Kljub v preteklosti vztrajnemu trendu ločevanja procesnih oz. tehničnih sistemov (OT) od omrežij in sistemov, namenjenih zagotavljanju poslovnih aplikacij (IT), prihaja do vse večjega prepletanja procesov in potreb po izmenjavi podatkov med različnimi aplikacijami na eni strani, na drugi pa se z digitalizacijo industrijskih okolij in pametnih omrežij v elektroenergetiki pojavlja čedalje več novih rešitev, ki zahtevajo povezljivost vedno večjega števila gradnikov v sistemu. Izkušnje kažejo na pojav stalno razvijajočih se naprednih in kompleksnih kibernetskih groženj, specializiranih za vdore v procesna omrežja.

 

Peter Ceferin, CTO Smart Com

Cilj vdorov v industrijska okolja in kritično infrastrukturo, kot je elektroenergetski sistem, je prevzem kontrole nad napravami v tehničnih omrežjih in posledično ustavitev vitalnih procesov, kar vodi do poslovnega oškodovanja ali celo ogrožanja življenj. Za zagotavljanje kibernetske varnosti v teh sistemih je potrebno uvesti tehnološke rešitve, ki omogočijo razpoznavo skritih in kompleksnih groženj, usmerjenih v specifične sisteme, kot so npr. sistemi vodenja elektroenergetskih omrežij. Na podlagi ugotovljenih stanj, pa je potrebno zagotoviti povratno zanko in navzdolnjo integracijo z do sedaj uvedenimi mehanizmi kibernetske varnosti, kot so požarne pregrade, IPS-sistemi ter navzgornjo integracijo s sistemi SIEM in nastajajočimi strukturami varnostno operativnih centrov (VOC). Algoritmi strojnega učenja so na tem področju že prevzeli pomembno vlogo, z njimi pa vzpostavljamo napredne rešitve za zaznavanje kibernetskih groženj v OT-okoljih.

 

Podlago za obvladovanje velikih količin podatkov za obdelavo z vidika kibernetske varnosti je potrebno iskati v naprednih tehnoloških rešitvah, algoritmih umetne inteligence ter standardih za uporabo in strukturo kibernetske varnosti v OT-sistemih.

 

Potek kibernetskega napada na kritično infrastrukturo

Prvi od resnejših napadov na industrijska okolja, posebej zasnovan za napad na elektroenergetske sisteme, ki se je zaradi svoje agresivnosti po uspešno izvedenem napadu razširil tudi izven segmenta elektroenergetskega proizvodnega objekta, je bil Stuxnet, ki se je v obliki, ki je povzročila uspešno izveden vdor in napad preko sistema za vodenje SCADA, pojavil leta 2010. Tipičen potek in obnašanje novih vrst kibernetskih groženj, usmerjenih v OT-okolja je bil demonstriran in preizkušen pri napadih na ukrajinski elektroenergetski sistem v letih 2015, 2016 in 2017. Prvi napad leta 2015 je pomenil tudi prvi znan kibernetski napad na obsežnejši elektroenergetski sistem, ki je povzročil izpad dobave električne energije za več kot 200.000 prebivalcev.

 

Napad na ukrajinski elektroenergetski sistem leta 2016 je povzročila zlonamerna programska koda z imenom Industroyer (poznana pa tudi pod imeni CrashOverride in Win32/Industroyer), katerega obnašanje je z vidika sodobnih kibernetskih groženj potrebno poznati, saj lahko tako načrtujemo ustrezne tehnološke rešitve za zaznavanje takšnih groženj in morebitnih kibernetskih napadov. Analiza poteka tega kibernetskega napada je pokazala, da takšni »uspešni« kibernetski napadi potekajo v treh fazah:

  • okužba ciljnih sistemov z zlonamerno kodo,
  • poizvedovanje in odkrivanje sistemov v OT-okolju,
  • napad.

 

Prva faza: Okužba sistemov z zlonamerno kodo

Glede na veljavno dobro prakso, da so OT-sistemi ločeni od zunanjih IK omrežij ter IT sistemov pogostokrat velja prepričanje, da okužba preko zunanjih omrežij in oddaljenih dostopov do sistemov v OT-okoljih ni možna ali pa je izredno težavna. Tega se zavedajo tudi kibernetski napadalci, ki si izberejo tarče v teh okoljih, zato način okužbe s ciljno zlonamerno kodo običajno izvedejo na drugačen, izredno prikrit način. S t. i. ‚‘spear phishing‘‘ napadi, ki so usmerjeni v določeno skupino uporabnikov računalniških sistemov, se pošlje običajna elektronska sporočila z legalnimi dokumenti, v katerih je skrita zlonamerna programska koda, ki se ob odprtju dokumenta aktivira in prenese na osebni računalnik. Namesto okužbe preko napadov v elektronskih sporočilih, lahko pride na podoben način do okužbe tudi z uporabo USB ključkov ali do okužbe pri predhodnem dostopu do različnih virov v odprtem Internetnem omrežju. Ko se računalnik, okužen z zlonamerno kodo, znajde v zaprtem OT-sistemu, le-ta poišče in se prenese na industrijske računalnike v sistemu, kot npr. na postajne računalnike in C&C (ang. Command and Control) strežnike. S tem je cilj prve faze dosežen, v drugi in tretji fazi se izvajajo nadaljnji koraki iz okuženih naprav.

 

Druga faza: Poizvedovanje in odkrivanje sistemov v OT-okolju

Zlonamerna programska koda, s katero je okužen računalnik, sproži poizvedovanje in odkrivanje naprav, njihovih povezav ter obnašanja le-teh. Zlonamerna koda se na ta način ‚‘nauči‘ značilnosti okolja in si sama gradi elemente za učinkovit napad. Že v tej fazi lahko zlonamerna koda prevzame kontrolo nad določenimi napravami v sistemu, vendar še vedno na posega v delovanje naprav in je lahko prisotna v sistemu tudi mesece. Take kode ne moremo odkriti s klasičnimi mehanizmi kibernetske varnosti, saj le-ti nimajo vgrajenih mehanizmov za prepoznavanje vzorcev prometnih tokov v sistemu, ki se izvajajo med fazo poizvedovanja in jih ne moremo primerjati z vzorci prometnih tokov in povezav, ki so prisotni v običajnem stanju in delovanju naprav in povezav med njimi. Cilj je identifikacija ciljnih tarč napada in priprava na kasnejšo izvedbo določenih ukazov nad spremenljivkami znotraj protokolov.

 

Tretja faza: Napad

Zlonamerna koda prevzame nadzor nad ciljnimi napravami in prične z izvajanjem ukazov, ki posledično vodijo do nekontroliranih stanj in posledično razpada sistema. Po izvršenem napadu in izvedenih manipulacijah na napravah se zlonamerna koda na okuženih sistemih samodejno izbriše in zakrije sledi za seboj. To izredno oteži kasnejšo forenziko in odkrivanje značilnosti napada, ki bi lahko koristile pri vgradnji zaščitnih mehanizmov za podobne napade v prihodnosti. Zato je raziskovanje in forenzika takih napadov dolgotrajen proces in zahteva visoko usposobljene strokovnjake s področja kibernetske varnosti, ki morajo hkrati poznati strukturo in delovanje procesnih protokolov značilnih za okolje.

 

Vloga umetne inteligence pri obvladovanju kibernetskih groženj

korporativna varnostPodlago za obvladovanje velikih količin podatkov za obdelavo z vidika kibernetske varnosti je  potrebno iskati v naprednih tehnoloških rešitvah, algoritmih umetne inteligence ter standardih za uporabo in strukturo kibernetske varnosti v OT-sistemih. Z vzporednim razvojem algoritmov strojnega učenja in zajemom pretokov v OT-omrežju ter njihovim globokim preverjanjem lahko zajemamo celoten nabor elementov v omrežju, njihovih značilnosti ter morebitnih varnostnih vrzeli, ključnega pomena pa je vzpostavitev slike prometnih pretokov in poznavanja le-teh do aplikacijske ravni OSI modela (L7), saj na ta način vzpostavimo možnost kontrole nad vrednostmi parametrov znotraj protokolov, ki se pretakajo v OT-sistemu. Proti kibernetskim napadalcem, ki uporabljajo za napad tudi mehanizme umetne inteligence, se lahko učinkovito borimo le z uporabo varnostnih rešitev, ki za svoje delovanje uporabljajo enake metode.

 

Moderni sistemi, ki so namenjeni preprečevanju naprednih kibernetskih napadov v OT-okoljih, torej na podlagi algoritmov umetne inteligence in naprednih tehnik strojnega učenja določen čas le pasivno poslušajo in spremljajo promet v omrežju. V tem času za vsako zaznano napravo v svoji podatkovni bazi ustvarijo njen normaliziran prometni profil. Po fazi učenja se postavi napravo v fazo ščitenja oz. zaznave anomalij in varnostnih groženj. V primeru, da opazovani parametri niso več znotraj naučenih (ali ročno nastavljenih) meja, mora sistem javiti alarm, na katerega se ustrezno odzove operater v centru vodenja ali v varnostnem operativnem centru (VOC). Pomembno je, da se omenjeni procesi dogajajo v realnem času, saj je le tako možno dovolj zgodaj odkrivati dogajanje v OT-okolju in zaznati morebitne kibernetske grožnje v sistemu.

 

Obvladovanje kibernetskih tveganj v prihodnosti

Zavedanje o nujnosti uvajanja naprednih sistemov kibernetske varnosti v OT-okolja se je začelo bistveno spreminjati po uspešno izvedenih kibernetskih napadih, ki so povzročili znatne škode ali celo razpade sistemov, kot je npr. elektroenergetski.

 

Na podlagi forenzičnih raziskav teh napadov so bila pridobljena znanja o naravi in obnašanju kompleksnih in prikritih varnostnih groženj, ki so neposredno usmerjene na industrijska okolja in kritično infrastrukturo, predvsem na sisteme SCADA. Kompleksni kibernetski napadi na OT-okolja potekajo v treh fazah, cilj prve faze je vnos in okužba računalniških sistemov z zlonamerno kodo, cilj druge faze je poizvedovanje in pridobitev podatkov o prometnih tokovih in napravah, ki so prisotne v sistemu, in cilj tretje faze je izvedba kibernetskega napada ter samouničenje zlonamerne kode, z namenom brisanja sledi.

 

Klasične metode kibernetske varnosti za primere takšnih varnostnih groženj in napadov ne zadoščajo več, zato je potrebno uvesti sisteme, ki izvajajo pasivni zajem in globoko preverjanje paketov komunikacijskih pretokov v sistemu, razpoznajo značilnosti protokolov v OT-sistemu, z algoritmi umetne inteligence pa razpoznajo normalno delovanje v sistemu ter prisotnost zlonamerne kode v sistemu ter pošiljajo ustrezna sporočila ostalim aktivnim varnostnim sistemom, kot so požarne pregrade in sistemi v VOC.

 

Pogled na zagotavljanje celovite varnosti v OT-okoljih je sicer širši, v prispevku je osvetljen predvsem vidik vzpostavitve identifikacije in upravljanja z viri ter zaznavanja anomalij na virih in prometnih tokovih v OT sistemu z uporabo umetne inteligence. Gre za ključen gradnik, ki ga je potrebno upoštevati pri načrtovanju arhitekture in ukrepov kibernetske varnosti v današnjih in prihodnjih OT-okoljih.

 

Članek je bil objavljen v reviji Korporativna varnost, letnik 2020, marec št. 22.