Wpisz czego szukasz
i kliknij enter

Skaner podatności a wyższy poziom bezpieczeństwa sieci OT

Udostępnij wpis

Jak skaner podatności może podnieść poziom bezpieczeństwa Twojej sieci przemysłowej? Zacznijmy od podstaw! Poznaj najważniejsze korzyści i wymagania konieczne, by przeprowadzić skuteczny skan podatności sieci OT.

Każda sieć przemysłowa narażona jest na atak cyberprzestępców

Typowymi przyczynami podatności są między innymi niewłaściwe konfiguracje, błędy w oprogramowaniu, nieautoryzowane instalacje, czy naruszenia zasad bezpieczeństwa, pozwala na wykrycie tych i wielu innych zagrożeń oraz umożliwia podjęcie działań wg. priorytetów ważności.

Skaner podatności jest narzędziem wspierającym proces zarządzanie podatnościami (Risk-based vulnerability management) dedykowany jako dobra praktyka dla bezpieczeństwa systemów OT/ICS. Zarządzanie podatnościami jest więc nie tylko zapobieganiem atakom, ale też analizą infrastruktury z punktu widzenia atakującego – umożliwiającą eliminację luk w systemach, które potencjalnie mogą zostać wykorzystane przez cyberprzestępców. Klienci Tekniska, co raz częściej wskazują na potrzebę udokumentowania realizacji tego procesu, zarówno przed ubezpieczycielami, ale również w ramach audytu dostawców.

O skanowaniu podatności w systemach przemysłowych obszernie opowiedzieli Marcin Skórka (Menadżer projektów cyberbezpieczeństwa i automatyki w Tekniska, Lider Tekniska Cybersecurity Team) i Patryk Czubasiewicz (Inżynier sieciowy, Specjalista ds. bezpieczeństwa sieci OT/ICS w Tekniska) w jednym z webinariów z cyklu Drugie Śniadanie z Tekniska. Dziś zapraszamy Was do lektury kompendium wiedzy z tego spotkania – w skoncentrowanej, przystępnej formule!

Systemy na straży bezpieczeństwa OT

Skanowanie podatności to jeden z etapów przeprowadzenia pentestów. Jest niezwykle istotny z prostego powodu – w każdym ataku etap poszukiwania istniejących luk w bezpieczeństwie jest kluczowy dla osoby, która chce złamać zabezpieczenia systemu. Choć dziś skoncentrujemy się na narzędziu, jakim jest skaner podatności, na początek warto zaznaczyć, że nie jest to jedyne rozwiązanie stojące na straży bezpieczeństwa OT. Nim przejdziemy do bohatera głównego dzisiejszego artykułu, zestawimy go z dwoma innymi rozwiązaniami wspierającymi bezpieczeństwo w systemach przemysłowych.

Systemy IDS

Na pierwszy ogień systemy IDS, czyli rozwiązanie, pod którym nadal wiernie się podpisujemy. Są dla nas kluczowe ze względu na zapotrzebowanie infrastruktury przemysłowej na systemy monitorowania. Systemy IDS:

  • monitorują ruch w czasie rzeczywistym,
  • działają pasywnie na kopii ruchu sieciowego,
  • realizują inwentaryzację w sposób pasywny,
  • reagują na ataki opisane sygnaturami,
  • reagują na ataki zmieniające działanie sieci i systemów,
  • rysują mapę połączeń logicznych,
  • realizują funkcję DPI,
  • umożliwiają prowadzenie działań w sposób całkowicie bezpieczny dla środowiska OT,
  • wymagają wysokich kompetencji w obsłudze systemu i średnich kosztów wdrożenia.
Systemy OT/ICS management software

Kolejne rozwiązanie to systemy OT/ICS management software pozwalające inwentaryzować infrastrukturę. Oparte o skanowanie aktywne systemy umożliwiają sprawdzenie, co rzeczywiście wchodzi w skład infrastruktury i jak funkcjonuje. Systemy OT/ICS management software:

  • zarządzają aktywami,
  • skanują aktywnie infrastrukturę w oparciu o protokoły dedykowane dla systemów OT/ICS,
  • zarządzają podatnościami na podstawie przeprowadzonej inwentaryzacji i w oparciu o bazy podatności dla urządzeń wykorzystywanych w OT/ICS,
  • wizualizują na mapie sieciowej podłączone urządzenia,
  • zarządzają zmianą,
  • zarządzają konfiguracją i umożliwiają zarządzanie aktualizacjami,
  • wymagają niskich kompetencji w obsłudze systemu, ale też wysokich kosztów wdrożenia.

Skaner podatności

Skanery podatności skupiają się na skanowaniu aktywnym podatności w infrastrukturze przemysłowej. To im poświęcimy dziś najwięcej uwagi, ale na początek podsumujmy najważniejsze informacje. Skaner podatności:

  • skanuje aktywnie podatności,
  • wykrywa podatności w systemach sterowania, komponentach systemów, systemach operacyjnych itp.,
  • tworzy raport stanu systemu,
  • tworzy raporty przyrostowe,
  • wykonuje podstawową inwentaryzację,
  • wymaga średnich kompetencji w obsłudze systemu i niskich kosztów wdrożenia.

Czy skanowanie podatności w OT jest możliwe?

Przechodząc do szczegółów dotyczących rozwiązania, jakim jest skaner podatności, warto odpowiedzieć na kluczowe pytanie: czy możliwe jest skanowanie sieci przemysłowych? Naturalną odpowiedzią wydawałoby się „nie” – bez dobrej znajomości swojej (lub badanej przez siebie) sieci przemysłowej skanowanie jej podatności jest bardzo niewskazane ze względu na ogromne ryzyko zatrzymania kluczowych procesów biznesowych przez zakłócenie lub niedostępność sieci OT/ICS. Drogą do przeprowadzenia skanowania podatności sieci przemysłowej otwiera jednak… zachowanie odpowiednich wymagań!

Skaner podatności – wymagania

Najważniejsze przed podjęciem działań związanych ze skanowaniem podatności jest dokładne przeprowadzenie inwentaryzacji. Dopiero posiadając wiedzę o tym, co składa się na sieć, oraz wsparcie doświadczonego administratora systemów i inżyniera procesu, możemy pokusić się o przygotowanie scenariuszy skanowania dla infrastruktury.

Bezpieczeństwo ponad wszystkim

Scenariusze skanowania są kluczowe dla przeprowadzenia procesu – na ich podstawie można podjąć kolejne działania. W Teknisce przygotowane scenariusze realizujemy w sposób bezpieczny, zgodnie ze standardami, rekomendacjami i normami. Bezpieczne testy przeprowadzane są w środowisku wirtualnym (testowym). Jednak co w sytuacji, gdy podmiot badany nie dysponuje środowiskiem testowym, ale oczekuje wykonania skanu? Jedynym rozwiązaniem w takich sytuacjach są skany w oknach serwisowych – czyli okresach, w których infrastruktura nie realizuje kluczowych zadań, w związku z czym przeprowadzenie skanu nie wpłynie w żaden sposób na proces.

Kiedy i co skanujemy?

Skanowaniu poddać można w zasadzie wszystkie elementy systemu – między innymi: serwery, stacje robocze, stacje inżynierskie, HMI, PLC, urządzenia sieciowe, drukarki, wirtualne maszyny, usługi, kontenery, konfigurację oprogramowania i technologie webowe.

Spójrzmy na skanowanie podatności z perspektywy producenta systemu. W takim wypadku tworzymy system i przed oddaniem go do eksploatacji skanujemy infrastrukturę, aby klient otrzymał najbezpieczniejszą na dany czas wersję systemu. Skan podatności w takiej sytuacji pozwala na:

  • wykonanie hardeningu wszystkich elementów,
  • włączenie usług, które nie są wykorzystywane,
  • sprawdzenie wszystkich podatności, które są w systemie i mogą w nim wystąpić,
  • zabezpieczenie systemu w inny sposób – np. w sytuacji, w której nie możemy dokonać aktualizacji ze względu na to, że problem podatności nie został jeszcze rozwiązany, możemy w inny sposób wprowadzić zabezpieczenie systemu ograniczające możliwość wykorzystania wykrytej podatności.

Patrząc z perspektywy odbiorcy nowo wdrożonego systemu lub właściciela pracującego/modernizowanego systemu – skan infrastruktury realizowany jest przy zachowaniu wcześniej omówionych środków ostrożności, by sprawdzić, jakie problemy bezpieczeństwa występują i w jaki sposób możemy te problemy wyeliminować lub ograniczyć ich skutki.

Co zrobić po skanowaniu?

Po wykonaniu skanu podatności należy mitygować ryzyko – czyli wypracować takie zmiany/obejścia, które zmniejszą ryzyko do akceptowanego poziomu lub nawet wyeliminują dany problem. Jakie działania z zakresu mitygacji (ograniczenia możliwości atakującego) możemy wykonać po skanowaniu?

  • Wprowadzenie aktualizacji – choć nie zawsze jest to możliwe, wprowadzenie aktualizacji jest szansą na ograniczenie ryzyka.
  • Wprowadzenie procedury – podobnie jak w punkcie poprzednim, wprowadzenie procedury nie zawsze okaże się skuteczne, ale warto rozważyć opcję wprowadzenia dodatkowych procedur jako sposobu na podniesienie bezpieczeństwo.
  • Wprowadzenie zabezpieczeń lub konfiguracja obecnych – jednym z najważniejszych ruchów, jaki można wykonać, jest wykorzystanie obecnych zabezpieczeń, tak by chroniły proces skuteczniej w aspekcie, w którym zanotowaliśmy występowanie podatności. Skaner podatności umożliwia nam hardening systemu na każdym etapie jego działania.
  • Modernizacja sieci – zmiana architektury to często pierwszy krok, który podejmujemy u klienta, głównie w systemach SCADA. W przeciwieństwie do systemów DCS, których architektura jest dość mocno ustrukturyzowana, architektura systemów SCADA jest często rozproszona i realizowana przez różne podmioty. W przypadku tych systemów warto przyjrzeć się sieci i spowodować, by stała się pierwszym „murem obronnym” dla infrastruktury.
  • Monitorowanie – na sam koniec… absolutna podstawa. Choć skaner podatności pozwala w dużym stopniu określić problemy występujące w infrastrukturze, a systemy inwentaryzacyjne umożliwiają wskazanie jej elementów składowych i zarządzanie zmianą, to bez monitorowania w trybie ciągłym wysoki poziom bezpieczeństwa jest naprawdę trudny do osiągnięcia.

Środowisko GMS

Greenbone Security Manager (GSM) to unikalne rozwiązanie, które łączy funkcję systemu wykrywania, identyfikacji i oceny podatności (Vulnerability Assessment) oraz systemu zarządzania wiedzą o wykrytych lukach (Vulnerability Management). To najczęściej używane rozwiązanie typu open source na świecie, które pomaga zmniejszyć ryzyko i skutki cyberataków.

GSM skanuje sieć i dowolne urządzenia będące częścią infrastruktury pod kątem ponad 100 tys. podatności. Jego użytkownicy mogą codziennie otrzymywać aktualne informacje o statusie bezpieczeństwa systemu, a dzięki kontroli podatności ustawiać odpowiednie priorytety działania. System Greenbone jest oferowany w różnych poziomach wydajności i zasadniczo obsługuje nieograniczoną liczbę systemów docelowych.

Możliwości Greenbone Security Manager zaprezentował na żywo Patryk Czubasiewicz w części praktycznej naszego webinaru. Nagranie dostępne jest bezpłatnie na naszym kanale na Youtube:

Chcesz dobrać najlepsze rozwiązanie GSM dla swoich systemów, stworzyć odpowiednie wzorce i cele skanowania, a także opracować scenariusze testowe uwzględniające rozmiar sieci i częstotliwości skanowania? Skontaktuj się z nami! Inżynierowie Tekniski pomogą Ci w doborze rozwiązania.

Zobacz inne wpisy

Sieci przemysłowe
Lifting infrastruktury sieciowej. Wejdź w świat MPLS TP!

Niezawodna i bezpieczna transmisja danych to podstawa funkcjonowania Twojego przedsiębiorstwa? Zafunduj swojej sieci OT lifting z prawdziwego zdarzenia i wejdź w świat MPLS-TP!

Sieci przemysłowe
Sieć 5G w przemyśle – pieśń przyszłości czy nowa rzeczywistość?

Ekspansja sieci 5G w przemyśle jest nieunikniona. Konieczność przesyłu coraz większej ilości danych sprawia, że LTE to już za mało. Jak przygotować się do przejścia na 5G i dlaczego w OT zwyczajnie się to opłaca?