Krauze: Cyberatak jest jak choroba. Im szybciej wykryjesz, tym szybciej wyleczysz

3 sierpnia 2018, 07:30 Cyberprzestrzeń

Obecnie systemy sterujące automatyką przemysłową (SCADA) są w znaczącym stopniu skomputeryzowane i podłączone do sieci. Zwykle systemy te są niezwykle skomplikowane, a sieci mocno rozproszone. Jednakże możliwe jest zdalne przejęcie kontroli nad takimi systemami. Również nad tymi, które zajmują się zarządzaniem sieciami elektroenergetycznymi – komentuje dla BiznesAlert.pl Marek Krauze, Sales Engineer, Trend Micro.

Hacker attack
fot. Pixabay/CC

Historia pokazała, że zdalnie da się sparaliżować energetykę sporego państwa. Czy da się zapobiec takim atakom w przyszłości? Jest to niezmiernie trudne ze względu na skomplikowanie całej infrastruktury, jak również przez to, że wiele takich systemów jest zamkniętymi „czarnymi skrzynkami”. Jakakolwiek ingerencja w nie – na przykład doinstalowanie oprogramowania zabezpieczającego nie jest możliwa. Wiele urządzeń w sieciach technologicznych pracuje po 20-30 lat i wykorzystuje technologię sprzed 2-3 dekad. Oznacza to, że w wielu przypadkach wykorzystywane oprogramowanie nie jest już wspierane przez producentów. Zdarza się wręcz, że przez ten czas dostawcy oprogramowania zniknęli z rynku.

Z drugiej strony, ataki na systemy OT (sieci technologiczne) to zwykle tzw. „ataki ukierunkowane”. Ich cechą charakterystyczną jest to, że są bardzo rozciągnięte w czasie. Od momentu pierwszej interakcji napastnika z systemem (uzyskania wejścia do systemu) do fazy finalnej mijają tygodnie, czasem miesiące.

Wykrycie naruszenia bezpieczeństwa we wczesnej fazie ataku daje możliwości redukcji skutków, często bez ponoszenia strat. Dlatego też niezwykle istotne jest stosowanie, niezależnych od istniejącej już infrastruktury, systemów wykrywających ataki ukierunkowane. Wykrycie szkodliwego oprogramowania zainstalowanego przez napastników, komunikacji sterującej (Command&Control – tzw. C2 lub C&C) oraz tzw. „ruchów poziomych” (lateral movements) pozwala na usunięcie zagrożenia, zanim napastnik zrobi coś naprawdę złego – tak, jak w przypadku Aurora Power Grid Vulnerability.

Wielu dostawców rozwiązań bezpieczeństwa oferuje stosowne rozwiązania dedykowane podobnym zagrożeniom – Trend Micro jako lider rynku posiada w swojej ofercie urządzenia Deep Discovery, które służą do wykrywania ataków ukierunkowanych, w tym na systemy SCADA.