"מתעסקים עם המתקפות של אתמול"
בעוד פלוני יכול לחשוב שחולשות יום-אפס הן הטרדה העיקרית של אנשי אבטחת מידע בעולם הOT, במציאות אלו מתעסקים הרבה במתקפות של אתמול. ראיון מיוחד עם אמיר פרמינגר, הVP Research של חברת קלארוטי
עמי רוחקס דומבה
| 06/09/2020
אמיר פרמינגר. קרדיט צילום: קרן מזור
שוק ההגנה בסייבר על תשתיות קריטיות אמור לקבל את מירב תשומת הלב ממדינות ויצרני פתרונות, אולם, במציאות המצב שונה. מדובר ברשתות שנבנו עם דגש על רציפות תפעולית, ציוד ישן שאינו תוכנן עם אבטחת מידע ביסוד, העדר יכולת לעשות עדכוני תוכנה וצורך להתחבר מרחוק על מנת לדאוג שהמפעלים ימשיכו לעבוד. "אנחנו עדיין מתמודדים עם מתקפות ישנות", מסביר אמיר פרמינגר (ג'מבו), הVP Research של חברת קלארוטי בראיון לישראל דיפנס.
רשת מודולרית
קלארוטי היא חברה תחת המטריה של TEAM8, והיא מספקת פתרונות אבטחת סייבר לתשתיות קריטיות בתחומי גז ונפט, רכב, ייצור, פארמה ועוד. שוק הICS שונה משוק הIT. בעיקר בפער שיש בין מצאי ההתקנים ברשת לבין אלו המנוהלים בפועל. "בשוק הICS, לא הכל מנוהל. חלק מהסיבות לכך היא עבודה עם ספקים הרבה ספקים חיצוניים שמוכרים תתי מערכות 'סגורות'. אתה יכול לבנות מתקן שחברה אחת עושה הכל מא' עד ת'. במצב כזה, בגלל שחברה אחת ביצעה את הפרויקט, אתה יודע איפה כל מוצר", מסביר פרמינגר.
"יש גם מודלים אחרים. חלק מהמתקנים נבנים בצורה מודלרית. בעל המתקן יכול לרכוש סדנא או פס ייצור שהוא חלק מהמתקן הכולל. במקרה כזה, אתה קונה את פס הייצור עם כל המערכות שלו כפי שקבע הספק. יש חברות שמוכרות את הפס ייצור כקיט. אתה מקבל הכל מספק מסוים, וההשפעה שלך על הרכיבים מוגבלת. לפעמים בתור סיסו אתה מקבל ארון עם עשרים בקרים ואין לך שליטה מה התוכנה שרצה שם. בעיית מיפוי הנכסים קריטית בתחום הICS. זה אחד האתגרים העיקריים שלנו לעזור להבין מה יש, מי מדבר עם מי."
בדומה לעולמות הIT, יש הרבה חברות שמנסות לפתור את גילוי הנכסים. הבעיה היא לא לגלות האם יש IP להתקן מסוים. אלא מה עומד מאחוריו. "לצורך כך היינו צריכים לייצר סורקים. בשביל סורקים ניתחנו פרוטוקולים. אנחנו מכירים כ-70 פרוטוקולים ייעודיים בעולם הICS. יש לנו במעבדה ציוד חובק עולם, כולל רובוטיקה, ועד ציוד המשמש באסדות קידוח. משתמשים במינימום מידע על מנת לאפיין מה עומד מאחורי היישות ברשת. עושים גם מעקב אחרי הקוד של ההתקן בחלק מהמקרים", מסביר פרמינגר.
עוד אתגר לחברות אבטחה בתחום זה הוא עבודה במצב 'משקיף' בלבד. "הלקוחות עדיין לא שם ביישום פתרונות In Line. בעולמות הOT אלו התקנים מכאניים. אף אחד לא מוכן להכניס מוצר שיתערב ברשת קריטית. יש לנו אינטגרציה עם צ'ק פוינט ופאלו אלטו לפיירווולים שלהם בכניסה לרשת. בהנתן זיהוי שלנו אנחנו מכניסים חוק לFW. בנוסף יש אינטרגרציה עם מוצרי NAC. אם יש התקן פגיע אל תכניס אותו לרשת. אבל אין התערבות במערכות של רצפת הייצור", אומר פרמינגר. "עוד מגמה היא התראה על מוצר שהתגלתה בו חולשה. התקן עם חולשה ידועה ידווח מיד לFW."
תחזוקת רשת מרחוק
תחזוקת רשת נדרשת על מנת לאפשר לטכנאים לעבוד מרחוק ברשת של התשתית הקריטית. היות ואלו רשתות שצריכות לפעול 24\7 כל השנה, ישנה תשומת לב רבה לכל נושא התחזוקה. "העולם הזה מאד בעייתי. נכנסו אליו מתוך לקוח שלנו שמנהל אסדת קידוח. קשה להגיע לאסדה, צריך מסוק או ספינה, לעבור הכשרת חילוץ וזה הליך מאד יקר. היו צריכים לתת גישה מרחוק לרשת באסדה עם גישה מאובטחת. הצורך קיבל משמעות קריטית בעידן הקורונה כי מומחים לא יכלו להכנס לאתר. אם יש "עוצר יציאות" זה נחמד, אבל יש פעולות שצריך תמיכה מרחוק. בעולמות התוכנה נדרשו פתרונות גישה מרחוק כמו בעולם הIT", מסביר פרמינגר.
הגישה מרחוק פותחת סגמנטים ברשת שהיו סגורים לעולם. לסיסו אין ברירה כי הטכנאי של היצרן לא יכול להגיע פיזית. לפעמים מדובר בהטסת טכנאי ממדינה אחרת. "הלקוחות צריכים לתת גישה. חלק נתנו בצורה מובנית וקבועה וחלק בצורה מזדמנת. מגמה זו חשפה את הרשת לסיכונים. תוסיף לזה גל חולשות שתואם לתקופת הקורונה במוצרי גישה מרחוק של פאלו ו-F5. לקוחות הבינו שצריך לאפשר גישה מרחוק מאובטחת, שאינה תלויה בVPN", אומר פרמינגר. "המוצר שלנו הוא מכוון ICS והמטרה שלו היא גישה לרכיב לקצה."
"באופן כללי, הייתי ממליץ לבנות את ההגנה בשכבות. מוצרי אבטחה בכניסה לרשת זה השלב הראשון. ניטור פאסיבי יכול להפתיע את התוקף. אנו מספקים פתרון כזה. בונים פרופיל תקשורת בין התקנים וכאשר יש חריגה בתקשורת, אנחנו מדווחים. על מנת להבין את מבנה הרשת התוקף צריך לסרוק. כדי לא לעשות 'רעש' ברשת, אתה צריך מודיעין זהב. אתה צריך להבין את הרשת לעומק. אין תקיפה שנגמרת בפעם אחת. בחלק מהתקיפות הידועות התוקף היה ברשת כמה חודשים. לכן יש חשיבות להבין את הרשת במצב אידילי."
עדכוני תוכנה
שוק החולשות במוצרי OT גדול יחסית כי, כאמור, המוצרים לא נבנו עם חשיבה על אבטחת מידע, אלא מתוך מחשבה על רציפות תפעולית. אלו מוצרים שנבנו לעשרות שנים של עבודה. "מצאנו בשנה 50 חולשות במוצרי OT עם צוות של 2-3 אנשים. שדיווחנו ליצרנים, הם אמרו שאנחנו הראשונים שדיווחנו להם אי פעם. אין תהליך פיתוח מאובטח. בחברות הגדולות אתה רואה שיפור בתקופה האחרונה. אבל מדובר על אלפי פריטים. הקטלוג של חברות כמו מיצובישי, GE או רוקוול מכיל אלפי דגמים ומערכות", אומר פרמינגר.
"זה אתגר אבטחתי לא קטן. חלק מהמוצרים האלו הם תוצר רכישות עבר. צריך לתחזק הכל. לפעמים היצרן לא יכול לתקן כי המוצר EOL. אין וירטואל פאץ' בOT, לכן אנחנו מייצרים חתימה של הניצול של החולשה עבור מוצרי ההגנה בכניסה לרשת. אנחנו יודעים גם לזהות האם המוצר פגיע. חיבור בין מידע CVE לבין מידע מצאי של התקנים נעשה ידנית. לפעמים מפרסמים CVE עם דגם מסוים שההתקן בכלל מחצין דגם אחר בפועל. נדרשת הרבה אינטגרציה.
"מרגע פרסום הCVE, יש תהליך מחקרי שצריך לעשות. אם זה מוצר מוכר, החקירה יכולה לקחת שבוע. אם זה מוצר שלא מכירים, זה יכול לקחת חודשים. אם אין לך את החומרה והתוכנה במעבדה, צריך להתחיל מחקר שלם. יש לזכור כי אבטחת מידע בתחום הOT זה תהליך שעכשיו מתחיל. עד לפני כמה שנים סיסואים לא היו אחראים על רשתות ICS. להקביל לעולמות הטלקום, פעם הטלפון היה מערכת איתותים. לא הבינו שיש תקלות שקשורות לIP. גם עולם הICS עובר אבולוציה. המטרה הראשית של התקן ברשת ICS היא לעבוד עד אין סוף ללא תקלות."
"צריך לדעת מה המשאבה עושה"
פרמינגר מתייחס גם למתקפה על תאגידי המים בישראל בהתבסס על מקורות גלויים. "באותו אתר מסוים הייתה מערכת של תהליך טיפול בהפעלת משאבת כלור. הוא היה חשוף לרשת. הפורט הפתוח משמש להגדרה ומאפשר שינוי הגדרות להתקן. אלו התקני ICS שאפשר לקנפג. יש מערכת הפעלה וקוד שרץ על בסיסה", מסביר פרמינגר. "אפשר להוריד את הלוגיקה למכשיר באמצעות תוכנה של היצרן ולבצע שינוי קונפיגורציה. בחלק מהבקרים יש יכולת להזין שם משתמש וסיסמא. עם זאת, חלקם לא בודקים את ההרשאות.
"על מנת לבצע מתקפה מוצלחת, להשבית תהליך, צריך מישהו שמבין תהליכים. לא מספיק למצוא את ההתקן פתוח ברשת. צריך להבין מה קורה שם. מה עושה המשאבה, איזה חומר עובר בה. צריך מישהו מהתחום להבין איך זה עובד. יש סף בלתי נסבל בחלק מההתקנים. רק צריך לדעת איזה פרוטוקול רץ עליהם ואפשר לשנות אותו באמצעות תוכנה מסחרית. אנחנו למשל בודקים כל שינוי קונפיגורציה בהתקן. לראות שלא מעלים לוגיקה מוזרה."
מה כדאי לסיסו לעשות? "להשקיע בניראות. לדעת מה שיש לך ברשת. לצור עדיפות. לייצר מודיעין לקבל החלטות. איך מתחברים, מאיפה, לנסות לעשות סגמנטציה, חלוקת הרשאות קפדנית. לצד אלו, להתקין מערכות שמזהות שינויים ברשת."
בעוד פלוני יכול לחשוב שחולשות יום-אפס הן הטרדה העיקרית של אנשי אבטחת מידע בעולם הOT, במציאות אלו מתעסקים הרבה במתקפות של אתמול. ראיון מיוחד עם אמיר פרמינגר, הVP Research של חברת קלארוטי
אמיר פרמינגר. קרדיט צילום: קרן מזור
שוק ההגנה בסייבר על תשתיות קריטיות אמור לקבל את מירב תשומת הלב ממדינות ויצרני פתרונות, אולם, במציאות המצב שונה. מדובר ברשתות שנבנו עם דגש על רציפות תפעולית, ציוד ישן שאינו תוכנן עם אבטחת מידע ביסוד, העדר יכולת לעשות עדכוני תוכנה וצורך להתחבר מרחוק על מנת לדאוג שהמפעלים ימשיכו לעבוד. "אנחנו עדיין מתמודדים עם מתקפות ישנות", מסביר אמיר פרמינגר (ג'מבו), הVP Research של חברת קלארוטי בראיון לישראל דיפנס.
רשת מודולרית
קלארוטי היא חברה תחת המטריה של TEAM8, והיא מספקת פתרונות אבטחת סייבר לתשתיות קריטיות בתחומי גז ונפט, רכב, ייצור, פארמה ועוד. שוק הICS שונה משוק הIT. בעיקר בפער שיש בין מצאי ההתקנים ברשת לבין אלו המנוהלים בפועל. "בשוק הICS, לא הכל מנוהל. חלק מהסיבות לכך היא עבודה עם ספקים הרבה ספקים חיצוניים שמוכרים תתי מערכות 'סגורות'. אתה יכול לבנות מתקן שחברה אחת עושה הכל מא' עד ת'. במצב כזה, בגלל שחברה אחת ביצעה את הפרויקט, אתה יודע איפה כל מוצר", מסביר פרמינגר.
"יש גם מודלים אחרים. חלק מהמתקנים נבנים בצורה מודלרית. בעל המתקן יכול לרכוש סדנא או פס ייצור שהוא חלק מהמתקן הכולל. במקרה כזה, אתה קונה את פס הייצור עם כל המערכות שלו כפי שקבע הספק. יש חברות שמוכרות את הפס ייצור כקיט. אתה מקבל הכל מספק מסוים, וההשפעה שלך על הרכיבים מוגבלת. לפעמים בתור סיסו אתה מקבל ארון עם עשרים בקרים ואין לך שליטה מה התוכנה שרצה שם. בעיית מיפוי הנכסים קריטית בתחום הICS. זה אחד האתגרים העיקריים שלנו לעזור להבין מה יש, מי מדבר עם מי."
בדומה לעולמות הIT, יש הרבה חברות שמנסות לפתור את גילוי הנכסים. הבעיה היא לא לגלות האם יש IP להתקן מסוים. אלא מה עומד מאחוריו. "לצורך כך היינו צריכים לייצר סורקים. בשביל סורקים ניתחנו פרוטוקולים. אנחנו מכירים כ-70 פרוטוקולים ייעודיים בעולם הICS. יש לנו במעבדה ציוד חובק עולם, כולל רובוטיקה, ועד ציוד המשמש באסדות קידוח. משתמשים במינימום מידע על מנת לאפיין מה עומד מאחורי היישות ברשת. עושים גם מעקב אחרי הקוד של ההתקן בחלק מהמקרים", מסביר פרמינגר.
עוד אתגר לחברות אבטחה בתחום זה הוא עבודה במצב 'משקיף' בלבד. "הלקוחות עדיין לא שם ביישום פתרונות In Line. בעולמות הOT אלו התקנים מכאניים. אף אחד לא מוכן להכניס מוצר שיתערב ברשת קריטית. יש לנו אינטגרציה עם צ'ק פוינט ופאלו אלטו לפיירווולים שלהם בכניסה לרשת. בהנתן זיהוי שלנו אנחנו מכניסים חוק לFW. בנוסף יש אינטרגרציה עם מוצרי NAC. אם יש התקן פגיע אל תכניס אותו לרשת. אבל אין התערבות במערכות של רצפת הייצור", אומר פרמינגר. "עוד מגמה היא התראה על מוצר שהתגלתה בו חולשה. התקן עם חולשה ידועה ידווח מיד לFW."
תחזוקת רשת מרחוק
תחזוקת רשת נדרשת על מנת לאפשר לטכנאים לעבוד מרחוק ברשת של התשתית הקריטית. היות ואלו רשתות שצריכות לפעול 24\7 כל השנה, ישנה תשומת לב רבה לכל נושא התחזוקה. "העולם הזה מאד בעייתי. נכנסו אליו מתוך לקוח שלנו שמנהל אסדת קידוח. קשה להגיע לאסדה, צריך מסוק או ספינה, לעבור הכשרת חילוץ וזה הליך מאד יקר. היו צריכים לתת גישה מרחוק לרשת באסדה עם גישה מאובטחת. הצורך קיבל משמעות קריטית בעידן הקורונה כי מומחים לא יכלו להכנס לאתר. אם יש "עוצר יציאות" זה נחמד, אבל יש פעולות שצריך תמיכה מרחוק. בעולמות התוכנה נדרשו פתרונות גישה מרחוק כמו בעולם הIT", מסביר פרמינגר.
הגישה מרחוק פותחת סגמנטים ברשת שהיו סגורים לעולם. לסיסו אין ברירה כי הטכנאי של היצרן לא יכול להגיע פיזית. לפעמים מדובר בהטסת טכנאי ממדינה אחרת. "הלקוחות צריכים לתת גישה. חלק נתנו בצורה מובנית וקבועה וחלק בצורה מזדמנת. מגמה זו חשפה את הרשת לסיכונים. תוסיף לזה גל חולשות שתואם לתקופת הקורונה במוצרי גישה מרחוק של פאלו ו-F5. לקוחות הבינו שצריך לאפשר גישה מרחוק מאובטחת, שאינה תלויה בVPN", אומר פרמינגר. "המוצר שלנו הוא מכוון ICS והמטרה שלו היא גישה לרכיב לקצה."
"באופן כללי, הייתי ממליץ לבנות את ההגנה בשכבות. מוצרי אבטחה בכניסה לרשת זה השלב הראשון. ניטור פאסיבי יכול להפתיע את התוקף. אנו מספקים פתרון כזה. בונים פרופיל תקשורת בין התקנים וכאשר יש חריגה בתקשורת, אנחנו מדווחים. על מנת להבין את מבנה הרשת התוקף צריך לסרוק. כדי לא לעשות 'רעש' ברשת, אתה צריך מודיעין זהב. אתה צריך להבין את הרשת לעומק. אין תקיפה שנגמרת בפעם אחת. בחלק מהתקיפות הידועות התוקף היה ברשת כמה חודשים. לכן יש חשיבות להבין את הרשת במצב אידילי."
עדכוני תוכנה
שוק החולשות במוצרי OT גדול יחסית כי, כאמור, המוצרים לא נבנו עם חשיבה על אבטחת מידע, אלא מתוך מחשבה על רציפות תפעולית. אלו מוצרים שנבנו לעשרות שנים של עבודה. "מצאנו בשנה 50 חולשות במוצרי OT עם צוות של 2-3 אנשים. שדיווחנו ליצרנים, הם אמרו שאנחנו הראשונים שדיווחנו להם אי פעם. אין תהליך פיתוח מאובטח. בחברות הגדולות אתה רואה שיפור בתקופה האחרונה. אבל מדובר על אלפי פריטים. הקטלוג של חברות כמו מיצובישי, GE או רוקוול מכיל אלפי דגמים ומערכות", אומר פרמינגר.
"זה אתגר אבטחתי לא קטן. חלק מהמוצרים האלו הם תוצר רכישות עבר. צריך לתחזק הכל. לפעמים היצרן לא יכול לתקן כי המוצר EOL. אין וירטואל פאץ' בOT, לכן אנחנו מייצרים חתימה של הניצול של החולשה עבור מוצרי ההגנה בכניסה לרשת. אנחנו יודעים גם לזהות האם המוצר פגיע. חיבור בין מידע CVE לבין מידע מצאי של התקנים נעשה ידנית. לפעמים מפרסמים CVE עם דגם מסוים שההתקן בכלל מחצין דגם אחר בפועל. נדרשת הרבה אינטגרציה.
"מרגע פרסום הCVE, יש תהליך מחקרי שצריך לעשות. אם זה מוצר מוכר, החקירה יכולה לקחת שבוע. אם זה מוצר שלא מכירים, זה יכול לקחת חודשים. אם אין לך את החומרה והתוכנה במעבדה, צריך להתחיל מחקר שלם. יש לזכור כי אבטחת מידע בתחום הOT זה תהליך שעכשיו מתחיל. עד לפני כמה שנים סיסואים לא היו אחראים על רשתות ICS. להקביל לעולמות הטלקום, פעם הטלפון היה מערכת איתותים. לא הבינו שיש תקלות שקשורות לIP. גם עולם הICS עובר אבולוציה. המטרה הראשית של התקן ברשת ICS היא לעבוד עד אין סוף ללא תקלות."
"צריך לדעת מה המשאבה עושה"
פרמינגר מתייחס גם למתקפה על תאגידי המים בישראל בהתבסס על מקורות גלויים. "באותו אתר מסוים הייתה מערכת של תהליך טיפול בהפעלת משאבת כלור. הוא היה חשוף לרשת. הפורט הפתוח משמש להגדרה ומאפשר שינוי הגדרות להתקן. אלו התקני ICS שאפשר לקנפג. יש מערכת הפעלה וקוד שרץ על בסיסה", מסביר פרמינגר. "אפשר להוריד את הלוגיקה למכשיר באמצעות תוכנה של היצרן ולבצע שינוי קונפיגורציה. בחלק מהבקרים יש יכולת להזין שם משתמש וסיסמא. עם זאת, חלקם לא בודקים את ההרשאות.
"על מנת לבצע מתקפה מוצלחת, להשבית תהליך, צריך מישהו שמבין תהליכים. לא מספיק למצוא את ההתקן פתוח ברשת. צריך להבין מה קורה שם. מה עושה המשאבה, איזה חומר עובר בה. צריך מישהו מהתחום להבין איך זה עובד. יש סף בלתי נסבל בחלק מההתקנים. רק צריך לדעת איזה פרוטוקול רץ עליהם ואפשר לשנות אותו באמצעות תוכנה מסחרית. אנחנו למשל בודקים כל שינוי קונפיגורציה בהתקן. לראות שלא מעלים לוגיקה מוזרה."
מה כדאי לסיסו לעשות? "להשקיע בניראות. לדעת מה שיש לך ברשת. לצור עדיפות. לייצר מודיעין לקבל החלטות. איך מתחברים, מאיפה, לנסות לעשות סגמנטציה, חלוקת הרשאות קפדנית. לצד אלו, להתקין מערכות שמזהות שינויים ברשת."
