Jaka powinna być architektura skutecznej ochrony infrastruktury krytycznej? Jak wypełniać poszczególne zalecenia ustawy o KSC, mapując rozwiązania architektury, które za nie odpowiadają. Jaka jest sytuacja na polskim rynku w sektorze Utilities i Industry – czy jesteśmy gotowi, by ochronę infrastruktury krytycznej oprzeć na aktywnych regułach bezpieczeństwa, czy też chcemy pozostać przy pasywnej detekcji incydentów i procedurach obsługi anomalii przez ludzi i czy będzie to skuteczne? Te zagadnienia były tematem dyskusji podczas „KSC Forum 2019” w grupie roboczej „Skuteczna ochrona infrastruktury krytycznej – pasywna  detekcja anomalii czy aktywne reguły zwrotne – procesy i obiekty a infrastruktura informatyczna”. Przedstawiamy wypracowane przez jej uczestników wnioski.

Ustawa o KSC znacząco zmienia odpowiedzialność operatora infastruktury krytycznej i wymogi dotyczące usług, jakie powinien uruchomić. Powinien on w szczególności posiadać narzędzia, które umożliwią mu rozpoznanie, że właśnie doszło do przerwania ciągłości świadczenia usług lub poważnego obniżenia ich jakości. A gdy to wykryje, powinien móc:

• identyfikować incydenty, rejestrować incydenty, klasyfikować incydenty, w tym identyfikować incydenty poważne*;
• zgłaszać incydent poważny za pośrednictwem systemu teleinformatycznego do właściwego CSIRT;
• opisać wpływ incydentu poważnego na usługi kluczowe;
• w przypadku incydentu, który mógł mieć wpływ na usługi kluczowe, opisać przyczyny tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania na systemy informacyjne.

Powinien ponadto:

• objąć świadczone usługi kluczowym systemem monitorowania w trybie ciągłym;
• zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
• stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo;
• zarządzać ryzykiem zakłócenia ciągłości świadczenia usługi kluczowej;
• posiadać odpowiednie i proporcjonalne środki techniczne oraz organizacyjne w celu analizowania ryzyk i zarządzania nimi. 

Pytania do dyskusji

Jako podstawę do dyskusji przyjęto modelowe rozwiązanie: wielopoziomową architekturę referencyjną Check Point, składającą się z mikrosegmentacji i wyższych warstw. 

Przed podjęciem dyskusji sformułowano zestaw otwartych pytań, które stanowiły podstawę do dalszych prac grupy: 

• Czy skuteczność separacji fizycznej infrastruktury krytycznej to mit, relikt poprzedniej epoki? 
• Czy separować z zastosowaniem rozwiązań NGTW lub za pomocą diody jednokierunkowej, a jeśli tak, to jak uaktywniać subskrypcje w zamkniętym środowisku?
• Czy separacja i segmentacja to wymóg bezpośrednio wynikający z ustawy o  KSC – czy traktować to jako niedopełnienie należytej staranności?
• Co separować – podsieci SCADA, komunikację opartą na protokołach? A co z mapowaniem podatności rozwiązania i wykorzystaniem IPS?
• Ochrona stacji dyspozytorskich – co to właściwie ma być?
• Czy rozwiązania wyższych warstw – typu Asset & Anomaly Detection – to rozwiązanie wynikające z zaleceń ustawy KSC?
• Korelacja zdarzeń, wspólne zarządzanie, analityka śledcza, raportowanie zgodność z normami, zarządzanie incydentami – jakie narzędzia powinien mieć SOC w infrastrukturze krytycznej?
• A co z rozwiązaniami alternatywnymi Sanblast? Czy tego typu rozwiązania powinny znaleźć zastosowanie w ochronie infrastruktury krytycznej?
• Skuteczna architektura ochrony infrastruktury krytycznej – jak powinien wyglądać model referencyjny CHP?
• Czy wykrywanie incydentów, czy aktywne reguły zwrotne i blokowanie anomalii na Firewall-ach separujacych – czy jesteśmy na to gotowi?  

Mapowanie obszarów ustawy KSC versus model referencyjny skutecznej ochrony infrastruktury krytycznej

W świetle ustawy o Krajowym Systemie Cyberbezpieczeństwa konieczna jest kompletna architektura w pełni adresująca wszystkie wymogi KSC dla operatorów infrastruktury krytycznej. Dotyczy to zarówno wykrywania incydentów, jak i zapobiegania ich rozprzestrzenianiu się, ich obsługi, tj. określania poziomu ważności oraz raportowania i analizy ich wpływu na poziom świadczenia usługi.

Rozwiązanie AAD (Asset & Anomaly Detection) pozwala na spełnienie następujących wymogów: 

• identyfikowanie incydentów, rejestrowanie incydentów, klasyfikowanie incydentów – rozumiane i widziane w tym systemie jako anomalie;
• opis wpływu incydentu poważnego na usługi kluczowe – raport z wpływu incydentu na usługę lub przeprowadzenie symulacji wpływu incydentu na procesy w organizacji;
• opis przyczyn tego incydentu, sposobów jego przebiegu oraz prawdopodobnych skutków oddziaływania na systemy informacyjne – poprzez analizę śledczą forensic;
• monitorowanie podatności systemu – możliwy Paching podatnych wersji systemów tak w stacjach dyspozytorskich, jak i w sterownikach PLC poprzez wskazanie podatnych, przestarzałych wersji firmware’u systemu;
• raportowanie, klasyfikacja i zgłaszanie incydentów poważnych –  oprogramowanie wspólnie zarządzające R80.xxx umożliwia zarządzanie incydentem, raportowanie z analityką śledczą skutków, jak również bieżące sprawdzenie poprawności konfiguracji z normami tzw. Compliance Check Point.

W ramach infrastruktury FW-s + AAD+ EndPoint + DDOS/WAF, spiętej jednym systemem zarządzania zgodnie z dyrektywą, możliwe jest spełnienie wymogów w obszarach:

• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty – system AAD;
• zastosowanie odpowiednich oraz proporcjonalnych środków technicznych i organizacyjnych w celu analizowania rodzajów ryzyka i zarządzania ryzykami – zarządający administratorzy R80.xxx;
• stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo – systemy FWs CHP analizujące protokoły i zagrożenia w sieci, mikrosegmentacja sieci;
• zarządzanie ryzykiem zakłócenia ciągłości świadczenia usługi kluczowej R80.xxx
• objęcie świadczonych usług kluczowych systemem monitorowania w trybie ciągłym – R80.xxx. 

Wnioski z dyskusji 

Wśród uczestników naszej grupy roboczej byli przedstawiciele wielu sektorów: energetycznego, górniczego, paliwowego, przemysłu, transportu. Poddaliśmy dyskusji model referencyjnej architektury, opierając się na przykładowym rozwiązaniu firmy Check Point. Wynikiem wspólnej dyskusji są poniższe wnioski:

1. Bezpieczeństwo sieci infrastruktury krytycznej nie opiera się na separacji fizycznej, obecnie separacja fizyczna to mit i niebezpieczna praktyka.
2. Separacja środowisk infastruktury krytycznej i mikrosegmentacja to pierwszy krok konieczny do minimalizacji zagrożenia w segmentach, jak również do świadomej ochrony infrastruktury krytycznej przed nieuprawnionym dostępem, eliminacji znanych lub nieznanych ataków z wykorzystaniem rozwiązań Sandboxingowych oraz mapowania podatności. Przedstawiciele obecnych sektorów potwierdzili, że działania w tym kierunku są zaawansowane lub zostały już wdrożone konkretne rozwiązania z tego zakresu.
3. Diody to rozwiązania do specyficznych zastosowań i mogą być wykorzystywane w określonych miejscach infrastruktury, jednak efekty, jakie przynoszą, są identyczne jak przy firewallach. W przypadku zastosowania rozwiązań NGFW lub NGTP firewall spełnia dodatkowo funkcję ochrony środowiska, które separuje, co w dzisiejszych sieciach jest niezbędne.
4. Rozwiązanie Asset & Anomaly Detection to narzędzie umożliwiające wykrycie incydentu, klasyfikację i zobrazowanie wpływu, jaki miała anomalia na infrastrukturę; w świetle ustawy o KSC jest to ważne przy raportowaniu incydentu. Ta działalność jest naturalną kontynuacją pierwszego kroku, czyli separacji. 
5. Wykorzystanie firewalli separujących jako sondy ruchu do analizy w Asset & Anomaly Detection to naturalne oszczędności dzięki uproszczeniu infrastruktury poprzez pozwolenie na spełnienie podwójnej roli przeznaczonym do pracy w środowiskach przemysłowych urządzeniom.
6. Jednorodność ochrony w sieci SCADA z wykorzystaniem jednego vendora w kilku miejscach i warstwach ochrony infrastruktury krytycznej daje szersze możliwości analizy powiązania wektorów ataku poprzez korelacje zdarzeń, raportowania stanu bezpieczeństwa całej infrastruktury, analizy śledczej po incydencie. Jednorodne rozwiązania to skuteczny monitoring i ochrona, lepsze zapobieganie incydentom oraz niższe koszty i większa szczelność ochrony dzięki zastosowaniu jednorodnych reguł blokujących.
7. Rozwiązania kompleksowej ochrony stacji dyspozytorskiej jako element systemu bezpieczeństwa infrastruktury krytycznej: zabezpieczenie antywirusowe, zabezpieczenie portów przed włożeniem nieuprawnionych urządzeń, zabezpieczenia antyransomware, bezpieczne szyfrowane VPN, szyfrowanie dysku, analityka śledcza (forensic).
8. Spójny system raportowy z zgodny w wytycznymi ustawy o KSC – sprawdzenie stopnia spełnienia specjalnych norm branżowych w zaprojektowanym środowisku.
9. Automatyzacja w procesach ochrony sieci krytycznej, reguły zwrotne blokujące wykryte anomalie/incydenty w chwili ich wykrycia to najskuteczniejsza i dostępna metoda ochrony w ramach prezentowanej architektury i rozwiązań referencyjnych. Niemniej w systemach wyższych warstw, takich jak system Asset & Anomaly Detection korzystający z procesów machine learnig, nauka relacji procesowych włączana jest na określony czas, co nie daje pewności uchwycenia wszystkich złożonych procesów komunikacji w infrastrukturze krytycznej, w której pewne procesy pojawiają się rzadko, np. tylko raz do roku. Wskazane jest wobec tego oparcie się w trakcie wdrożenia na detekcji incydentów i w miarę nabywania doświadczeń stopniowe włączanie reguł blokujących proces tylko w sytuacjach potwierdzonych anomalii. W przypadku uruchomienia decyzja o dalszych działaniach związanych z incydentem pozostaje w gestii administratora systemu i poparta powinna być procedurami działania w chwili wykrycia.   

Podsumowanie

Aby spełnić wymogi ustawy o KSC, nie wystarczy posiadanie SOC-u. Potrzeba świadomie zaplanowanej, skutecznej i bezpiecznej architektury infrastruktury krytycznej z mikrosegmentacją, minimalizującej skutki ewentualnego incydentu. Potrzeba narzędzi wyższych warstw pracujących na procesach i obiektach, takich jak: sterowniki, stacje dyspozytorskie, serwery SCADA – analizujących procesy i wskazujących potencjalne incydenty czy anomalie w pracy, określających ich poziom i wpływ na świadczoną usługę krytyczną. Takimi narzędziami są rozwiązania firewall pracujące równocześnie jako sondy dla rozwiązań typu Asset & Anomaly Detection. W połączeniu z ochroną stacji końcowych, umożliwiającą analitykę forensic rozprzestrzeniania się incydentu,  przy wspólnej platformie zarządzania zapewniają kompletny i skuteczny system ochrony infrastruktury krytycznej.

Opracował: Mirosław Żukowski, dyrektor Sektora Utilities & Industry, Check Point Software Technologies, moderator grupy roboczej „Skuteczna Ochrona Infrastruktury Krytycznej – pasywna  detekcja anomalii czy aktywne reguły zwrotne – procesy i obiekty a infrastruktura informatyczna”.