Nedávne bezpečnostné incidenty v súvislosti so systémami SCADA a ICS iba podčiarkujú dôležitosť dobrej kontroly infraštruktúry SCADA. Obzvlášť dôležitá je rýchla reakcia na vážne incidenty a následne správna analýza a vyvodenie adekvátneho poučenia.
Európska únia rozpoznala naliehavosť tohto problému a nedávno predostretá stratégia kybernetickej bezpečnosti EÚ sa zameriava na zlepšenie bezpečnosti sietí a informačných systémov používaných v dôležitých infraštruktúrach. EÚ vyzvala svoje členské štáty, priemyselnú sféru a agentúru ENISA na zvýšenie sieťovej a informačnej bezpečnosti (NIS) v kľúčových sektoroch a na podporu výmeny metód
a praktík ochrany. Agentúra ENISA odpovedala na výzvu EÚ spustením niekoľkých aktivít v oblasti bezpečnosti ICS a SCADA.
Monitorovanie sietí zabezpečujú vyspelé technológie, ktoré sa využívajú na analýzu bezpečnostných incidentov v tradičnom sieťovom prostredí už mnoho rokov. Rozšírenie senzorov narušenia a zaznamenávanie sieťovej aktivity sa stáva čoraz akceptovanejším postupom, o to viac, že väčšina dnešných systémov disponuje protokolom IP. Takisto čoraz viac príslušných poradných orgánov vydáva návody
a štandardy pre oblasť kybernetickej priemyselnej bezpečnosti.
Tento článok ozrejmuje spomínanú problematiku a poskytuje odporúčania na implementáciu proaktívnych opatrení, ktoré pomôžu rýchlej a ucelenej reakcii na incidenty a ich následnej analýze. ENISA identifikovala niekoľko kľúčových aktivít, ktoré môžu k tomuto cieľu prispieť:
- umožniť integráciu kybernetických a fyzických procesov reakcie s väčším pochopením toho, kde sa digitálna informácia môže nachádzať a aké by mali byť vhodné kroky na jej uchovanie,
- návrh a konfigurácia systémov spôsobom umožňujúcim uchovanie digitálnej informácie,
- doplniť existujúce zručnosti o následnú analytickú expertízu a porozumieť tomu, v čom sa prekrývajú činnosti reakčných tímov kybernetickej a fyzickej bezpečnosti,
- zintenzívniť spoluprácu medzi verejnými a súkromnými organizáciami v rámci celej krajiny.
Cieľová skupina
Cieľom tohto článku je informovať príslušnú komunitu operátorov SCADA a bezpečnostných inžinierov a vytvoriť prepojenie medzi tvorcami postupov a špecialistami na technológie v citlivej oblasti ochrany dôležitej infraštruktúry.
ENISA sa konkrétne sústredí na:
- informovanie pracovných tímov pri návrhu a implementácii systémov ICS o možnostiach zaznamenávania a následnej analýzy incidentov, ktoré sa môžu vyskytnúť v ich pracovnom prostredí,
- informovanie bezpečnostných inžinierov o možnostiach a výzvach, ktoré môže predstavovať táto široká špecifická oblasť,
- navrhovanie súboru odporúčaní pri vývoji proaktívneho prostredia s vhodnou úrovňou pripravenosti s ohľadom na následnú analýzu a schopnosť učenia sa,
- sprostredkovanie ďalšieho dialógu medzi prvými dvoma skupinami akcionárov a tvorcami postupov a predpisov v ich snahe pri rozvoji a údržbe bezpečných a odolných kľúčových infraštruktúr.
Následná analýza incidentu
Primárnym cieľom tejto analýzy je získanie cenných informácií
o bezpečnostnom incidente, vďaka ktorým možno nadobudnúť hlbšie poznatky o tom, čo sa stalo. Skúmaním rôznych častí systému sa dá dopracovať k hodnotným informáciám. Nie je to však dôležité len pre pochopenie okolností, za ktorých k incidentu prišlo, ale dáva to aj možnosť na:
- vytvorenie bohatého informačného základu, aby bolo možné adekvátne reagovať na zmenu charakteru hrozieb a minimalizovať zastaranosť systémov ICS a SCADA,
- zabezpečenie toho, že proces učenia bude prebiehať dostatočne dlho na to, aby bolo možné vytvoriť odolný systém.
Zber informácií o incidentoch môže odhaliť úkony, ktoré sa uskutočnili počas incidentu spolu s motiváciou a možno aj identitou útočníka.
V komunikačnej sieti je veľa miest, kde možno nájsť stopy po incidente. Záznamový denníkový súbor (log file) sieťovej aktivity a operačného systému predstavuje najzásadnejší zdroj informácií, hoci rozmanitosť priemyselných riadiacich systémov bráni použiť jednu konzistentnú metodiku. Analýza incidentu je dôležitou časťou bezpečnostného manažmentu. Hoci je to prvý stupeň digitálneho súdneho procesu, treba rozlišovať tieto dva termíny.
Digitálna súdna analýza obsahuje prípravu výsledkov tak, aby mohli byť použité pred súdom ako dôkaz, zatiaľ čo analýza incidentu je primárne určená na identifikáciu cieľa útoku, zistenie skutočného cieľa útočníka (ak je to možné), identifikáciu zraniteľnosti napadnutého systému a na zistenie možnej krádeže dát a odhalenie stôp, ktoré by mohli pomôcť odhaliť zdroj útoku.
Pokračovanie v budúcom čísle.