"ה-OT מהווה מטרה"
ג'ו רוברטסון מפורטינט טוען במאמר דעה כי מגיפת הקורונה העלתה את האיום בסייבר כלפי רשתות OT
הגנה לישראל
| 27/01/2021
צילום: פורטינט
כיום, כל דיון בכל נושא שהוא מגיע בסופו של דבר לדיון על מגפת הקורונה, אשר שולטת בחיינו בדרכים רבות. החיים, כמובן, חייבים להימשך וכך גם הפעילות העסקית, אך לא באותה הצורה. לאחר פרוץ המגפה, חברות היו צריכות להתאים את שיטת העבודה למציאות החדשה, בה אנשים מעטים בלבד עובדים מהמשרד ורובם עברו לעבוד מהבית. עובדה זו הקשתה על מחלקות ה-IT והביאה עמה דאגות אבטחה חדשות. בנוסף לכך, השפעת הקורונה על אבטחת הטכנולוגיה התפעולית (OT) הייתה עצומה.
עקב הסגרים התכופים, קווי ייצור רבים היו צריכים להאט או להפסיק את פעילותם לחלוטין בזמנים שבהם העובדים לא היו מסוגלים להגיע לעבודה. אך בשונה מסביבת IT, שבה שינוי תהליך של תוכנה או כיבוי של התקן נעשה בצורה פשוטה יחסית ובאופן מרוחק, ככל שהדבר נוגע למערכות OT, הפסקה של תהליך כימי או סגירת פס ייצור הם לא עניינים של מה בכך.
מערכות מסוימות, כמו כבשני ייצור או דודי חימום מסיביים, תוכננו לפעילות מתמשכת וכמעט בלתי אפשרי לכבות אותן לחלוטין. במקרים רבים יש צורך במספר מינימלי של מפעילים באתר הייצור כדי להריץ את הייצור או התהליך רק כדי שהמכונות במפעל לא יקרסו. במקרים רבים נוספים, המפעילים מנסים להריץ פעולות מרחוק, גם אם המערכות לא תוכננו לעבוד בצורה כזו.
אחד מהשיעורים החשובים ביותר של מגפת הקורונה היה כי שינויים משבשים יכולים לקרות בכל זמן. גם אם אנחנו לא יכולים לצפות אילו שיבושים עלולים לפגוע בנו, אנו צריכים להניח כי יהיו כאלה או שאנחנו אף צריכים לפעול כאילו הדבר כבר התרחש. זאת אומרת שעלינו לעשות עבודה טובה יותר בחיזוי והכנה לשינויים והדבר הראשון שיש לעשות הוא לא לקחת שום דבר כמובן מאליו.
ה-OT מהווה מטרה
במשך שנים רבות תהליכי ה-OT השתמשו בפרוטוקולים שאינם ניתנים לניתוב. בצורה זו, האבטחה הייתה דבר פשוט יחסית והסתכמה בהגנה פיזית. ההפרדה של רשת ה-OT מכל שאר הדברים – מה שנקרא air gap – הפכה את המשימה לפשוטה עבור צוותי התפעול והם היו יכולים להתעלם ממרבית איומי אבטחת הסייבר שהיו מנת חלקם של מרכזי נתונים ורשתות עסקיות. התוצאה של הדבר הייתה כי עבור ארגונים רבים, אבטחת הסייבר של סביבת הייצור הייתה בעדיפות נמוכה או אפילו לא חשובה כלל.
בשיחה שקיימתי עם אדם המשמש כמנהל תפעול עלתה מצדו השאלה – "אנחנו מגבים את כל נתוני הייצור שלנו ואת התצורות בכל יום; למה לנו להשקיע באבטחת סייבר? אם נותקף, נוכל להתחיל מחדש עם הנתונים של אתמול". לקח לי רק כמה דקות לשנות את דעתו כאשר הזכרתי סוג חדש של תוכנות כופר.
שאלתי אותו, "האם אתה מודע לתוכנות זדוניות אשר מתמקדות ספציפית ב-OT כמו EKANS? או נוזקות שמרמות את קונסולת ממשק האדם-מכונה (HMI), עובדות על המפעיל כך שיחשוב שהכל בסדר כאשר, למעשה, המכונות יוצאות משליטה?" הוא היה המום על ידי ההבנה כי מתקפות סייבר יכולות להסתכם לא רק בבעיות זניחות בייצור, אלא הן בעלות הפוטנציאל להזיק לציוד, לסכן את הביטחון של צוות העובדים ואפילו לגרום לסיכונים סביבתיים. לא היינו זקוקים למגפת הקורונה כדי לוודא שסביבת ה-OT שלנו מוגנת. אך זה מה שהיא גרמה לו.
נפרדים מה-air gap
במהלך העשור האחרון, יותר ויותר מערכות OT עברו לפעול על בסיס Ethernet סטנדרטי שמשתמש בפרוטוקולי IP. אך לא מדובר רק בפרוטוקולים שעוברים שינוי – ה-air gap נעלם כאשר הרשתות התעשייתיות התממשקו לרשת ה-IT. במשך קרוב לשלושה עשורים, אחת מהארכיטקטורות המרכזיות לייצור הייתה ה-Purdue Model, אשר מפרידה בין ההיבטים הפונקציונליים של התהליך לאזורים.
אזור ה-Process Control מזוהה על ידי החיישנים, ה-actuators וכלים קשורים המטמיעים את התהליך. אזורי ה-Operations וה-Control מתארים את הניהול של אותו תהליך ותהליכים רבים לאורך האתר. מדובר במודל מאוד היררכי, כך שכל אזור Process Control הוא בעל נקודת תקשורת אחת בלבד עם אזור פיקוח ה-Operations & Control.
בתורו, אזור ה-Operations & Control הוא בעל נקודת חיבור אחת בלבד לסביבת ה-IT הארגונית, אשר נקראת אזור ה-Enterprise. נקודת חיבור זו מהווה לרוב אזור מפורז אשר מופרד באמצעות התקן FW. במשך זמן רב, נדמה היה כי רמת אבטחה זו מספיקה.
יחד עם זאת, רשתות IT ו-OT מתכנסות כעת והדבר גורם לכמות גדולה יותר של מידע לעבור ביניהן. חיישנים ובקרים לוגיים מתוכנתים (PLCs) משגשגים בסביבת הייצור, כאשר רבים מהם בעלי חיבוריות אלחוטית. קווי LAN אלחוטיים וקווי LAN חוטיים משותפים על ידי עובדי המשרד ועל ידי מכונות הייצור.
רשתות OT ו-IT אולי עדיין מופרדות באופן הגיוני, אבל הן כבר לא מופרדות באופן פיזי. בנוסף לכך, ריבוי חיישני ה-OT באתר מייצר שטף של נתונים שצריך לנתח על ידי יישומים אשר נמצאים באזור ה-Enterprise. מידע והוראות זורמים בכיוון השני. במקום שבו יש זרימה של נתונים, יכולים לזרום גם איומים.
כל זה לא אומר שה-Purdue Model כבר לא בתוקף, אך יחד עם זאת, עלינו לחשוב מחדש על ההגנות שאנו מתקינים בתוך ובין אזורי ה-OT. למשל, בעוד כי התקן פיירוול אשר מבצע סגמנטציה עבור כל אזור ה-process Control הוא כמו הדלת הקדמית הנעולה של הבית, הוא לא יחסום גנב נחוש – במיוחד במידה והחלונות והדלת האחורית פתוחים.
מאת: ג'ו רוברטסון, מנהל אבטחת מידע, אזור EMEA, פורטינט.
ג'ו רוברטסון מפורטינט טוען במאמר דעה כי מגיפת הקורונה העלתה את האיום בסייבר כלפי רשתות OT
צילום: פורטינט
כיום, כל דיון בכל נושא שהוא מגיע בסופו של דבר לדיון על מגפת הקורונה, אשר שולטת בחיינו בדרכים רבות. החיים, כמובן, חייבים להימשך וכך גם הפעילות העסקית, אך לא באותה הצורה. לאחר פרוץ המגפה, חברות היו צריכות להתאים את שיטת העבודה למציאות החדשה, בה אנשים מעטים בלבד עובדים מהמשרד ורובם עברו לעבוד מהבית. עובדה זו הקשתה על מחלקות ה-IT והביאה עמה דאגות אבטחה חדשות. בנוסף לכך, השפעת הקורונה על אבטחת הטכנולוגיה התפעולית (OT) הייתה עצומה.
עקב הסגרים התכופים, קווי ייצור רבים היו צריכים להאט או להפסיק את פעילותם לחלוטין בזמנים שבהם העובדים לא היו מסוגלים להגיע לעבודה. אך בשונה מסביבת IT, שבה שינוי תהליך של תוכנה או כיבוי של התקן נעשה בצורה פשוטה יחסית ובאופן מרוחק, ככל שהדבר נוגע למערכות OT, הפסקה של תהליך כימי או סגירת פס ייצור הם לא עניינים של מה בכך.
מערכות מסוימות, כמו כבשני ייצור או דודי חימום מסיביים, תוכננו לפעילות מתמשכת וכמעט בלתי אפשרי לכבות אותן לחלוטין. במקרים רבים יש צורך במספר מינימלי של מפעילים באתר הייצור כדי להריץ את הייצור או התהליך רק כדי שהמכונות במפעל לא יקרסו. במקרים רבים נוספים, המפעילים מנסים להריץ פעולות מרחוק, גם אם המערכות לא תוכננו לעבוד בצורה כזו.
אחד מהשיעורים החשובים ביותר של מגפת הקורונה היה כי שינויים משבשים יכולים לקרות בכל זמן. גם אם אנחנו לא יכולים לצפות אילו שיבושים עלולים לפגוע בנו, אנו צריכים להניח כי יהיו כאלה או שאנחנו אף צריכים לפעול כאילו הדבר כבר התרחש. זאת אומרת שעלינו לעשות עבודה טובה יותר בחיזוי והכנה לשינויים והדבר הראשון שיש לעשות הוא לא לקחת שום דבר כמובן מאליו.
ה-OT מהווה מטרה
במשך שנים רבות תהליכי ה-OT השתמשו בפרוטוקולים שאינם ניתנים לניתוב. בצורה זו, האבטחה הייתה דבר פשוט יחסית והסתכמה בהגנה פיזית. ההפרדה של רשת ה-OT מכל שאר הדברים – מה שנקרא air gap – הפכה את המשימה לפשוטה עבור צוותי התפעול והם היו יכולים להתעלם ממרבית איומי אבטחת הסייבר שהיו מנת חלקם של מרכזי נתונים ורשתות עסקיות. התוצאה של הדבר הייתה כי עבור ארגונים רבים, אבטחת הסייבר של סביבת הייצור הייתה בעדיפות נמוכה או אפילו לא חשובה כלל.
בשיחה שקיימתי עם אדם המשמש כמנהל תפעול עלתה מצדו השאלה – "אנחנו מגבים את כל נתוני הייצור שלנו ואת התצורות בכל יום; למה לנו להשקיע באבטחת סייבר? אם נותקף, נוכל להתחיל מחדש עם הנתונים של אתמול". לקח לי רק כמה דקות לשנות את דעתו כאשר הזכרתי סוג חדש של תוכנות כופר.
שאלתי אותו, "האם אתה מודע לתוכנות זדוניות אשר מתמקדות ספציפית ב-OT כמו EKANS? או נוזקות שמרמות את קונסולת ממשק האדם-מכונה (HMI), עובדות על המפעיל כך שיחשוב שהכל בסדר כאשר, למעשה, המכונות יוצאות משליטה?" הוא היה המום על ידי ההבנה כי מתקפות סייבר יכולות להסתכם לא רק בבעיות זניחות בייצור, אלא הן בעלות הפוטנציאל להזיק לציוד, לסכן את הביטחון של צוות העובדים ואפילו לגרום לסיכונים סביבתיים. לא היינו זקוקים למגפת הקורונה כדי לוודא שסביבת ה-OT שלנו מוגנת. אך זה מה שהיא גרמה לו.
נפרדים מה-air gap
במהלך העשור האחרון, יותר ויותר מערכות OT עברו לפעול על בסיס Ethernet סטנדרטי שמשתמש בפרוטוקולי IP. אך לא מדובר רק בפרוטוקולים שעוברים שינוי – ה-air gap נעלם כאשר הרשתות התעשייתיות התממשקו לרשת ה-IT. במשך קרוב לשלושה עשורים, אחת מהארכיטקטורות המרכזיות לייצור הייתה ה-Purdue Model, אשר מפרידה בין ההיבטים הפונקציונליים של התהליך לאזורים.
אזור ה-Process Control מזוהה על ידי החיישנים, ה-actuators וכלים קשורים המטמיעים את התהליך. אזורי ה-Operations וה-Control מתארים את הניהול של אותו תהליך ותהליכים רבים לאורך האתר. מדובר במודל מאוד היררכי, כך שכל אזור Process Control הוא בעל נקודת תקשורת אחת בלבד עם אזור פיקוח ה-Operations & Control.
בתורו, אזור ה-Operations & Control הוא בעל נקודת חיבור אחת בלבד לסביבת ה-IT הארגונית, אשר נקראת אזור ה-Enterprise. נקודת חיבור זו מהווה לרוב אזור מפורז אשר מופרד באמצעות התקן FW. במשך זמן רב, נדמה היה כי רמת אבטחה זו מספיקה.
יחד עם זאת, רשתות IT ו-OT מתכנסות כעת והדבר גורם לכמות גדולה יותר של מידע לעבור ביניהן. חיישנים ובקרים לוגיים מתוכנתים (PLCs) משגשגים בסביבת הייצור, כאשר רבים מהם בעלי חיבוריות אלחוטית. קווי LAN אלחוטיים וקווי LAN חוטיים משותפים על ידי עובדי המשרד ועל ידי מכונות הייצור.
רשתות OT ו-IT אולי עדיין מופרדות באופן הגיוני, אבל הן כבר לא מופרדות באופן פיזי. בנוסף לכך, ריבוי חיישני ה-OT באתר מייצר שטף של נתונים שצריך לנתח על ידי יישומים אשר נמצאים באזור ה-Enterprise. מידע והוראות זורמים בכיוון השני. במקום שבו יש זרימה של נתונים, יכולים לזרום גם איומים.
כל זה לא אומר שה-Purdue Model כבר לא בתוקף, אך יחד עם זאת, עלינו לחשוב מחדש על ההגנות שאנו מתקינים בתוך ובין אזורי ה-OT. למשל, בעוד כי התקן פיירוול אשר מבצע סגמנטציה עבור כל אזור ה-process Control הוא כמו הדלת הקדמית הנעולה של הבית, הוא לא יחסום גנב נחוש – במיוחד במידה והחלונות והדלת האחורית פתוחים.
מאת: ג'ו רוברטסון, מנהל אבטחת מידע, אזור EMEA, פורטינט.
