Jak wiadomo, aby możliwe było skuteczne zwalczanie najnowszych cyberzagrożeń, produkty, które przed nimi chronią, muszą być często aktualizowane. Zwykle sytuacja jest prosta w przypadku aktualizacji punktów końcowych w biurach — mają one bezpośrednie połączenie z internetem, a proces aktualizacji jest zautomatyzowany. Tymczasem jeśli chodzi o infrastrukturę automatyki przemysłowej, sytuację komplikuje izolacja lub ograniczona łączność. Jak sprawić, aby systemy te były aktualne, nie naruszając warunków środowisk ICS?
Sneakernet
Jedną z najpopularniejszych strategii jest korzystanie z metody „sneakernet„. Odbywa się ona następująco: jedna osoba pobiera aktualizacje z serwerów producenta produktu zabezpieczającego na specjalny host, zapisuje je na nośniku wymiennym, który jest dalej wykorzystywany w celu zaktualizowania każdego węzła w sieci ICS. Metoda ta eliminuje konieczność bezpośredniej komunikacji między serwerami aktualizacji producenta a węzłami znajdującymi się w obiekcie przemysłowym.
Największą wadą metody sneakernet jest fakt, że wymaga ona obecności administratorów, aby została poprawnie zaimplementowana — i muszą oni mieć nad tym procesem regularny nadzór. Jest ona pracochłonna i zajmuje wiele czasu, dlatego w wielu sieciach ICS bazy sygnatur produktów ochronnych są przestarzałe. Niestety, często się spotykamy z takim stanem rzeczy podczas przeprowadzania analizy bezpieczeństwa sieci ICS.
Metoda ta wymaga dyscypliny pracy, a także użycia produktu końcowego oferującego możliwość pobierania aktualizacji na nośnik wymienny. Implementowanie jej wiąże się z regularnym pobieraniem aktualizacji w sposób ręczny dla wszystkich systemów operacyjnych, systemów sterowania i oprogramowania urządzenia. To z kolei wymaga współpracy dostawców ICS o producentów — i mówiąc szczerze, jeszcze nie spotkaliśmy takiej sytuacji.
Prawdziwe cyberbezpieczeństwo
W związku z tym najlepszą opcją jest zaopatrzenie się w technicznie zaawansowane rozwiązanie ochronne dla punktów końcowych, które może pobierać aktualizacje ze znajdującego się na miejscu serwera działającego w sposób scentralizowany. Dostarczanie aktualizacji do jednego miejsca jest znacznie szybsze i łatwiejsze, dlatego polecamy produkt zabezpieczający, który obsługuje aktualizacje z jednego, zaufanego źródła, np. lokalnego serwera zarządzania zainstalowanego w segmencie sieci przemysłowej.
Sam silnik antywirusowy raczej nie zabezpieczy odpowiednio punktów końcowych należących do sieci ICS przed szkodliwymi programami czy innymi zagrożeniami. Lepszym wyborem jest podejście wielowarstwowe, w którym wszystkie punkty końcowe otrzymują wszechstronną ochronę, co zapobiega infekcji nowymi szkodliwymi programami. Oprócz aktualizacji baz oferuje ono zabezpieczenia niewykorzystujące sygnatur, takie jak wyspecjalizowaną technologię zapobiegającą szyfrowaniu, która doskonale radzi sobie z atakami nowych programów żądających okupu; stosowanie białych list aplikacji; kontrola użycia urządzeń (aby ograniczyć używanie nośników pamięci i przenośnych modemów). To wszystko sprawia, że ochrona jest na znacznie wyższym poziomie, nawet jeśli nie otrzymuje aktualizacji przez dłuższy czas.
Z drugiej strony ochrona punktów końcowych w sieci ICS musi być lekka i specjalnie dostosowana do aplikacji znajdujących się w środowisku ICS: musi ona zostać przetestowana we współpracy z oprogramowaniem ICS, posiadać wsparcie dla starszych systemów operacyjnych i wykazywać niskie zapotrzebowanie na zasoby, jak również oferować opcjonalne monitorowanie węzłów ochrony i umożliwiać aktualizację lokalną. Co więcej, ochrona punktów końcowych powinna być w stanie działać przez dłuższy czas bez konieczności ponownego uruchamiania.
Aby chronić sieć przemysłową, w której używane są sterowniki PLC i urządzenia IED, konieczne jest zastosowanie innych metod, ponieważ nie można na nich zainstalować oprogramowania do ochrony punktów końcowych. Wobec tego zalecamy użyć narzędzi, które umożliwiają monitorowanie i konfigurację bezpieczeństwa sieci i lub monitorowanie integralności logicznej.
Należy zrozumieć, że produkty dla punktów końcowych nie wystarczą do wykrywania zaawansowanych ataków przemysłowych. Tylko współpraca między przemysłowym produktem do wykrywania anomalii w sieci a wyspecjalizowaną ochroną punktów końcowych może zapewnić ochronę przed cyberzagrożeniami oraz wykrywanie zaawansowanych ataków i oszukańczych działań.
Niedawno nasi koledzy z organizacji NCCIC/ICS-CERT opublikowali dokument pod tytułem „Recommended Practice: Updating Antivirus in an Industrial Control System” zawierający wszechstronne wskazówki dotyczące strategii aktualizowania produktów antywirusowych, które mogą pomóc firmom z branży ICS w zarządzaniu ich aktualizacjami bezpieczeństwa.