Hirdetés
. Hirdetés

A harmadik hálózat

|

Interjú Dominic Storeyval, a Cisco biztonságtechnikai mérnökével.

Hirdetés

A folyamatvezérlő hálózatok mindenütt megtalálhatók az ipari létesítményekben alkalmazott SCADA rendszerektől kezdve a bankjegykiadó automatákon és a vasút jelzőlámparendszerén át a kórházak intenzív osztályán a betegek életfunkcióit fenntartó berendezésekig és az adatközpontok klimatizálásáig – más szóval a gazdaság, a társadalom és az egyének szempontjából egyaránt kritikus infrastruktúrák többségének működtetését ezek a hálózatok támogatják.

Hirdetés

Dominic Storey, a Cisco biztonságtechnikai mérnöke az ITBN 2014 konferencián a folyamatvezérlő hálózatok biztonsági kockázataira hívta fel a figyelmet előadásában, melynek során élőben demonstrálta egy SCADA rendszer feltörését és a támadás sokkoló következményeit. A szakember korábban a FirePOWER hálózatbiztonsági hardver- és szoftvermegoldásokat szállító Sourcefire regionális technológiai igazgatója volt. A Gartner által a behatolásmegelőző rendszerek vezető szállítói közé sorolt (Magic Quadrant for Intrusion Prevention Systems 2013) és a NATO minősített beszállítói listáján szereplő céget a Cisco tavaly vásárolta fel 2,7 milliárd dollárért.

Computerworld: Előadásában úgy fogalmazott, hogy a vállalatoknak van egy harmadik hálózatuk, amely információbiztonság tekintetében jóval kevesebb figyelmet kap, mint a szerver és a klienskörnyezet.

Dominic Storey: A helyzet sokszor még ennél is rosszabb, IT-biztonsági vezetőkkel, CSO-kkal beszélgetve ugyanis gyakran kiderül, hogy a folyamatvezérlő hálózatok meg sem jelennek a radarképernyőjükön. Ilyenkor a kártyás beléptetőrendszerek példáján keresztül szoktam rávilágítani a harmadik hálózatot övező biztonsági kockázatokra. Kártyás beléptetőrendszer ugyanis a legtöbb irodaházban és ipari létesítményben működik, és a többi rendszerhez hasonlóan adathálózatot használ, ennek ellenére a legtöbb esetben nem az IT-osztály, hanem az épületüzemeltetéssel megbízott cég felügyeli. Ugyanígy a legtöbb irodaépület, gyárcsarnok vagy raktár légkondicionáló rendszerrel is fel van szerelve, amelyet távolról, az interneten keresztül felügyel a feladatot ellátó üzemeltető. De még abban az esetben is, ha házon belülről menedzselik a rendszert, a szoftvert futtató PC-ről valószínűleg leveleznek is, tehát az internetre csatlakoznak. Márpedig ahol van internetelérés, ott a biztonsági kockázattal, fenyegetettséggel is számolnunk kell – gondoljunk arra, hogy ez a veszély még az internettől hermetikusan elzárt rendszerek esetében is fennáll. A problémát súlyosbítja, hogy az épület-felügyeletet ellátó cégeknél az IT-biztonság jellemzően nincs fókuszban, kevésbé jártasak a hálózatvédelem területén.

CW: Ugyanilyen lesújtó a helyzet a gyártó- és közművállalatok által használt SCADA rendszerek esetében is? Ezekről a szervezetekről az ember feltételezi, hogy tájékozottabbak a technológiai kérdésekben, mint mondjuk egy épülethasznosítással és -üzemeltetéssel foglalkozó vagy őrző-védő szolgáltatást adó cég.

DS: Kétségtelenül jártasabbá válnak a gyártó- és közművállalatok az informatika terén, és tudatában vannak a biztonsági kockázatoknak is, különösen a smart grid, az intelligens elosztó hálózatokat építő és működtető ipari és szolgáltató vállalatokra igaz ez. De esetükben is azt tapasztaltam az elmúlt két-három évben, hogy amikor biztonsági kockázatot azonosítanak hálózatukban, akkor lassan és túlzottan bürokratikus módon reagálnak, bizottságokat alakítanak, értekezleteket tartanak ahelyett, hogy azonnal intézkednének. Ezek az iparágak, úgy tűnik, más időkeretekben gondolkodnak, így szereplőikben nincs meg mindig a hatékony védekezéshez szükséges gyorsaság.

 

CW: A középméretű vagy annál nagyobb gazdasági szervezetek, ha CSO-val nem is mindig, de házon belüli IT-csoporttal, IT-vezetővel általában rendelkeznek. Neki nincs beleszólása mindebbe?

DS: Az IT-oldal képviselőjét gyakran meg sem hívják ezekre az értekezletekre, a gyártási folyamatot támogató technológiáért, illetve az informatikai rendszerekért felelő szakemberek sokszor két, teljesen különálló csoportot alkotnak a szervezeten belül, ezért úgy érezhetik, hogy érdekeik egymással szembe mennek. Ha az informatikusok karbantartás, például javítócsomag telepítése végett átmenetileg lekapcsolnák a gyártósor felügyeletét ellátó PC-t, akkor a gyártásért felelő szakemberek tiltakoznak, mert nekik az a feladatuk, hogy biztosítsák a napi 24 órás, heti hét napos működést. Nem megy ritkaságszámba, hogy ezeken a PC-ken Windows 95 vagy Windows NT fut, ami még inkább megnehezíti az új támadásokkal szembeni védekezést.

CW: Meglepő minderről hallani, amikor ugyanezek a vállalatok, illetve az őket megcélzó szállítók ma már az ipari internetről beszélnek, még több szenzort helyeznének el a gyártósorokon, elosztóhálózatokban és termékekben, hogy még több adatot gyűjthessenek a gyártás, a szállítás és az értékesítés folyamatairól. Az ipari internet nyilván minden eddiginél intenzívebb hálózati kitettséggel, ezért nagyobb IT-biztonsági kockázatokkal jár. Újfajta fenyegetést jelent ez, új megközelítést és megoldásokat igényel a védekezés az ipari internet korában, vagy a meglévő biztonsági eszközök és szoftverek, folyamatok és szabályok következetesebb alkalmazása is elegendő lehet?

DS: A hálózatra csatlakozó eszközök számával hatványozottan nő a biztonsági kockázat mértéke is. Ráadásul olyan beágyazott rendszerekről, eszközökről beszélünk, amelyek jellemzően nagyon korlátozott erőforrásokkal rendelkeznek ahhoz, hogy biztonsági szoftvert futtassanak.

Mindez régi és újfajta fenyegetést is jelent egyszerre. Úgy is mondhatnánk, hogy az indítékok, amelyek a biztonsági réseket kihasználó támadások mögött állnak – pénzszerzés, kémkedés, szabotázs, frusztrált alkalmazottak bosszúja – változatlanok. Az eszközök viszont, amelyeket a támadók használnak, folyamatosan fejlődnek. Újdonság mindenképpen, hogy a szervezetek alkalmazottai magánemberként is sokféleképp csatlakoznak a hálózatra, intenzív digitális életet élnek, így a támadásoknak is fokozottan kitettek, mert azonosítóik ellopásával a támadók a nagyértékű vállalati adatvagyonhoz is hozzáférhetnek. Az összetett támadások végrehajtásához ma már olyan eszközök is rendelkezésre állnak, mint például a Google Glass, amellyel a bűnözők észrevétlenül megfigyelhetik kiszemelt áldozatukat.

CW: Előadásában kifejtette, hogy a szervezeteknek szükségük van egy olyan, különálló rendszerre, amely azonosítja a rendes működéstől eltérő eseményeket az ipari folyamatokat felügyelő rendszerek által gyűjtött adatfolyamban, naplózza őket és riasztást küld róluk.

DS: A demóval azt mutattam be, hogy ha a támadó egyszer hozzáfért mondjuk egy erőmű folyamatirányító rendszeréhez, akkor például a keretrendszer frissítésével átállíthatja a küszöbértékeket úgy, hogy az érzékelők ne jelezzék a berendezések túlterhelését és túlhevülését, következésképp a hűtést se kapcsolják be. A támadó ezáltal tüzet idézhet elő, miközben a monitorozó rendszer látszólag rendes működést mutat. A folyamatirányító hálózatok nem terhelhetők folyamatos szkenneléssel, ezért fontos egy olyan megoldás használata, amely a folyamatirányító rendszer zavarása nélkül, passzívan kinyeri és elemzi az hálózati eseményekről szóló adatokat, és láthatóvá, visszakövethetővé teszi az eseményeket. Ez a láthatóság az első lépés ahhoz, hogy a szervezet a harmadik hálózatra is kiterjeszthesse biztonsági stratégiáját. A Sourcefire, amely tavaly óta Ciscóhoz tartozik, ilyen rendszert szállít, amelyet itteni előadásomban is használtam. Ezzel a megoldással azok a szabályok is életbe léptethetők, amelyekkel a szervezetek meghatározhatják, hogy az észlelt magatartás alapján mely felhasználó maradhat a hálózaton, illetve férhet ahhoz hozzá a továbbiakban.

CW: Ha a kritikus infrastruktúrákat működtető szervezetek ennyire felkészületlenek a folyamatvezérlő rendszerek védelmét illetően, és tekintetbe vesszük, hogy a nemzeti kibervédelmi stratégiák is fejlődésük korai szakaszában járnak, akkor a közelmúlt nagy adatlopásainak és lehallgatási botrányainak árnyékában kételyek merülnek fel bennünk azt illetően, hogy képesek leszünk megvédeni magunkat a mind körmönfontabbá váló támadásokkal szemben. Milyen biztonsági megoldások adhatnak számunkra nagyobb védelmet a közeljövőben, melyek a fejlesztés fő irányai?

DS: A biztonsági kockázatok és a támadások, amelyekről beszéltünk, lényegüknél fogva szervesen kötődnek a hálózathoz, ezért az ellenük való védekezésnek is minél inkább hálózativá kell válnia. Egyre több felhőalapú megoldást látunk majd a következő években, a különböző biztonsági szolgáltatások továbbfejlődését, valamint azt, hogy a szervezetek a védekezést is hibrid környezetben valósítják meg, a funkciókat részben vagy teljes egészében kiszervezik.

CW: A szintén a felhőben szélesebb körben is hozzáférhetővé váló mesterséges intelligencia szerephez juthat mindebben?

DS: Már ma is jelentős szerepet játszik, ha mesterséges intelligencia alatt itt nagy teljesítményű analitikai képességet értünk. Ezek a megoldások például nagy Hadoop clusterekre épülnek valamely szolgáltató felhőplatformján, és többek között valós idejű kockázatelemzést végeznek. Mi is kínálunk olyan szolgáltatást, amely 200 milliszekundum alatt megállapítja, hogy egy felkeresni kívánt weboldal biztonságos vagy sem. Hasonló a helyzet a behatolás-észleléssel is. Ma a vállalatok átlagosan 6 hónappal később regisztrálják, hogy hálózatukba támadók hatoltak be. Ennek az átlagnak hat napra, hat órára kell csökkennie, ami nagy teljesítményű analitika, a hálózati események folyamatos és azonnali elemzése nélkül elérhetetlen lenne.

CW: És mi a helyzet a fenyegetésekkel, találkozott-e már olyan esettel, amelyben a támadó fegyvertárában jelent meg a mesterséges intelligencia?

DS: Még nem, de ez nem zárja ki, hogy a közeljövőben egyre nagyobb „öntudattal” bíró, rosszindulatú kódokkal kerülünk szembe. Ha ezen a vonalon gondolkodunk tovább, akkor a technológia fejlődésével pár évtized leforgása alatt eljuthatunk addig a pontig, amikor egy ilyen kórokozó kicsúszik megalkotójának ellenőrzése alól, és az már nemcsak egy-egy rendszerre, szervezetre vagy nemzetre, hanem az egész emberiségre nézve is veszélyt jelenthet.

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.