Múlt héten röviden áttekintettük az ipari végpontok biztonságát, ma pedig folytatjuk a témát és közelebbről is megvizsgáljuk, mit is lehet tenni ezeknek az eszközöknek a host-szintű biztonságáért.
Elsőként érdekesek lehetnek azok a védelmi intézkedések, amiket sokan alapigazságnak tekintenek még ma is, pedig már sok éve bizonyítottan téves feltételezéseken alapulnak.
"A víruskeresők/antivirus szoftverek önmagukban is megfelelő védelmet biztosítanak" - Tény, hogy a különböző antivirus megoldások képesek bizonyos szintű védelmet nyújtani, de ehhez mindenképp rendszeres vírus adatbázis frissítések és ütemezett vizsgálatok szükségesek. Az antivirus megoldásokkal ráadásul több probléma is adódhat (szinte minden jelentős AV-fejlesztővel kapcsolatban volt már legalább egyszer olyan hír, hogy egy hibás vírus adatbázis frissítés után az AV-szoftver fals pozitív találatokat produkált és fontos, gyakran rendszerfájlokat is karanténba helyezett vagy törölt), ami már az ügyviteli rendszerek esetén is nagyon súlyos problémákat jelenthetnek, de egy 7/24-es működésű folyamatirányító rendszer esetén egy ilyen hiba nem csak állásidőben és pénzben, de akár emberéletben mérhető károkat is okozhat. Gondok lehetnek az ütemezett vizsgálatok időzítésével is, mert az ipari rendszerek és különösen az ipari végpontok üzemeltetésében adott esetben sokkal nehezebb lehet olyan időszakokat találni, amikor akár több órán át futhat egy, a normálisnál jóval nagyobb performancia-igényű ütemezett víruskeresés. Az AV-szoftverek teljesítményigénye önmagában is jelenthet problémákat, hiszen az ipari végpontok tervezése során egészen a legutóbbi időkig nem számoltak végpontvédelmi/AV-megoldások használatával ezeken az eszközökön, így - főleg a régebbi modellek esetén - nagyon is valószínű, hogy a végpontok egyszerűen nem rendelkeznek az AV-szoftver alap funkciókat nem korlátozó futtatásához szükséges teljesítmény-többlettel.
"Nem kell minden végpontot védeni" - Az a gondolat, hogy elég egyes ipari végpontokat megfelelő védelemmel ellátni, ugyanolyan téves biztonságérzetre épül, mint az a régi tévhit, hogy az ipari eszközöket nem képesek a támadók kompromittálni, mert a) teljesen zárt hálózatokban működnek; b) a támadók számára ezek a rendszerek túl bonyolultak és nem képesek megérteni a működésüket. Napjainkban szinten már minden ipari végpont rendelkezik valamilyen hálózati vagy lokális (soros porti, USB) kapcsolattal, amiknél jobb támadási vektorra nincs is szüksége senkinek, aki kompromittálni akarja őket.
"A végpontvédelem önmagában is megfelelő biztonságot nyújt" - A vállalati rendszerek esetén már több, mint egy évtizede axióma, hogy mélységi védelmet kell kialakítani a hálózatbiztonsági és végponti megoldások megfelelő kombinálásával. A támadások elhárításában vagy legalább a negatív hatások csökkentésében elsődleges fontosságú a forrásuk felismerése és megértése.
"A felhasználók a legtöbb végpontot biztonságos módon használják" - Ez egy olyan feltételezés, amivel ismét a vállalati IT biztonság területén nagyon ritkán lehet találkozni. Az általános biztonságtudatossági képzések első szabálya az, hogy az IT biztonság leggyengébb pontja mindig az ember volt és várhatóan a jövőben is az ember lesz. Nincs ez máshogy az ipari rendszerek esetén sem - bár ebben az esetben az automatizáltság magasabb foka kisebb mozgásteret ad az embereknek és így az ebből fakadó hibáknak is. Sajnos tény az is, hogy az ipari rendszereket kezelő mérnökök biztonságtudatossága általában véve nem jobb, mint a vállalati hálózaton dolgozó felhasználóké. Éppen ezért tartom elsődleges fontosságúnak az ipari rendszerek felhasználói számára specifikus biztonságtudatossági képzések tartását, mert talán ezen a területen lehet a legtöbb eredményt viszonylag kisebb erőforrás-ráfordítással elérni.
"A végpontjaim Internet-kapcsolata biztonságos" - Kezdjük talán azon, hogy az ipari végpontoknak valóban kell-e Internet-kapcsolat? Az esetek döntően nagy hányadában a válasz minden bizonnyal nem, többnyire (jellemzően kényelmi vagy költség-csökkentési okok miatt) mégis elérhetővé teszik ezeket az eszközöket az Internet felől is. Jobb esetben csak valamilyen (biztonságosnak gondolt) távoli hozzáféréssel (pl. SSH, RDP, stb.) de számos eszköz használ olyan régebbi protokollokat (pl. telnet, rsh, rexec, stb.), amelyek semmilyen biztonsággal nem rendelkeznek. Nagyon fontos, hogy az ipari végpontok és rendszerek ne rendelkezzenek Internet-kapcsolattal, ha a felhasználóknak/üzemeltetőknek/támogatóknak távoli hozzáférést kell biztosítani, minden esetben csak biztonságos VPN-kapcsolaton keresztül és több faktoros authentikáció után lehessen elérni az ipari eszközöket!
"A végpontvédelmi megoldások rontják a felhasználói élményt" - az ipari rendszerek esetén a teljesítmény-problémák gyakran valós és igen súlyos gondot tudnak jelenteni. Így van ez néha még akkor is, ha egy adott végpontra még nem telepítettünk semmilyen végponti biztonsági megoldást és sajnos tény, hogy egyes AV-szoftverek képesek érezhető lassulást okozni az általuk futtatott rendszeren. Új telepítésű rendszerek esetén a legjobb megoldás a teljesítmény méretezésénél kellő performancia-tartalék beépítése, ami már biztosítja a végpontvédelmi megoldás által igényelt teljesítményt is a rendszer alapvető funkcióinak lassulása nélkül is. Elengedhetetlen az AV-szoftverek hangolása, a legtöbb modern végpont már olyan operációs rendszereket futtat, ahol lehet finomhangolni, hogy egy-egy alkalmazás mennyi erőforrást használhat, így elkerülhető, hogy a végpontvédelmi megoldás miatt az ipari végpont lelassuljon és alapvető funkciói ne működjenek az elvárásoknak megfelelően. Természetesen lehetnek olyan régi ipari végpontok is egy-egy rendszerben, amiknél ezek a lehetőségek nem állnak az OT üzemeltetők és biztonsági szakemberek rendelkezésére, itt vissza kell nyúlni az információbiztonság egyik legrégebbi megoldásához, a kompenzáló kontrollok alkalmazásához.
"A végpontvédelem minden problémánkat megoldja" - ahogy az IT biztonságban, úgy az ICS kiberbiztonságban sincsenek csodaszerek, amik egymaguk minden problémát megoldanának. Átfogó és integrált megoldások alkalmazásával, amik egyaránt magukban foglalnak hálózatbiztonsági és végpontvédelmi megoldásokat, lehetőséget adnak arra, hogy a támadások ellen egy hatékony védelmet építhessünk.
A különböző hardveres és szoftveres megoldások mellett azonban legalább ilyen fontosak a jó eljárások. Elsődlegesen fontos, hogy ismerni kell az ipari rendszerek elemeit, különösképpen az ipari végpontokat - hány darab van belőlük, hol helyezkednek el a rendszerben, milyen firmware-t, operációs rendszert, egyéb szoftvereket futtatnak, mi a pontos verziójuk és patch-szintjük, milyen ismert, de még nem javított hibák találhatóak bennük. Ezek milyen kockázatokat jelentenek az egyes eszközökre, a teljes rendszerre és az általuk befolyásolt folyamatokra nézve?
Ugyanilyen fontos a biztonságos és ellenőrzött konfiguráció- és változáskezelés - amit a normál üzemeltetés mellett az OT területen dolgozó mérnökök többnyire nagyon fegyelmezetten be is tartanak. Azonban folyamatosan ellenőrizni kell, hogy a végponti és egyéb rendszerelemeken milyen változások történtek és a nem dokumentált/engedélyezett változásokat minél előbb ki kell vizsgálni. Lehetséges, hogy egy kolléga egy tervezett és engedélyezett változtatást egyszerűen elfelejtett dokumentálni (pl. azért, mert egy sürgős hibaelhárítás elvonta a figyelmét a már elvégzett feladat teljes körű adminisztrációjáról), de ugyanígy lehetséges, hogy ezek az első jelei egy összetett és kifinomult támadásnak az ICS rendszer ellen.
Ahogy látszik, az ipari végpontok védelmének megteremtése egy roppant összetett téma. Elengedhetetlen, hogy az OT és IT biztonsági szakemberek minél jobban értsék és megértsék a másik fél feladatait, prioritásait és hatékonyan tudjanak együttműködni, különben az ipari rendszerek biztonságos működését lehetetlen lesz biztosítani.