsgálni, ha a megfelelően képzett szakemberekből álló csapat rendelkezésre áll.
- Jól átgondolt és rendszeresen tesztelt incidenskezelési eljárásokat kell kialakítani és begyakoroltatni az abban résztvevő munkatársakkal!

A fenti (értelemszerűen nem teljes) lista persze nem fog senkit 100%-os biztonsággal megmenteni egy hasonló incidenstől, de esélyt biztosít arra, hogy a támadási kísérletek nagyobb hányadát tudják elhárítani és ha a támadók mégis bejutnának az ICS rendszerekbe, minél előbb képesek legyenek észlelni az incidenst, kizárni a támadókat és megszüntetni a tevékenységük negatív hatásait.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5413650608

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása