Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági esettanulmányok III

A távoli monitoringhoz használt mobiltelefon modemek esete

Facebook Tumblr Tweet Pinterest Tetszik
0
2018. szeptember 29. - icscybersec

A harmadik (és ebben a sorozatban egyelőre utolsó) esettanulmányban egy gyár termelésirányítási rendszerében a monitoring funkciókhoz használt mobiltelefon modemekkel kapcsolatos incidensről lesz szó.

Felmerülhet a kérdés, hogy miért is használna valaki mobiltelefonokat modemnek egy ICS rendszer monitoringjához? A válasz viszonylag egyszerű: a mobiltelefonok modemek használatához nagyjából egyetlen feltételnek kell teljesülnie - legyen az adott létesítményben megfelelő lefedettsége a szolgáltató hálózatának és máris egy olcsó és (meghibásodások, avulás, stb. esetén) könnyen cserélhető, publikus hálózatokra épülő kommunikációs csatornára tett szert az adott szervezet. A rendelkezésre állásnál nyilván tervezni kell az adott szolgáltató karbantartásaival és célszerű egy tartalék megoldással is rendelkezni, ha a mobil szolgáltatónál van üzemzavar, de ezeket a hátrányokat a mobiltelefon modemek rugalmassága és költséghatékonysága általában túlszárnyalja a döntéshozók szemében.

A logikai biztonsági megfontolások (mint általában), a konkrét esetben sem voltak alaposan felmérve, emiatt például a modemek konfigurációja nem volt biztonságos (a gyári jelszavak cseréje is elmaradt), ami miatt a támadók nem csak, hogy a modemeken keresztül hozzáfértek a gyár hálózatához, de ugyanezeket a modemeket felhasználva DoS-támadásokat is indítottak más célpontok ellen, ami mobil adatforgalom-költségként a gyár számláján jelentkezett. A gyár hálózatához hozzáférve a támadóknak lehetőségük nyílhatott módosítani a modemeken keresztül felügyelt berendezéseket, az Internet felé pedig spam-eket küldhettek.

Tanulságok

Ismét csak azzal a tanulsággal kell kezdeni, hogy minden, Internetre csatlakoztatott eszközt a lehetőségekhez képest a leginkább biztonságos konfigurációval szabad csak használni. Mivel az ICS rendszerek esetén a biztonsági hardening során nagyon gyakran az üzembiztonságot fontosabbnak kell tekinteni a biztonságos konfigurációnál, gondoskodni kell arról is, hogy egy esetleges támadásról illetve annak sikeréről minél előbb értesüljenek az illetékesek és biztosítani kell azt is, hogy egy támadás elhárítása után fel lehessen építeni, hogy a támadók pontosan milyen sérülékeny pontokat használtak a támadás során - ehhez célszerű minden bejövő és kimenő hálózati forgalmat rögzíteni és a kockázatelemzésekből származó megállapítások alapján meghatározott ideig megőrizni.

A mobiltelefonos modemek esetén a fentieken túlmenően rendszeresen ellenőrizni kell a szolgáltatótól érkezett számlákat és amennyiben bármilyen jelentős változás tapasztalható a normális forgalomtól, azt haladéktalanul ki kell vizsgálni.

Az esettanulmány eredeti, német nyelvű verziója itt érhető el.

Szólj hozzá!
esettanulmány ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3014192093

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása