Systemy sterowania przemysłowego są coraz bardziej skomplikowane. Co z tego wynika, jak zmieniają się możliwości atakujących i co mogą robić specjaliści ds. bezpieczeństwa – opowiadał podczas „InfraSEC 2019” Tim Roxey, emerytowany CSOO (Chief Special Opperations Officer) w NERC (North American Electric Reliability Corporation).

Od zawsze było tak, że obrońcy byli spychani do defensywy i musieli nadrabiać zaległości. Dzisiaj jest znacznie gorzej. W świecie, w którym mamy tak wiele luk bezpieczeństwa zero day, cyberobrońcy stoją na straconej pozycji. Opieranie się na najlepszych praktykach, zaleceniach instytutów naukowych i technologicznych odpowiedzialnych za ochronę infrastruktury krytycznej, organizacjach, takich jak IEC czy ISO, nie wystarcza do obrony przed ludźmi, którzy prowadzą ataki zero day w różnych, krytycznych infrastrukturach – nie tylko w infrastrukturze elektrycznej, ale w skali całej dostępnej infrastruktury.

„W efekcie społeczność ‘bezpieczników’ traci wiarę, że kiedykolwiek będzie w stanie skutecznie się bronić. Wszyscy zastanawiają się, co teraz, co dalej. Jeszcze kilkanaście lat temu było o wiele łatwiej. Dziś mamy tak wiele warstw abstrakcji, że znalezienie maszyny wirtualnej pośród setek maszyn wirtualnych zlokalizowanych w jednej szafie komputerowej obsługującej krytyczną funkcję jest praktycznie niemożliwe. Tymczasem, kiedy implementujemy standardy, dotyczą one krytycznego oprogramowania, a nie całej reszty oprogramowania na tej samej maszynie wirtualnej. Jak sobie z tym radzić?” – mówił Tim Roxey.

Problemów jest nie tylko coraz więcej, ale przede wszystkim ich przyrost znacznie przyspiesza. Jedną z przyczyn jest popularyzacja technologii powiązanych ze sztuczna inteligencją. Innym wyzwaniem jest to, że żyjemy w erze konfliktów hybrydowych. Wszystkie dostępne domeny współczesnego świata, w których można prowadzić działania, są wykorzystywane przez przeciwnika. Co więcej, przeciwnik jest bardzo dobry w konflikcie wielodomenowym. Obrońcy zazwyczaj nie są tak dobrzy w obronie wielodomenowej.

Dziś mamy tak wiele warstw abstrakcji, że znalezienie maszyny wirtualnej pośród setek maszyn wirtualnych zlokalizowanych w jednej szafie komputerowej obsługującej krytyczną funkcję jest praktycznie niemożliwe.

Jak zatem się bronić? Podstawowym elementem obrony, z punktu widzenia przeciętnego pracownika korporacji, jest wymiana informacji z innymi organizacjami w ramach branży. Ma ona kluczowe znaczenie.

Po drugie doświadczenie pokazuje, że czas upływający od włamania do ataku lub wykrycia, czas, w którym przeciwnik przebywa w środowisku, jest dość długi. Decyduje o tym złożoność systemu, a także zdolność obrońców do dostrzeżenia poruszającego się przeciwnika. „To musi się zmienić. Trzeba zacząć od początku, czyli od zadania sobie pytania: dlaczego? Należy postarać się zrozumieć ludzkie zachowania i rozwijać obronę na podstawie tych informacji. Trzeba także zidentyfikować przeciwnika” – mówił Tim Roxey.

Pewne jest, że przeciwnik będzie działał we wszystkich dostępnych domenach. Dlatego najważniejsze jest utrzymywanie zdolności do obsługi krytycznej infrastruktury w ramach wszystkich tych domen. Nie można przy tym zapominać o fundamentalnych sprawach. Są one dzisiaj tak samo ważne jak dziesięć lat temu. Musimy pamiętać o podstawowej higienie: identyfikatorach użytkowników, hasłach, zmianie haseł i posiadaniu różnych haseł do różnych systemów.

Tekst powstał na podstawie prezentacji Tima Roxeya podczas konferencji „InfraSEC 2019. Cyberbezpieczeństwo twardej infrastruktury”.