2013 Yılında endüstriyel sistemlere daha fazla saldırı için destek

Güvenlik açığı araştırmacılarının giderek artan sayıları, önümüzdeki yıllarda endüstriyel kontrol sistemlerine (ICS) dikkatlerini çekecek, ancak güvenlik uzmanları da siber tuzaklara inanacaklar

Kontrol sistemleri. elektromekanik süreçlere bağlı ve kontrol edilen özel iş istasyonları veya sunucular ve bilgisayar benzeri programlanabilir donanım aygıtlarında çalışan denetleyici yazılımdan oluşur. Bu sistemler, endüstriyel tesislerde, askeri tesislerde, elektrik şebekelerinde, su dağıtım sistemlerinde ve hatta kamu ve özel binalarda çeşitli operasyonları izlemek ve kontrol etmek için kullanılır.

Bazıları kritik altyapılarda kullanılır - büyük nüfusların bağımlı olduğu sistemler elektrik, temiz su, ulaşım vb. potansiyel sabotajlarının çok geniş kapsamlı sonuçları olabilir. Ancak diğerleri, yalnızca sahiplerinin işletmeleri ile ilgilidir ve arızalarının yaygın bir etkisi olmayacaktır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kötü amaçlı yazılım hatalarını açığa çıkarır

SCADA'nın güvenliği (denetim denetimi ve veri edinimi) ve diğer endüstriyel kontrol sistemleri türleri, Stuxnet zararlı yazılımlarının 2010 yılında keşfedilmesinden bu yana IT güvenlik endüstrisinde pek çok tartışma konusu olmuştur.

Stuxnet, özellikle SCADA'yı hedefleyen ve bulaştırmak için bilinen ilk kötü amaçlı yazılımdır sistemleri ve Natanz'da İran'ın nükleer santralinde uranyum zenginleştirme santrifüjlerine zarar vermek için başarılı bir şekilde kullanıldı.

Stuxnet, ABD ve İsrail tarafından ulusal devletler tarafından geliştirildiğine inanılan, yetenekli geliştiricilere, sınırsız fonlara ve ayrıntılı bilgilere erişime sahip olduğuna inanılan sofistike bir siber silahtı. kontrol sistemi zayıflıkları hakkında.

Kritik altyapı kontrol sistemlerine saldırmak, ciddi planlama, istihbarat toplama ve alternatif erişim yönteminin kullanılmasını gerektirir. ds-Stuxnet, USB aygıtları üzerinden yayılmak üzere tasarlandı çünkü Natanz bilgisayar sistemleri Internet'ten yalıtıldı, önceden bilinmeyen güvenlik açıklarından yararlandı ve yalnızca sitede bulunan çok özel SCADA yapılandırmaları hedeflendi. Bununla birlikte, kritik altyapının bir parçası olmayan kontrol sistemleri, daha az yetenekli saldırganlar tarafından saldırıya geçme konusunda giderek daha kolay hale gelmektedir.

Bunun nedeni, bu sistemlerin çoğunun, uzaktan yönetim kolaylığı için İnternet'e bağlanması ve ICS'deki güvenlik açıkları hakkında bilgi olması nedeniyle olmasıdır. yazılım, cihaz ve iletişim protokolleri Stuxnet öncesi günlere göre daha kolay erişilebilir. SCADA ve ICS güvenlik açıklarının düzinelerce hakkında son iki yıl boyunca güvenlik araştırmacıları tarafından kamuya açıklanmış olup, çoğu zaman kavram ispat kanıtı ile birlikte sunulmuştur.

"İnternet erişilebilir kontrol sistemi cihazlarının kullanımında bir artış göreceğiz." Patlamalar otomatikleştikçe, "ICS güvenlik araştırması ve değerlendirmesi konusunda uzmanlaşmış bir şirket olan Digital Bond'un CEO'su Dale Peterson," dedi.

Ancak, Internet erişilebilir kontrol sistemi cihazlarının çoğu, Çoğu insan kritik altyapıyı düşünür, dedi. “Küçük belediye sistemlerini, bina otomasyon sistemlerini, vb. Temsil ediyorlar. Bunların sahibi olan ve işleten şirket için çok önemlidir, ancak büyük bir nüfusu veya ekonomiyi büyük ölçüde etkilemez.”

Potansiyel olarak ilgilenebilecek saldırganlar bu tür sistemleri hedeflemekte, politik güdümlü hackerlar bir açıklama yapmaya çalışmaktadır, hacktivist gruplara nedenlerine dikkat çekmeye ilgi duyanlar, şantaj şirketleri ile ilgilenen suçlular, hatta hackerlar bunu eğlenceli ya da övünme haklarını kullanmaktadır.

Hacker'ler hedefleri bulmuştur

23 Temmuz tarihli bir sızan FBI cyberalert belgesi, bu yılın başlarında hackerların, bir New Jersey iklimlendirme şirketinin ofis binasında faaliyet gösteren ısıtma, havalandırma ve iklimlendirme (HVAC) sistemine yetkisiz bir şekilde erişebildiğini ortaya koydu. kutu bağlı - Tridium tarafından yapılan bir Niagara kontrol sistemi. Hedeflenen şirket bankalar ve diğer işletmeler için benzer sistemler kurdu.

Saldırı, Niagara ICS sistemindeki güvenlik açığı hakkında bilgi, Ocak ayında "@ntisec" (antisec) kullanılarak bir bilgisayar korsanı tarafından çevrimiçi olarak paylaşıldıktan sonra oldu. Operasyon AntiSec, LulzSec, Anonim ve diğer hacktivist gruplarla ilişkili hackerlar tarafından yönetilen kolluk kuvvetleri ve hükümet kurumlarını hedef alan bir dizi saldırı saldırısıydı.

"21 ve 23 Ocak 2012'de, bilinmeyen bir konu, bilinen ABD web sitesinde yorumlarda bulundu. '#US #SCADA #IDIOTS' ve '#US #SCADA #IDIOTS bölüm-II' başlıklı, "FBI sızdırılmış belgede.

" ICS'ye karşı saldırıların mümkün olup olmadığı sorun değil; "SCADA sistemlerinde geçmişte güvenlik açıkları bulunan güvenlik danışmanlığı şirketi IOActive ile bir güvenlik araştırmacısı olan Ruben Santamarta, e-posta yoluyla" dedi. “Motivasyon yeterince güçlü olduğunda, büyük olaylarla karşılaşacağız. Jeopolitik ve sosyal durum bu kadar kesin bir şekilde yardımcı olmaz, 2013'ün ilginç bir yıl olacağını varsaymak saçma değildir.”

Hedefe yönelik saldırılar tek sorun değildir.; SCADA kötü amaçlı yazılım da var. Virüsten koruma firması Kaspersky Lab'ın en büyük kötü amaçlı yazılım uzmanı Vitaly Kamluk, gelecekte SCADA sistemlerini hedef alan daha kötü amaçlı yazılımların olacağını düşünüyor.

"Hassas bir şekilde ICS / SCADA'nın nasıl beyaz ve siyah bir alan için tamamen yeni bir alan açtığını gösteren Stuxnet gösterimi araştırmacılar, "dedi e-posta yoluyla. "Bu konu 2013 için en üst sırada yer alacak."

Ancak, bazı güvenlik araştırmacıları bu tür kötü amaçlı yazılımların yaratılmasının ortalama saldırganların yeteneklerinin ötesinde olduğunu düşünüyor.

"Bir ICS'ye saldırmada başarılı olacak kötü amaçlı yazılımlar oluşturuluyor. e-posta yoluyla güvenlik açığı istihbarat ve yönetim şirketi Secunia'nın güvenlik sorumlusu Thomas Kristensen, "önemsiz ve çok fazla bilgi ve planlama gerektirebilir." dedi. “Bu, aynı zamanda, böyle bir saldırıyı gerçekleştirebilen kişi veya kurumların miktarını da önemli ölçüde sınırlandırmaktadır.”

"Şüphesiz, ICS'e karşı saldırıları göreceğimiz konusunda şüphemiz yok," dedi Kristensen.

dağıtılmış SCADA ve DCS [dağıtılmış kontrol sistemi] uygulamalarının ve donanımlarının bir Güvenlik Geliştirme Yaşam Döngüsü (SDL) olmadan geliştirildiğini düşünün - Microsoft'un 90'ların sonunda düşünün - bu yüzden hatalara, güvenlik açıklarına ve exploits, "dedi Peterson. "Bu, PLC'lerin ve diğer saha cihazlarının tasarım gereği güvensiz olduğunu ve kritik bir süreci aşağıya çekmek veya bir Stuxnet'i kötü amaçlı bir şekilde değiştirmek için bir güvenlik açığı gerektirmediğini söyledi."

Peterson'ın şirketi Digital Bond birkaç istismar yayınladı. pek çok PLC'de bulunan güvenlik açıkları için (programlanabilir mantık denetleyicileri) -SCADA donanım bileşenleri - hemen hemen herkes tarafından kullanılabilen açık kaynaklı bir araç olan popüler Metasploit penetrasyon testi çerçevesi için çoklu satıcılardan modüller. Bu proje, mevcut birçok PLC'nin ne kadar kırılgan ve güvensiz olduğunu göstermek olan Project Basecamp adlı bir araştırma projesinin bir parçası olarak gerçekleştirildi.

"Çok sayıda SCADA ve DCS savunmasızlığı bulmanın tek kısıtlaması araştırmacıların ekipmana erişmesidir. "Dedi Peterson. "Daha çok çabalar ve başarılar elde edersiniz ki, araştırmacı uygun gördüğü her şekilde açıklanabilecek güvenlik açıklarının artışı olacaktır."

Yine de yamalar gerekiyor

Santamarta, araştırmacıların bugün SCADA yazılımlarında güvenlik açıklarını bulmasının kolay olduğunu kabul etti

SCADA güvenlik açığı bilgisi için bir pazar bile var. Güvenlik araştırmacıları Luigi Auriemma ve Donato Ferrante tarafından kurulan Malta merkezli bir başlangıç ​​güvenlik şirketi olan ReVuln, hükümet kurumlarına ve diğer özel alıcılara, bu durumları etkilenen satıcılara bildirmeden yazılım açıkları hakkında bilgi satıyor. Şu anda ReVuln'un portföyündeki kırılganlıkların yüzde 40'ından fazlası SCADA olanları.

Donato Ferrante'ye göre, SCADA güvenlik alanında hem saldırılara hem de yatırımlara yönelik eğilim giderek artıyor. "Aslında SCADA pazarında birçok büyük şirketin bu altyapıların sertleştirilmesine çok fazla yatırım yaptığını düşünürsek, SCADA / ICS konusunun önümüzdeki yıllar için sıcak bir konu olacağı ve devam edeceği anlamına geliyor," diyen Ferrante e-posta yoluyla.

Bununla birlikte, SCADA sistemlerinin güvenli hale getirilmesi, düzenli BT altyapıları ve bilgisayar sistemlerinin güvenli hale getirilmesi kadar kolay değildir. SCADA ürünleri için güvenlik yamaları satıcılar tarafından piyasaya sürüldüğünde bile, savunmasız sistemlerin sahipleri bunları dağıtmak için çok uzun zaman alabilir.

SCADA sistemleri için çok az sayıda otomatik yama dağıtımı çözümü vardır, Luigi Auriemma e-posta yoluyla söyledi. Çoğu zaman, SCADA yöneticilerinin uygun yamaları elle kullanmaları gerektiğini söyledi.

"Durum kritik derecede kötü" dedi Kamluk. SCADA sistemlerinin ana hedefi, normalde sıcak yama veya güncelleme yapmaya izin vermeyen sürekli bir işlemdir. Sistem veya program yeniden başlatılmadan yamalar ya da güncellemeler yüklenmez. Dedi.

Ayrıca, SCADA güvenlik yamaları Beklenmedik davranışlar operasyonlar üzerinde önemli bir etki yaratabileceğinden, üretim ortamlarında kullanılmadan önce kapsamlı bir şekilde test edilmelidir.

"Bir güvenlik açığının bulunduğu bir yamada bile, güvenlik açığı olan sistemleri uzun süre bulacağız," diyor Santamarta

Çoğu SCADA güvenlik uzmanı, PLC'ler gibi endüstriyel kontrol cihazlarının güvenlikle yeniden tasarlanmasını istiyor.

"Gerekli olan temel güvenlik önlemleri olan PLC'ler ve bunları en kritik altyapıya yerleştirme amaçlı bir plan. "Bir sonraki üç yıl boyunca," dedi Peterson.

"İdeal senaryo, endüstriyel cihazların tasarımla güvende olduğu, ancak gerçekçi olması gerektiğidir, bu da zaman alacak," dedi. "Endüstriyel sektör birbirinden ayrı bir dünyadır. Bilişim bakış açımıza kesinlikle bakmamalıyız. Bu, herkesin endüstriyel satıcılar da dahil olmak üzere bir şeyler yapılması gerektiğini fark etti." Dedi.

Güvenli bir şekilde yokluğunda Santamarta, tasarım cihazlarının, ICS sahiplerinin bu sistemleri güvenceye almak için derinlemesine bir yaklaşım benimsemeleri gerektiğini belirtti. "Varsayılan olarak güvensiz olan endüstriyel protokoller olduğu düşünüldüğünde, azaltımlar ve farklı koruma katmanları eklemek mantıklıdır."

"ICS'yi İnternet'ten ayırın, izole bir ağ bölümüne koyun ve kesin olarak sınırlayın / denetleyin. ona erişim, "Kamluk dedi.

" Kritik altyapının sahipleri, kritik altyapıya erişmek için ayrı ağların veya en azından ayrı kimlik bilgilerinin gerekli olduğunu anlamalıdırlar, "dedi. “Hiçbir yönetici ve güvenlik farkında olan yönetici, yönetimsel kimlik bilgilerini kullanan herhangi bir sistemde oturum açmayacaktı ve aynı oturum içinde düşmanca Internet'e erişip e-postaları okuyabildi. Bu, ICS için de geçerli olmalı, ICS oturumuna erişmek için bir takım kimlik bilgilerini kullanmalı ve Bir sanal ve / veya uzak masaüstü kurulumunu kullanarak İnternet bağlantınızın oturumuna erişebilirsiniz. "

Yönetmelik

Yönetmeliği, kritik kontrol altyapısı operatörlerini endüstriyel kontrol sistemlerini güvence altına almaya zorlayan hükümet düzenlemesi ihtiyacı tartışmalı bir konu olmuştur. Birçok SCADA güvenlik uzmanı iyi bir başlangıç ​​noktası olabileceğini kabul ediyor. Bununla birlikte, bu hedefe doğru çok az ilerleme kaydedilmiştir.

"En iddialı hükümet düzenlemesi, Kuzey Amerika elektrik sektörü için NERC CIP bir başarısızlık oldu," dedi Peterson. "Çoğu başarılı hükümet yönetmeliği istiyor ancak bunun ne olacağını belirleyemiyor."

"Hükümetin dürüst olmasını ve bu sistemlerin SCADA kritik altyapısını yöneten tasarım ve organizasyonlar tarafından güvensiz olmasını çok isterim. Kams, DCS'nin bu sistemleri bir ya da üç yıl içinde yükseltme ya da değiştirme planına sahip olması gerektiğini belirtti. "

Hükümet düzenlemesinin son derece yararlı olacağını söyledi. Bazı SCADA satıcıları, bu tür kararların risklerini ve insan yaşamları üzerindeki potansiyel etkilerini göz önünde bulundurmadan geliştirme maliyet tasarrufu için güvenliği feda ettiklerini söyledi.

Kaspersky Lab, bu yılın başlarında güvenli bir şekilde hizmet verebilecek bir işletim sistemi geliştirmeyi planladığını açıkladı. SCADA ve diğer ICS sistemlerinin çalıştırılması için tasarım ortamı. İşletim Sisteminin ardındaki fikir, kayıt dışı bir işlevselliğin üzerinde çalışamayacağından emin olmaktır; bu da saldırganların gönderilmemiş güvenlik açıklarını kullanarak kötü amaçlı kod çalıştırmasını engelleyecektir.

Bu ilginç bir proje gibi görünse de, SCADA topluluğunun ve endüstri sektörünün buna nasıl tepki vereceği görülecektir, dedi.

"Yeni işletim sistemi özellikleri hakkında yeterli detay bulunmuyor" diyor Ferrante. "Bunu yapmak için resmi bir sürüm beklememiz gerekecek. Her neyse yeni bir işletim sistemi benimserken ana sorun, kodlarını yeniden yazmak zorunda kalmadan mevcut SCADA sistemlerini çalıştırabilmesi gerektiğidir."