Threat Detection, monitoring sieci ICS/OT i podatności (part 4/4)

Threat Detection, monitoring sieci ICS/OT i podatności (part 4/4)

Ostatnia – 4-ta część serii artykułów poświęconych problematyce Threat Detection, podatnościom (ang. vulnerabilities) w środowisku produkcyjnym dla zasobów sieciowych i automatyki przemysłowej – systemów ICS/OT.

W niniejszym wpisie przedstawię pryncypia systemów IDS dedykowanych środowisku ICS/OT, przykład rozwiązania łączącego zalety Threat Detection oraz Asset Management.

Natomiast już niebawem, securot.eu opublikuje cyfrową broszurę będącą swoistym podsumowaniem całej treści z serii. Zapraszamy do zapoznania się z poprzednimi wpisami:

Co to są podatności… exploity

Tekst wprowadzający czytelnika w istotę podatności, złośliwego oprogramowania i kodów bazujących na lukach w bezpieczeństwie systemów.

Aktualizacja – patchowanie systemów ICS/OT

Dlaczego systemów ICS/OT nie można traktować i rozpatrywać w kontekście tradycyjnych systemów IT ? Bo ich specyfika na to nie pozwala. Wprowadzenie do Asset Management z perspektywy Change Management.

Visibility kluczowych zasobów ICS/OT. Automatyzacja analizy podatności (part 3/4)

Jak chronić nieznane zasoby ? Poznawszy je, ich charakterystykę i przeznaczenie oraz zasadność. Szacując ryzyko związana z danym urządzeniem i uwzględniając jego krytyczność. Rozmawiając z właścicielem danego zasobu. 

“You can’t protect what you don’t know”

Monitorowanie zdarzeń i reagowanie na Alarmy/Eventy

Przyjmując najlepszy ze scenariuszów, w ramach którego:

  • kadra jest świetnie przeszkolona i prawidłowo reaguje na potencjalne incydenty,
  • polityka bezpieczeństwa i procedury obejmują systemy ICS/OT, jest dialog i wymiana doświadczeń i wymagań na linii IT – OT (IT vs. OT – czy ISO 27000 …),
  • mamy pełne mapowanie urządzeń, assetów, devices w naszej sieci zakładowej i infrastrukturze ICS/OT,

to wciąż jednak potrzebuję narzędzi Threat Detection pozwalających na monitorowanie potencjalnie niebezpiecznych sytuacji, analizę urządzeń i komunikacji pomiędzy samymi urządzeniami jak i pomiędzy użytkownikiem a urządzeniem końcowym typu sterownik PLC, stacja OWS/SCADA. Co być może istotniejsze i bardziej problematyczne, to nieustannie jednak cały czas potrzebujemy wyszkolonej kadry do obsługi tych narzędzi. Po kolei jednak.  

Systemy klasy IDS dla środowiska IT/Biznesu nie są niczym nowym. Sklasyfikowane są bowiem one jako podstawa działań dla Threat Detection czyli identyfikacji zagrożeń. Są to więc, doskonale znane systemy służące do wykrywania “włamań”, pewnych naruszeń uprzednio zdefiniowanych granic brzegowych i zasad. Systemy które śledzą aktywność na danych urządzeniach i raportują niezgodności, logują zdarzenia tworząc historię. Co ważne i istotne – nie zapobiegają skutkom negatywnego działania bowiem ich celem jest dostarczenie informacji o danej aktywności/naruszeniu zasad (baseline, rules). Każdy szanowany dostawca rozwiązań IT rozwija i dostarcza tego typu narzędzia. Są również narzędzia bezpłatne jakby nieśmiertelny Snort. Jednak specyfika tego softu plasuje je w rozwiązaniach IT … często ni jak aplikowalnych w środowisku OT/ICS. Tutaj podstawą działania systemu klasy IDS jest … analiza przechwyconej komunikacji/działania polegająca na jej uprzednim zrozumieniu. Pośród szeregu systemów IDS klasy IT na próżno szukać rozwiązań które wspierają czyli analizują protokoły przemysłowe. Ponownie posłużę się przykładowym wykazem najpopularniejszych rozwiązań komunikacji przemysłowej: 

Wybrane protokoły przemysłowe ICS/OT oraz IT – najpopularniejszy rodzaj komunikacji w środowisku IT/OT

Taki stan rzeczy wymusza opracowanie rozwiązań dedykowanych systemom sterowania, automatyki przemysłowej i instalacjom przemysłowym.

Dedykowany IDS dla ICS/OT

Ten rynek jest niesamowicie dynamiczny, z roku na rok widać jak otoczenie biznesowe dostrzega wartość, znaczenie i potencjał tego typu rozwiązań. 

Microsoft has made it official that it has acquired Israeli startup CyberX for an undisclosed amount. But trade analysts suggest that the deal might have fetched the Cybersecurity firm anything between $150m to $180m- a great deal to relish.

https://www.cybersecurity-insiders.com/

Przywołany przykład rozwiązania CyberX doskonale obrazuje, iż giganci IT widzą potencjał i potrzeby rozwoju w kierunku ICS/OT Security. Żyjąc w dobie Industry 4.0 (x.0), Digitalizacji, producenci oprogramowania dostrzegają wartość z tytułu oferowania rozwiązań budujących bezpieczeństwo od strony urządzeń sterujących, wykonawczych z poziomu automatyki przemysłowej i rozwiązań z pogranicza IIoT – IoT (ang. Industrial Internet of Things).

Spróbujmy więc zrozumieć, jakie rozwiązania są dostępne na rynku i jakie wartości dodane dla organizacji przyniesie implementacja tego typu rozwiązań. 

Funkcje systemu IDS dla ICS/OT

Kategoria tego typu oprogramowania została sklasyfikowana jako IDS, Intrusion Detection System. Jednoznacznie tym samym wskazujemy główną funkcjonalność systemu – wykrywanie zagrożeń i Threat Detection. W tej części postaram się przedstawić pokrótce czym są owe zagrożenia i anomalie które należy śledzić a które jednocześnie być może są oznaką niezmierzonego działania osób postronnych, zagrożeń natury cyber security.

Zacznijmy jednak od początku, zerkając na funkcjonalności, oczekiwania i rynku i użytkowników oprogramowaniu klasy IDS dedykowanemu środowisku OT i systemom ICS:  

  • wykrywanie zagrożeń jak powyżej: począwszy od nieutorezozowanego dostępu do zasobu sieciowego, poprzez identyfikację nowych urządzeń i typów komunikacji a kończąc na aktualizacji wersji oprogramowania, firmware 
  • identyfikacja kluczowych podatności (full match CVSS) oraz sposobu ich remediacji – rozwiązania.
  • identyfikacja podatności jest ściśle związana z asset inventory/ management w czasie rzeczywistym
  • widoczność i identyfikacji każdego z urządzeń, zasobów pod kątem pełnionej funkcji w całym systemie i specyfiki, określenie stopnia krytyczności – istotności.

Jak na powyższe wskaźniki funkcjonalności reaguje rynek ? W mojej ocenie bardzo dobrze! Tym samym zerknijmy poniżej na jedno z najpopularniejszych rozwiązań dostępnych na rynku. Popularność idzie w tym przypadku w parze z funkcjonalnością i zastosowaniem. 

Claroty – jeden z graczy

System CTD, Continuous Threat Detection firmy Claroty to typowe oprogramowanie klasy IDS. IDS dedykowany jednak do otoczenia produkcyjnego a więc wspierający szereg rozwiązań i różnorodność protokołów przemysłowych. Świadczy o tym wciąż rozwijana lista kompatybilności vendorów, która dostępna jest na stronie www Claroty. To kolejne kluczowe znamiona pozycjonujące rozwiązanie Claroty CTD jako dedykowany system dla infrastruktury ICS/OT.

Ponadto, spełnia wszystkie powyżej wymienione pożądane przez użytkowników funkcje. Co więcej, platforma CTD Claroty jest w pełni integrowalna z systemami SIEM/SOAR oraz SOC o czym na końcu niniejszej publikacji.

Mając sposobność pracy na systemie Claroty CTD, potwierdzam, iż system spełnia wszystkie najważniejsze kryteria pokładane w systemach tego typu. Czego potwierdzeniem niech będzie krótkie demo systemu: 

Wprowadzenie do systemu Claroty CTD

Niczego nie odbieram pozostałym systemom produkcji Dragos, Nozomi lub CyberX. Warto jest zwyczajnie przetestować i sprawdzić a decyzję podjąć w zgodzie ze swoimi oczekiwaniami. Wszystkie wymienione systemy posiadają zbliżoną funkcjonalność. Różnice podobno zaczynają się przy aspektach wykrywania podatności i przypisywaniu konkretnych #CVE’s do zidentyfikowanych zasobów (full match CVE). Zróżnicowane oczywiście jest też pokrycie palety protokołów przemysłowych. Większość z dostępnych systemów doskonale integruje się z czołowymi systemami SOC i SIEM/SOAR.

Monitoring – aktywnie vs. pasywnie

To jeden z kluczowych aspektów systemów IDS, jednocześnie rzutujący na mechanizmy identyfikacji urządzeń, zbierania informacji o tych urządzeniach i analizę ruchu.

Biorąc bowiem pod uwagę cykl życia instalacji przemysłowych (lata, czasami dekady …) niejednokrotnie spotykam się z przestarzałymi technologiami. Okazuje się wówczas, iż warstwa sprzętowa typu sterowniki PLC, serwer SCADA/DCS karty rozszerzeń, rozproszone punkty I/O pracują na granicznej wartości przepustowości interfejsów sieciowych. 

Przy aktywnym monitorowaniu podzespołów infrastruktury OT i automatyki przemysłowej istnieje ryzyko, w ramach którego aktywne odpytanie danego zasobu (active query) spowoduje niepożądane efekty uboczne. Tym efektem może być zarówno przeciążenie interfejsu sieciowego, jak również wygenerowanie opóźnienia w syntezie przetwarzanych danych. W efekcie końcowym nasze urządzenie końcowe i tym samym cały system może ulec zblokowaniu, ponownemu uruchomieniu (reboot) i wyzwoleniu procedur bezpieczeństwa – w tym systemów Safety i SIS.

Dostawcy rozwiązań dedykowanych dla ICS/OT bazują na bezpiecznych mechanizmach aktywnego skanowania urządzeń automatyki. Umożliwiają aktywne skanowanie jako opcję dla użytkowników znających otoczenie ICS/OT i świadomych potencjalnego ryzyka dla każdego z elementów systemu produkcyjnego. Przy aktywnej detekcji i monitoringu możemy zgromadzić większą ilość informacji odnośnie danego zasobu, informacje o zainstalowanych wersjach oprogramowania, wgranych aktualizacjach czy nawet przechwycenie informacji o użyciu klucza USB.

Bezpieczniejszym rozwiązaniem monitoringu komponentów systemu, automatyki przemysłowej, jest monitoring pasywny. Sprowadza się on do nasłuchu sieci i analizy pakietów jakie poszczególne węzły infrastruktury wymieniają między sobą. Technicznie rozwiązanie sprowadza się do zastosowania funkcji SPAN (RSPAN) lub Packet/Port Mirroring na przełącznikach zarządzanych infrastruktury OT/ICS. Wówczas ruch na danym przełączniku powielony jest na jeden SPAN port agregujący przesyłane dane z pozostałych portów pod kątem analizy w centralnym serwerze (appliance). 

Implementacja systemów IDS w środowisku ICS/OT

Ostatecznie też, jak zarządzać urządzeniami i maszynami niepodłączanymi do wspólnej infrastruktury OT. Czy stanowią one realne zagrożenie i wektory ataków ? Cóż, brak jednoznacznej odpowiedzi, jednak powinniśmy mieć możliwość importu projektów/dokumentacji z programów inżynierskich, projektowych do środowiska IDS.

Integracja z SIEM/SOAR/SOC

W ramach integracji poszczególnych systemów, konwergencji świata IT/OT, uwidacznia się trend w organizacjach co do standaryzacji rozwiązań z obszarów security, zespołów i usług. Czy bezpieczeństwo przemysłowe ICS/OT powinniśmy rozwiązywać tymi samymi zasobami co bezpieczeństwo IT? Cóż temat na oddzielny wpis wskazujący na zasadność bytności działów OT, dedykowanego OT SOC (przemysłowySOC), własnego lub kontraktowanego.

Mając jednak narzędzia typu Claroty i wiedzę, na pewno warto utylizować informacje o anomaliach i zdarzeniach z sieci produkcyjnej. Zupełnie oddzielną kwestią wciąż pozostaje oceny i podjęcia działań zaradczych. Wspomniana integracja z systemami SOC/SIEM zaczyna przynosić benefity przy założeniu iż dane z systemu IDS trafiają we właściwym czasie. Stąd już jeden krok do odnotowania alarmu, zdarzenia i podjęcia działań, analizy.

Znacząca część liczących się na runku rozwiązań Threat detection & IDS jest kompatybilna z oprogramowaniem Splunk, QRadar czy rozwiązań chmurowych z pogranicza asset management software – ServiceNow.

Wciąż jednak pozostaję przy swoim, gdzie dedykowany zespół SOC jest i zawsze będzie bardziej efektywnym rozwiązaniem. Zarówno z perspektywy security jak i niezawodności. O tym niebawem – przemysłowySOC.

Dodaj komentarz