Posted in Informativno, Novosti, Preporuke, Smjernice

CISA: Sajber napad je onesposobio gasovod na dva dana. Preporuke za zaštitu

 Published Date: February 21, 2020

CISA: Sajber napad je onesposobio gasovod na dva dana. Preporuke za zaštitu

Agencija za sajber bezbjednost i bezbjednosti infrastruktura SAD-a ( Cybersecurity and Infrastructure Security Agency – CISA ) objavila je 18.02. preporuke za operatore infrastruktura. Preporuke su objavljene nakon sajber napada na neimenovanu kompaniju koja se bavi transportom gasa. Napad je onesposobio postrojenje za kompresiju gasa na dva dana.

Napadači su inicijalni pristup dobili putem spearphishing napada. Nakon što su dobili pristup računarskoj mreži namijenjenoj zaposlenima, uspjeli su da dobiju i pristup računarima koji se koriste za upravljanje postrojenjem (tzv. OT – Operational tehnology). Napadači su nakon toga na sve Windows računare instalirali komercijalni ransomware. Napad je onemogućio servere koji se bave agregacijom podataka sa senzora, ali nije napao programabilne logičke kontrolere (PLC) koji se koriste za upravljanje u ovakvim postrojenjima. U ovom slučaju postrojenje je izgubilo mogućnost pregleda informacije, tzv. loss of view, ali bi posljedice bile katastrofalne da su napadnuti i PLC kontroleri što bi moglo dovesti do gubitka kontrole nad postrojenjem.

Kompanije je uspjela da zamijeni pogođene računare i učita posljednje funkcionalne konfiguracije, te je postrojenje osposobljeno nakon dva dana. Iako je napad pogodio samo jedno postrojenje zbog međusobne povezanosti i druga postrojenja koja su spojena na isti gasovod su morala prestati sa radom.

Prenosimo vam dio članka koji je objavila CISA, kompletan članak možete pronaći ovdje.

Činjenično stanje vezano za napad

Planiranje i operacije

  • Napadač nije uspio da dobije mogućnost kontrole postrojenja. Žrtva je izgubila mogućnost pregleda informacije na pogođenoj lokaciji. Mogućnost pregleda informacije je zadržana na udaljenoj lokaciji, ali sa ove lokacije nije bilo moguće vršiti kontrolu uređaja u pogođenom postrojenju.
  • Žrtva posjeduje plan za djelovanje u hitnim situacijama, ali je isti fokusiran na fizičku bezbjednost i ne pokriva računarsko bezbjednosne incidente. Iako plan predviđa gašenje postrojenja, žrtva je podcijenila uticaj napada te je implementiran ograničen odgovor na incident .
  • Plan djelovanja u hitnim slučajevima je razmatrao veliki broj različitih fizičkih prijetnji, ali nije razmatrao prijetnje od strane sajber napada. Zbog ovog vježbe koje je provodila žrtva, nisu bile u stanju da pruže zaposlenima iskustvo u reagovanju na sajber napad.
  • Iako se napad desio samo na jednom postrojenju zbog povezanosti sistema obustavljen je rad kompletnog gasovoda.
  • Žrtva je navela da je razlog za nedostatak reakcije na sajber napade u planu djelovanja u hitnim slučajevima manjak znanja iz oblasti sajber bezbjednosti i nepoznavanje različitih scenarija sajber napada.

Stanje računarske mreže i popratnih uređaja

  • Žrtva nije implementirala segregaciju između računarske mreže namijenjene zaposlenima (u daljem tekstu: IT mreža) i računarske mreže namijenjene upravljanju postrojenjem (u daljem tekstu: OT mreža).
  • Napadač je koristio komercijalnu varijantu ransomware-a da napadne Windows bazirane računare na IT mreži i na OT mreži.
  • Pošto je napad ciljao Windows računare, nisu pogođeni PLC uređaji koji su zaduženi za direktno čitanje i kontrolu fizičkih procesa.
  • Žrtva je bila u mogućnosti da zamijeni pogođene uređaje i da učita posljednje funkcionalne konfiguracije.
  • Svi uređaji na OT mreži su se nalazili na istoj geografskoj lokaciji.

Predložene mjere

Planiranje i operacije

  • Organizacije moraju u svojim planovima djelovanja u hitnim slučajevima razmotriti i uticaje koje sajber napadi mogu imati na izvođenje operacija. Sajber napadi mogu dovesti do manipulacije očitavanja (eng. manipulation of view), onemogućenje očitavanja (eng. loss of view), manipulaciju sa upravljanjem (eng. manipulation of control) i ugrožavanje bezbjednosti. Procedure odgovora na incident moraju obratiti posebnu pažnju na identifikaciju kriterijuma na osnovu koga će se utvrditi koliko je ozbiljan napad. Kriterijum treba da jasno odvoji incidente u kojima je potrebno odmah isključiti postrojenje od napada kod kojih je dozvoljeno nastaviti sa operacijama.
  • Potrebno je vježbati upotrebu alternativnih sistema kontrole postrojenja, uključujući i ručnu kontrolu, dok se čeka na povratak u rad električnih komunikacija.
  • Prilikom vježbi potrebno je osposobiti osoblje da donosi odluke. Vježbe trebaju uključivati i scenarije u kojima je onemogućeno očitavanje ili je izgubljena mogućnost kontrole nad postrojenjem.
  • Lekcije koje se steknu pri vježbama potrebno je uvrstiti u procedure.
  • Potrebno je identifikovati SPOF tačke (eng. Single Point of Failure, dio sistema čiji otkaz može ugroziti funkcionisanje kompletnog sistema) koje mogu ugroziti pregled funkcionisanja postrojenja. Identifikacija SPOF tačaka treba da uzme u obzir kako tehnička rješenja tako i ljudstvo koje radi u postrojenju. Za SPOF tačke je potrebno razviti redundantne ili alternativne kanale koji mogu preuzeti funkcionisanje u slučaju otkaza.
  • Potrebno je imati redundantne načine komunikacije između geografski udaljenih lokacije koje rade na istom gasovodu. Potrebno je koordinisati aktivnosti sa udaljenim postrojenjima.
  • Sajber prijetnje po fizičku bezbjednost postrojenja je potrebno prepoznati i uvrstiti u programe obuke zaposlenih.
  • Potrebno je osigurati da plan djelovanja u hitnim slučajevima uzme u obzir i treća lica, koja imaju legitimnu potrebu za pristupom OT mreži, kao što su inženjeri i ponuđači usluga.

Tehničke mjere

  • Potrebno je implementirati robusnu segmentaciju mreže između IT mreže i OT mreže. Segmentacija bi umanjila mogućnost izvođenja napada ka OT mreži u slučaju kompromitacije IT mreže. Kako bi se zaštitila OT mreža i eliminisala nepotrebna komunikacija potrebno je implementirati DMZ (eng. Demilitarized zone).
  • Potrebno je grupisati OT uređaje u logičke zone po njihovom značaju i po stepenu posljedica koje nefunkcionisanje ovih uređaja može izazvati. Potrebno je definisati prihvatljivu komunikaciju između zona. Sva komunikacija između zona mora prolaziti kroz mehanizme za filtriranje i monitoring mrežnog saobraćaja. Potrebno je blokirati dolazni saobraćaj iz IT mreže koji se odnosi na ICS (Industrial Control System) protokole.
  • Potrebno je implementirati višefaktorsku autentifikaciju pri udaljenom pristupu.
  • Potrebno je implementirati upravljanje rezervnim kopijama (eng. backup). Rezervne kopije je potrebno praviti i za OT mrežu i za IT mrežu. Rezervne kopije se moraju redovno testirati i čuvati na izolovanoj lokaciji kako ne bi bile pogođene napadom.
  • Potrebno je uvesti princip separacije dužnosti i minimalnih privilegija. Korisnici moraju imati samo privilegije koje su im dovoljne za obavljanje posla.
  • Potrebno je koristiti adekvatno filtriranje email saobraćaja kako bi se spriječilo da phishing email-ovi dođu do korisnika. Tokom obuke zaposlenih, potrebno ih je upoznati sa posljedicama otvaranja malicioznih priloga email poruka i posljedicama otvaranja linkova koji vode na maliciozne veb stranice.
  • Potrebno je izvršiti filtriranje saobraćaja kako bi se onemogućila odlazna i dolazna komunikacija ka poznatim malicioznim IP i URL adresama.
  • Potrebno je vršiti redovno ažuriranje softvera koje uključuje: operativni sistem, aplikacije, firmver za mrežne uređaje i uređaje za OT. Potrebno je razmotriti korišćenje centralizovanog sistema ažuriranja.
  • Potrebno je koristiti anitivirusne softvere na uređajima na IT mreži.
  • Potrebno je spriječiti pokretanje makro komandi u Microsoft Office aplikacijama, poželjno je da se koristi Office Viewer program za pregled dokumenta.
  • Potrebno je implementirati prevenciju pokretanja aplikacija za sve aplikacije koje se ne nalaze na listi dozvoljenih aplikacija (eng. whitelisting). Potrebno je implementirati politike koje će spriječiti pokretanje aplikacija iz direktorijuma koji se često koriste od strane malvera kao što su: privremeni direktorijumi koje koriste veb čitači i programi za upravljanje sa arhivama, te direktorijumi: AppData/LocalAppData.
  • Potrebno je ograničiti mrežni pristup resursima. Ovo se pogotovo odnosi na protokole za udaljeni pristup kao što je RDP (Remote Desktop Protocol). U slučaju RDP-a poželjno je korišćenje višefaktorske autentifikacije.

Izvori:     

us-cert.gov                                                                                      

threatpost.com                                                                              

securityweek.com

thehackernews.com