Néhány nappal ezelőtt a SecurityWeek.com-on jelent meg Barak Perelman írása, amiben 6 pontban foglalja össze, mire számít az ICS kiberbiztonság területén 2017-ben. A mai posztban ezeket fogom a saját gondolataimmal megtűzdelve bemutatni.
1. Az újabb ICS malware-ek egyre nagyobb fenyegetést fognak jelenteni.
Barak Perelman szerint csak idő kérdése, hogy mikor fog megjelenni egy olyan új malware, ami már szándékosan ICS rendszereket fog célba venni. Az ilyen malware-ek készítéséhez szükséges tudás és technológia egy ideje már rendelkezésre áll. Egy ilyen, az Interneten szabadon eresztett malware súlyos következményekkel járhat, látva, hogy az ipari eszközök milyen nagy számban érhetőek el az Interneten - dacára annak, hogy számos ICS biztonsági szakértő folyamatosan hangoztatja, hogy ezzel mekkora kockázatnak teszik ki a kritikus infrastruktúrákat. A szerző szerint ilyen támadásokra mostanáig csak a potenciális fizikai és politikai következmények miatt nem került sor. Én azért ezt egy kicsit árnyaltabban látom. Először is egy, a Stuxnet-hez hasonló ICS malware előállítása, bár az eszközök és a tudás számos helyen rendelkezésre áll (elsősorban állami hátterű cosportoknál), egy ilyen malware-t nem csak előállítani, tesztelni is kell. Ez a célzott, egy vagy néhány típusú ICS berendezésből álló környezetre szabott malware esetén megfelelő anyagi háttérrel rendelkező cosportok esetén képesek lehetnek beszerezni a teszteléshez szükséges eszközöket. Ahhoz azonban, hogy széles körben komoly fenyegetést jelentő malware-t tudjanak előállítani, majd sikeresen bevetni sok rendszer ellen, jól univerzálisabb, sok különböző típusú (és emiatt várhatóan különböző sérülékenységeket hordozó) eszköz esetén kell tesztelni. Ez a feladat a Stuxnet-nél is egy (vagy akár több) nagyságrenddel bonyolultabb feladat, mint a mai napig ICS biztonsági mérföldkőnek tekintett Stuxnet esetén (ami korántsem kizárólag kibertámadás volt, jóval inkább egy első osztályú hírszerzési művelet, aminek korábban elképzelhetetlenül kifinomultnak tartott kiberbiztonsági része is volt) .
Máaodszor, bár a bizonyíthatóan kibertámadásra visszavezethető ICS incidensek száma az elmúlt években folyamatosan nő és a hatásaik is egyre súlyosabbak, ezeket a támadásokat (a Stuxnet-et, ami már egy 7 éves történt, nem számítva) soha nem egy (vagy több) ICS malware okozta, hanem (amennyire ezt a publikusan elérhető információk alapján meg lehet ítélni) "hagyományos" malware-eket használtak, amiket az egyes esetekhez célzottan alakítottak át, majd az így szerzett hozzáférések birtokában a támadók folytatták a hálózatok és rendszerek felderítését és az ICS incidensek előidézését.
Harmadszor pedig (és talán ez jelenleg a legnagyobb visszatartó erő az állami hátterű támadók esetén) vannak olyan feltételezések egyes, kritikus infrastruktúrák ICS kiberbiztonsági szakemberei között, hogy az elmúlt években az összes jelentősebb világpolitikai szereplő kiépíthette a saját hozzáféréseit a rivális hatalmak kritikus infrastruktúráit kiszolgáló ICS rendszerekben és pontosan tudják, hogy a saját rendszereik éppolyan védtelenek, mint azok, amikhez a saját csoportjaik rendelkeznek hozzáféréssel. Ez a helyzet kicsit hasonló, mint a nukleáris fegyverkezésből ismert MAD (Mutually Assured Destruction - kölcsönösen biztosított megsemmisítés).
2. A kiber-fizikai hadviselés valósággá válik
Elsősorban az USA-ban beszélnek egyre inkább kiberháborúról - időnként már amerikai kormányzati szereplők is (az elmúlt napokban már a frissen beiktatott elnök, Donald Trump sem vonta kétsége, hogy az USA kiberbiztonsági szempontból kiemelt kockázatokkal kell, hogy szembenézzen, bár természetesen az elnökválasztás során történt incidenseknek a választás eredményére gyakorolt hatását nem ismerte el - ellenben az USA kormánya a választáshoz használt szavazórendszert igen gyorsan a kritikus infrastruktúra részévé nyilvánította).
Való igaz, a kibertér visszavonhatatlanul a hadviselés ötödik területévé vált (a szárazföld, a tengerek, a levegő és a világűr után). Én úgy gondolom, hogy az idei évben az eddigi tendenciák fognak folytatódni, vagyis sokkal inkább elszigetelt támadásokra lehet majd számítani, ahol továbbra sem lehet majd tudni, hogy ki és pontosan milyen céllal hajtotta végre a támadást. Ez szerintem még mindig távol áll a háború fogalmától - vagy legalábbis újraértelmezi a háború fogalmát.
3. Az ICS hacktivisták tevékenysége egyre kiemelkedőbb lesz
Az 1. pontnál leírtak egy része szerintem itt is igaz. A különböző hacktivista csoportok nagyon jók a hagyományos IT rendszerek elleni sikeres akciókban, de a kiber-fizikai környezetek számukra úgy vélem (még) idegenek és nem tartom valószínűnek, hogy rendelkeznének azzal a háttérrel, hogy a hiányzó ismereteket meg tudják szerezni - még egy célzott támadáshoz szükséges, korlátozott számú berendezés beszerzése is komoly forrásokat igényelhet.
4. A zsaroló támadások ipari környezeteket is célba fognak venni
Manapság már bárki áldozata lehet egy zsaroló támadásnak és azzal, hogy az ipari rendszerek fizikai szeparálása egyre kevesebb helyen valósul meg, az adatok illetve számítógépek támadása után várhatóan csak idő kérdése, hogy a ransomware-ek ipari eszközöket is célbe vegyenek.
Látva, hogy a fájlok után egyes ransomware-ek hogyan váltottak a teljes számítógép túszul ejtésére, egyáltalán nem tartom elképzelhetetlennek, hogy egyes ipari eszközöket és rendszereket is célba vegyenek, így szerintem is csak idő kérdése, hogy az első, ipari rendszereket túszul ejtő ransomware-ről szóló híreket olvashassuk - abban azonban nem vagyok biztos, hogy ez már 2017-ben be fog következni.
5. A támadok "piros gomb"-képességet fognak fejleszteni
Barak Perelman szerint az ICS rendszerek elleni támadások viszonylag könnyen lehetőséget adnak a támadóknak arra, hogy kiépítsék a célba vett rendszerekben a saját hozzáféréseiket és ezeket a hozzáféréseket tartalékolják és egyfajta "piros gombként" használják fel egy nagyobb, összehangolt támadás részeként vagy "tárgyalási alapként" (bár lehet, hogy a zsarolás erre az esetre is pontosabb kifejezés lehet majd).
Ez az a pont, ahol úgy gondolom, hogy nem kizárt, hogy ez a helyzet már részben most is előállt, egyáltalán nem lennék meglepve, ha kiderülne, hogy az utóbbi évek ukrán villamosenergia-rendszer elleni támadásai tulajdonképpen (legalábbis részben) ilyen céllal történtek.
6. Egyre több kritikus infrastruktúra fog feltűnni a találati listákban az Internetes keresések eredményeként
Az a tendencia, hogy egyre több ICS rendszernek van kapcsolata különböző felhő-megoldásokkal, egyre inkább azt eredményezi, hogy ezek az ICS rendszerek közvetlenül vagy áttételesen kapcsolatba kerülnek az Internettel, így pedig a különböző keresőmotorok (mint pl. a Shodan) képesek lesznek katalogizálni őket és így kereshetővé válnak gyakorlatilag bárki számára. Az pedig, hogy az ICS gyártók egyre több rendszer esetén hozzák be a távoli menedzsment, felhős működési mód és vezeték nélküli kommunikáció funkcióit, az ICS rendszerek számára egyre nagyobb külső fenyegetést fognak jelenteni.
Ezzel is teljes mértékben egyet tudok érteni, az Industrial IoT és az Industrial Cloud kifejezésekről egyre többet lehet hallani és olvasni az Industry 4.0 (vagyis a negyedik ipari forradalom kapcsán), azonban az a hatalmas lelkesedés, amivel az ipari rendszerek gyártói és üzemeltetői az új technológiákat építik be a rendszereibe, nem sok helyet hagy azoknak a (szerintem józanabb) hangoknak, akik ezeknek a technológiáknak a biztonságra gyakorolt (negatív) hatássaira próbálják meg felhívni a figyelmet.