מתקפות על תשתיות OT קריטיות – סיכון ממשי

מתקפות OT מערערות את תחושת החסינות מפני פריצות, שהושגה בזכות בידוד המערכת. ג׳ו רוברטסון, מנהל אבטחת מידע בפורטינט, מסביר על השינויים והאתגרים

ג׳ו רוברטסון. צילום: פורטינט

טכנולוגיה תפעולית (OT) היא חלק קריטי של הרשת אשר משמשת חברות ייצור או חברות אשר מתמודדות עם תהליכי בקרה פיזיים. תעשיות כמו ייצור, כימיקלים, נפט וגז, כרייה, תעבורה ולוגיסטיקה – כולן משתמשות בטכנולוגיות מיוחדות כדי להפעיל רצפות ייצור. הבקרה, הניטור והניהול של המערכות הללו הפכו לאוטומטיים במהלך העשורים האחרונים והמערכות המיוחדות אשר מבצעות את המשימות הללו נקראות מערכות בקרה תעשייתיות (ICS), מערכות פיקוח, שליטה ואיסוף נתונים (SCADA) או בפשטות OT.

הרשתות שבהן מערכות OT אלו פועלות היו באופן מסורתי מופרדות מסביבת ה-IT הארגונית ומהאינטרנט וברוב המקרים, היו מבודדות באמצעות Air Gap. מערכות אלו מנוהלות לרוב על ידי צוות תפעול ייעודי ולא צוות ה-IT ויש לכך סיבה טובה. רצפות ייצור יכולות לייצר מיליוני דולרים תוך שעה אחת עבור חברות וקהילות מסתמכות על תשתיות קריטיות אשר מספקות דברים כמו מים נקיים וחשמל. כאשר המערכות הללו מושבתות, גם אם מדובר רק במספר דקות, זה יכול לעלות מאות אלפי דולרים ואפילו לסכן את העובדים והקהילות הנמצאות מסביב.  

אם לומר זאת בפשטות, ה-IT עוסק בניהול נתונים וה-OT עוסק בייצור דברים. ובגלל שמערכות OT אלו היו מבודדות לחלוטין, עולם ה-OT הרגיש חסין מפני הפרצות שהיו עובדה מוגמרת בסביבות ה-IT, אך מתקפות OT אחרונות שינו את תחושת החסינות הזאת.

מתקפות סייבר על מערכות אלו, ועל תשתיות OT באופן כללי, גוברות וגורמות לנזק ממשי. מתקפת ה-OT האמיתית הראשונה התרחשה לפני עשור והיא מיוחסת ל-Stuxnet. למרות שזו הייתה מערכת מבודדת לחלוטין, כלומר לא מחוברת כלל לרשתות חיצוניות, היא בכל זאת נפרצה. בשנת 2017, תכנת הכופר NotPetya שיבשב את הייצור והשביתה משרדים. באותה השנה, התוכנה הזדונית Trisis/Triton התכוונה לגרום נזק למכשור בטיחות של ציוד לייצור נפט וגז. השנה כבר צפינו בהופעתה של תוכנת הכופר Ekans/Snake, המתמקדת במערכות ICS.

הבידוד מתמוסס

מספר גורמים הביאו לגידול באיומים שעמם מתמודדות סביבות ה-OT. ראשית, שימוש ב-Air Gap מעולם לא הבטיח אבטחה מלאה, אם כי הבידוד אכן הפך את מערכות ה-OT לקשות יותר לפריצה. השגת גישה פיזית תמיד הייתה אפשרית באמצעות כלים של הנדסה חברתית, כמו השארת USB נגוע בחנייה או אפילו כניסה לחדר עם לוח כתיבה, קסדה והמון ביטחון.

שנית, אם אתם חושבים שסביבת ה-OT שלכם מוגנת באמצעות Air Gap, אתם ככל הנראה טועים. גישה של צוות התחזוקה למכונות תעשייתיות, עדכון מרחוק של כלי ICS או עדכוני קושחה מרוחקים – כולם משאירים דלתות אחוריות פוטנציאליות לתוך סביבת ה-OT שאתם אפילו לא מודעים אליהן.

אך החשוב מכל, רשתות IT ו-OT מתכנסות יחד, מה שחושף את ה-OT למתקפות דרך עולם ה-IT. שילוב הנתונים עם הייצור מאפשר לעסקים להגיב מהר יותר לשינויים בשוק, לנהל ולשלוט בצורה מרוחקת על המערכות. אך לצד היתרונות העסקיים הללו קיימים גם סיכונים ממשיים. תוכנות זדוניות חדשות אשר שואפות להתמקד בציוד OT משתמשות בסיורים בשטח שלכם וברכיבי אספקה אשר מנצלים את סביבת ה-IT ואת חיבורי הרשת כדי לקבל גישה למערכות בקרה תעשייתיות.

לדוגמא, בתוכנה הזדונית Trisis/Triton יש רכיבים אשר מתמקדים ישירות במערכת הבטיחות והניטור המשמשים מפעלים של מוצרי נפט תעשייתיים. מדובר במתקפה המתמקדת ספציפית ב-OT. אך התהליכים, הנהלים והטכניקות שהיא משתמשת בהן כדי להגיע למערכת הבטיחות הן שיטות סיור ומתקפות סייבר של IT.

ההתכנסות היא אמיתית

למרות הסיכון הנוסף לרשתות OT, ההתכנסות בין סביבות IT ו-OT מתרחשת היות ויש בה היגיון כלכלי ותפעולי. צוותי התפעול מטמיעים מערכות בקרה מתוחכמות אשר משתמשות בתוכנה ובמאגרי נתונים הפועלים על מערכות IT. דברים כמו תרמוסטטים ושסתומים הפועלים על Wi-Fi יכולים להיות מנוטרים ומבוקרים מרחוק באמצעות תשתית ה-IT וסמנכ"לי הכספים לא אוהבים את העלויות של רשתות נפרדות או הצוותים הנפרדים הדרושים כדי לנהל אותם. השילוב בין עולמות ה-IT וה-OT מציע תהליך טוב יותר ויעילות עסקית, כך שההתכנסות מתרחשת ואנחנו צריכים להבין כי היא מגבירה את סיכוני הסייבר במספר דרכים.

ראשית, ההתכנסות מרחיבה את שטח התקיפה הדיגיטלי, שזוהי דרך לומר כי כעת ההאקרים יכולים להתמקד במכשירים והתקנים רבים יותר. כמות שרתי הרשת, הסניפים המשרדיים, העובדים הביתיים המרוחקים והתקני ה-IoT גדלים וכל אחד מהם מהווה נתיב פוטנציאלי לתוך רשת ה-IT ובסופו של דבר, לתוך סביבת ה-OT. בדומה לכך, מערכות OT רבות המחוברות כעת לרשת ה-IT עלולות להיות ישנות ורגישות, מה שאומר שיהיה הרבה יותר קל לנצל אותן.

ולא רק זה, האיומים הפכו למתוחכמים במיוחד. בדומה לחברות אשר עוברות תהליך של טרנספורמציה דיגיטלית ומפתחות תוכנות מגוונות, כך גם התוקפים משתמשים באופן הטכניקות כדי ליצור תוכנות זדוניות מורכבות ומגוונות מאוד. המתקפות שלהם עושות שימוש בטכניקות שונות כדי לחדור לרשת ה-IT ובסופו של דבר, גם לרשת ה-OT, תוך התחמקות מכלי האבטחה הקיימים.

כשמדברים על כלי אבטחה, כיום יש הרבה מאוד כלים אשר מנהלים איומים, מה שהפך בדרכים מסוימות לקשה יותר מאי פעם. סקרים הראו כי למרבית הארגונים הגדולים יש בין 30 ל-90 כלי אבטחה שונים מספקים שונים. לכלי אבטחה אלו יש מערכות ניהול שונות והם דורשים צוות מיומן אשר יבין אותן. במקרים רבים מידי, לצוות האבטחה אין את הזמן להתמודד עם כל הכלים הללו. איומי סייבר יכולים פשוט ללכת לאיבוד בתוך כל הרעש והבלבול.    

ולבסוף, תקנות אשר מפקחות על פרצות סייבר וההגנה על מידע אישי הגבירו את המורכבות של האבטחה אף יותר עבור מנהלי IT ו-OT, כאשר קיימים סטנדרטים כלליים כמו PCI-DSS (Payment Card Industry Data Security Specification), GDPR (תקינה כללית להגנה על מידע) וה-NIST (המכון הלאומי לתקנים וטכנולוגיה) אשר ארגונים צריכים להבין ולעקוב אחריהם. קיימים גם סטנדרטים מוגדרים לפי תעשיות ותקנות ממגוון ארגונים, כמו ארגון התקינה הבינלאומי (ISO) ומכון התקנים האמריקאי (ANSI), אשר מסדירים כיצד והיכן יש ליישם את האבטחה.

אתם היעד. אל תהיו הקורבן

סביבת ה-OT שלכם מהווה מטרה אטרקטיבית – ואם היא עדיין לא הותקפה, היא תותקף. במקרים רבים, כאשר מדובר במערכות ICS או SCADA, קיים מחסור אדיר בהשקעה באבטחה. יש לכך סיבות רבות, אך ללא קשר לסיבה, מדובר במצב שיש לתקן אותו. בין אם הארגון שלכם מבצע תהליך התכנסות בין סביבות IT ו-OT ובין אם לאו, אתם צריכים להגן על סביבת ה-OT שלכם באמצעות שימוש במספר שיטות אבטחה מומלצות:

  1. תבינו כי הסיכון לארגון שלכם גובר ותתחייבו לנקוט בפעולה.
  2. תתקינו כלים בארגון אשר יספקו נראות רחבה לתוך רשתות ה-OT וה-IT. הדבר כולל גילוי ונראות מלאה של ההתקנים כדי לוודא כי רק צוות מורשה הוא בעל גישה לכלי בקרה ומערכות הניהול ליישומים ותעבורה.
  3. תיישמו אסטרטגיה של הפרדת רשתות. תשלבו התקני Firewall עם מדיניות מחמירה בין סביבות ה-IT וה-OT ועשו את אותו הדבר בין רמות שונות של רשת ה-OT שלכם. המטרה היא להבטיח כי כל מערכת ותת-מערכת מבצעות את העבודה שלהן ורק אותה. הפרדת רשתות מונעת ממתקפה אשר מתרחשת בנקודה אחת להתפשט לכל האזורים.
  4. תחליפו מודל גישה פתוח המבוסס על אמון באסטרטגיית גישה מסוג zero-trust. התקינו בקרות גישה אשר מאשרות משתמשים, מגבילות אותם רק למערכות שהם זקוקים להן כדי לבצע את עבודתם ואז מנטרות אותם בזמן שהם מחוברות לרשת. יש צורך ליישם גישה זאת בכל מקום, אך זה חשוב במיוחד בעבודה עם קבלנים וספקים.
  5. תשתמשו באוטומציה כדי לסייע לנתח פעילויות ולהאיץ את זמן התגובה. תתקינו כלים אשר מתעדים פעילות, כלי אנליטיקה אשר מחפשים בתיעודים הללו התנהגות חריגה ומערכות אבטחה אשר יכולות להגיב לאיומים אשר אותרו. בהינתן המהירות שבה מתקפות מתרחשות היום, אוטומציה וניהול אחוד חיוניות לזיהוי איומים ונקיטה בפעולה תוך שניות או פחות.
  6. תבססו תהליכי בקרה ובדיקה של מערכות במקרה של פריצה ותבנו נהלים לגיבוי, התאוששות ושחזור.

שום דבר ואף אחד לא יכולים להבטיח כי אף מתקפה אף פעם לא תעבור את ההגנות שלכם. אך ללא אסטרטגיית הגנה יעילה, אתם בוודאות תותקפו ותסבלו מכך.

ישנם כלים רבים אשר תוכננו כדי להגן על רשתות ה-IT וה-OT שלכם מסוגים שונים של מתקפות ושלבים שונים של הסתננות לארגון. תחפשו אחר חבילה משולבת של כלים – בין אם מדובר בתוכנה, חומרה או שתיהן – במיוחד אלו אשר תוכננו במיוחד כדי להתמודד עם האתגרים הייחודיים של סביבות ה-OT. גישה זו תספק לכם את האבטחה הטובה ביותר.

מאת ג'ו רוברטסון, מנהל אבטחת מידע, פורטינט.