การโจมตีระบบอุตสาหกรรมในปี 2556

นักวิจัยที่มีช่องโหว่จำนวนมากจะมุ่งความสนใจไปที่ ICS ในปีหน้า แต่ cyberattackers จะเป็นเช่นนั้นผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่า

ระบบควบคุม ประกอบด้วยซอฟต์แวร์การตรวจสอบที่ทำงานบนเวิร์กสเตชันหรือเซิร์ฟเวอร์ที่ทุ่มเทและอุปกรณ์ฮาร์ดแวร์ที่สามารถตั้งโปรแกรมได้คอมพิวเตอร์ซึ่งเชื่อมต่อและควบคุมกระบวนการทางไฟฟ้าสถิต ระบบเหล่านี้ใช้ในการตรวจสอบและควบคุมการดำเนินการต่างๆในโรงงานอุตสาหกรรมการติดตั้งทางทหารกริดไฟฟ้าระบบจำหน่ายน้ำและแม้แต่อาคารสาธารณะและเอกชน

บางแห่งใช้ในโครงสร้างพื้นฐานที่สำคัญซึ่งเป็นระบบที่ประชากรขนาดใหญ่ขึ้นอยู่กับ ไฟฟ้า, น้ำสะอาด, การขนส่ง, ฯลฯ ดังนั้นการก่อวินาศกรรมที่อาจเกิดขึ้นอาจมีผลกระทบที่กว้างไกล ส่วนอื่น ๆ เกี่ยวข้องกับธุรกิจของเจ้าของเท่านั้นและความผิดปกติของพวกเขาจะไม่ส่งผลกระทบอย่างมาก

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

มัลแวร์มีข้อบกพร่อง

ความปลอดภัยของ SCADA (การควบคุมดูแลและการเก็บข้อมูล) และระบบควบคุมอุตสาหกรรมประเภทอื่น ๆ ได้รับการถกเถียงกันมากในอุตสาหกรรมการรักษาความปลอดภัยไอทีเนื่องจากมัลแวร์ Stuxnet ถูกค้นพบในปี พ.ศ. 2553

Stuxnet เป็นมัลแวร์ตัวแรกที่รู้จักกันแพร่หลาย และได้ใช้ประสบความสำเร็จในการทำลายเครื่องปั่นไฟยูเรเนียมที่โรงไฟฟ้านิวเคลียร์ของอิหร่านในเมือง Natanz Stuxnet เป็น cyberweapon ที่มีความซับซ้อนซึ่งเชื่อกันว่าได้รับการพัฒนาโดยประเทศสหรัฐอเมริกาโดยรายงานว่าสหรัฐและอิสราเอลมีการเข้าถึงนักพัฒนาที่มีทักษะเงินไม่ จำกัด และข้อมูลรายละเอียด เกี่ยวกับจุดอ่อนของระบบควบคุม

การโจมตีระบบควบคุมโครงสร้างพื้นฐานที่สำคัญต้องมีการวางแผนอย่างจริงจังการรวบรวมข่าวกรองและการใช้ metho ds-Stuxnet ได้รับการออกแบบมาเพื่อแพร่กระจายผ่านทางอุปกรณ์ USB เนื่องจากระบบคอมพิวเตอร์ของ Natanz ถูกแยกออกจากอินเทอร์เน็ตใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้และกำหนดคอนฟิกูเรชัน SCADA ที่เฉพาะเจาะจงโดยเฉพาะที่พบในไซต์เท่านั้น อย่างไรก็ตามระบบควบคุมที่ไม่ได้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานที่สำคัญจะกลายเป็นเรื่องง่ายในการโจมตีโดยผู้ที่มีทักษะน้อย

เนื่องจากระบบเหล่านี้เชื่อมต่อกับอินเทอร์เน็ตเพื่อความสะดวกในการดูแลระบบระยะไกลและเนื่องจากข้อมูลเกี่ยวกับช่องโหว่ใน ICS ซอฟต์แวร์อุปกรณ์และโปรโตคอลการสื่อสารสามารถเข้าถึงได้ง่ายกว่าในวันก่อน Stuxnet รายละเอียดเกี่ยวกับช่องโหว่ของ SCADA และ ICS จำนวนมากที่ได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัยในช่วงสองปีที่ผ่านมาซึ่งมักมาพร้อมกับรหัสการใช้ประโยชน์จากการพิสูจน์ความเป็นไปได้ของการใช้ประโยชน์

"เราจะเห็นการเพิ่มขึ้นของการใช้ประโยชน์อุปกรณ์ควบคุมระบบอินเทอร์เน็ตที่เพิ่มขึ้น Dale Peterson ประธานเจ้าหน้าที่บริหาร บริษัท Digital Bond ซึ่งเป็น บริษัท ที่เชี่ยวชาญด้านการวิจัยและประเมินด้านความปลอดภัยของ ICS กล่าวว่าผ่านทางอีเมล์

อย่างไรก็ตามอุปกรณ์ระบบควบคุมการเข้าถึงอินเทอร์เน็ตส่วนใหญ่ไม่ได้เป็นส่วนหนึ่งของระบบ เขากล่าวว่าคนส่วนใหญ่จะพิจารณาโครงสร้างพื้นฐานที่สำคัญ "พวกเขาเป็นตัวแทนของระบบเทศบาลขนาดเล็กการสร้างระบบอัตโนมัติ ฯลฯ พวกเขามีความสำคัญกับ บริษัท ที่เป็นเจ้าของและดำเนินงานเหล่านี้ แต่จะไม่ส่งผลกระทบต่อประชากรส่วนใหญ่หรือเศรษฐกิจส่วนใหญ่"

ผู้บุกรุกที่อาจสนใจ ในการกำหนดเป้าหมายระบบดังกล่าวรวมถึงแฮ็กเกอร์ที่มีแรงจูงใจทางการเมืองพยายามที่จะกล่าวคำกลุ่มแฮ็ตติวิสต์ที่มีความสนใจในการดึงดูดความสนใจของพวกเขาอาชญากรที่สนใจใน บริษัท แบล็กเมล์หรือแม้กระทั่งแฮกเกอร์ทำสิทธิสนุกหรือเป้อเย้อ

แฮกเกอร์หาเป้าหมาย

เมื่อเร็ว ๆ นี้แฮ็กเกอร์ได้รับอนุญาตให้เข้าใช้เครื่องทำความร้อนระบายอากาศและเครื่องปรับอากาศ (HVAC) ที่ใช้งานอยู่ในอาคารสำนักงานของ บริษัท เครื่องปรับอากาศ New Jersey โดยใช้ประโยชน์จากช่องโหว่ในการควบคุม กล่องที่เชื่อมต่อกับมัน - ระบบควบคุม Niagara ที่ทำโดย Tridium บริษัท ที่ติดตั้งระบบคล้ายคลึงกันสำหรับธนาคารและธุรกิจอื่น ๆ

การละเมิดเกิดขึ้นหลังจากข้อมูลเกี่ยวกับช่องโหว่ในระบบ Niagara ICS ถูกใช้ร่วมกันทางออนไลน์ในเดือนมกราคมโดยแฮ็กเกอร์โดยใช้ชื่อเล่นว่า "@ntisec" (antisec) การดำเนินการ AntiSec เป็นชุดของการโจมตีการโจมตีโดยมุ่งเป้าไปที่หน่วยงานบังคับใช้กฎหมายและสถาบันของรัฐบาลที่มีการประสานโดยแฮกเกอร์ที่เกี่ยวข้องกับ LulzSec กลุ่มบุคคลที่ไม่ระบุตัวตนและกลุ่มแฮ็ตติวิสต์อื่น ๆ

"ในวันที่ 21 และ 23 มกราคม พ.ศ. 2555 เรื่องที่ไม่รู้จักได้โพสต์ความคิดเห็นในเว็บไซต์สหรัฐฯ "#US #SCADA #IDIOTS" และ "#US #SCADA #IDIOTS part-II" "เอฟบีไอกล่าวในเอกสารรั่วไหลออกมา

" ไม่ใช่เรื่องที่การโจมตี ICS จะเป็นไปได้หรือไม่ Ruben Santamarta นักวิจัยด้านความมั่นคงกับ IOActive ซึ่งเป็น บริษัท ที่ปรึกษาด้านความปลอดภัยซึ่งพบช่องโหว่ในระบบ SCADA ในอดีตกล่าวว่า " "เมื่อแรงจูงใจแข็งแรงพอเราจะเผชิญกับเหตุการณ์ใหญ่สถานการณ์ทางการเมืองและทางสังคมและการเมืองไม่ได้ช่วยอะไรแน่นอนมันไม่ใช่เรื่องน่าขันที่จะสรุปได้ว่าปี 2013 น่าจะเป็นปีที่น่าสนใจ"

การโจมตีเป้าหมายไม่ใช่เรื่องเฉพาะ; มัลแวร์ SCADA เกินไป Vitaly Kamluk หัวหน้าผู้เชี่ยวชาญด้านมัลแวร์ของ Kaspersky Lab เชื่อมั่นว่ามัลแวร์จะมีมัลแวร์มากขึ้นในระบบ SCADA ในอนาคต

"การสาธิตของ Stuxnet ว่า ICS / SCADA ที่อ่อนแอจะเปิดพื้นที่ใหม่อย่างสมบูรณ์แบบสำหรับ whitehat และ blackhat นักวิจัย "เขากล่าวผ่านทางอีเมล์ "หัวข้อนี้จะอยู่ในรายชื่อด้านบนของปี 2013"

อย่างไรก็ตามนักวิจัยด้านความปลอดภัยบางคนเชื่อว่าการสร้างมัลแวร์ดังกล่าวยังอยู่นอกเหนือความสามารถของผู้โจมตีโดยเฉลี่ย

"การสร้างมัลแวร์ที่จะประสบความสำเร็จในการโจมตี ICS ไม่โทรมและอาจจำเป็นต้องมีข้อมูลเชิงลึกและการวางแผน "Thomas Kristensen หัวหน้าหน่วยรักษาความปลอดภัยของหน่วยสืบราชการลับของช่องโหว่และ บริษัท จัดการ Secunia กล่าวผ่านทางอีเมล์ "นี่ยังช่วย จำกัด จำนวนคนหรือองค์กรที่สามารถดึงการโจมตีดังกล่าวได้"

"เราไม่ต้องสงสัยเลยว่าเราจะเห็นการโจมตี ICS" คริสเต็นเซนเน้น "

" ส่วนใหญ่ ของระบบ SCADA และ DCS ที่ใช้งาน (Distributed Control System) และฮาร์ดแวร์ได้รับการพัฒนาโดยปราศจาก Security Lifeline (SDL) - คิดว่า Microsoft ในช่วงปลายยุค 90- ดังนั้นจึงมีข้อผิดพลาดมากมายเกี่ยวกับการเขียนโปรแกรมซึ่งนำไปสู่ข้อบกพร่องช่องโหว่และ การหาประโยชน์ "Peterson กล่าวว่า "นั่นคือ PLCs และอุปกรณ์อื่น ๆ ในภาคสนามไม่ปลอดภัยโดยการออกแบบและไม่จำเป็นต้องเสี่ยงต่อการใช้กระบวนการสำคัญลงหรือแก้ไขในลักษณะที่เป็นอันตรายโดย la stuxnet"

บริษัท Digital Bond ซึ่งเป็น บริษัท Peterson ได้ปล่อยตัวการโจมตีหลายวิธี สำหรับช่องโหว่ที่พบใน PLC จำนวนมาก (ตัวควบคุมตรรกะโปรแกรม) - ส่วนประกอบฮาร์ดแวร์ของ SCADA - จากผู้จัดจำหน่ายหลายรายเป็นโมดูลสำหรับกรอบการทดสอบการเจาะผ่าน Metasploit ซึ่งเป็นเครื่องมือแบบโอเพนซอร์สซึ่งสามารถใช้ได้โดยทุกคน โครงการนี้มีขึ้นเพื่อเป็นส่วนหนึ่งของโครงการวิจัยที่เรียกว่าโครงการ Basecamp ซึ่งมีเป้าหมายเพื่อแสดงให้เห็นว่า PLCs มีความเปราะบางและไม่ปลอดภัยมากเพียงใด

"ข้อ จำกัด เพียงอย่างเดียวในการหาช่องโหว่ของ SCADA และ DCS คือนักวิจัยที่เข้าถึงอุปกรณ์, "ปีเตอร์สันกล่าวว่า "ความพยายามมากขึ้นและประสบความสำเร็จมากขึ้นดังนั้นจะมีช่องโหว่เพิ่มมากขึ้นซึ่งจะเปิดเผยในลักษณะที่นักวิจัยเห็นสมควร"

ยังคงต้องการแพทช์

Santamarta ตกลงกันว่าเป็นเรื่องง่ายที่นักวิจัยสามารถหาช่องโหว่ในซอฟต์แวร์ SCADA ได้ในปัจจุบัน

แม้จะมีตลาดข้อมูลความเสี่ยงของ SCADA ReVuln ซึ่งเป็น บริษัท รักษาความปลอดภัยในการเริ่มต้นของมอลตาก่อตั้งขึ้นโดยนักวิจัยด้านความปลอดภัย Luigi Auriemma และ Donato Ferrante ขายข้อมูลเกี่ยวกับช่องโหว่ของซอฟต์แวร์แก่หน่วยงานรัฐบาลและผู้ซื้อส่วนตัวรายอื่นโดยไม่ต้องแจ้งให้ผู้ขายทราบ ตามที่ Donato Ferrante มีแนวโน้มที่จะเพิ่มขึ้นทั้งในด้านการโจมตีและการลงทุนในด้านความปลอดภัย SCADA กว่า 40 เปอร์เซ็นต์ของช่องโหว่ในผลงานของ ReVuln ในขณะนี้ "ในความเป็นจริงถ้าเราคิดว่า บริษัท ขนาดใหญ่หลายแห่งในตลาด SCADA กำลังลงทุนเงินเป็นจำนวนมากในการทำให้โครงสร้างพื้นฐานเหล่านี้แข็งค่าขึ้นนั่นหมายความว่าหัวข้อ SCADA / ICS เป็นและจะยังคงเป็นหัวข้อร้อนสำหรับปีต่อไป" Ferrante กล่าวผ่านทางอีเมล.

อย่างไรก็ตามการรักษาความปลอดภัยระบบ SCADA ไม่ได้ง่ายพอ ๆ กับการรักษาความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีและระบบคอมพิวเตอร์ทั่วไป แม้ว่าระบบรักษาความปลอดภัยสำหรับผลิตภัณฑ์ SCADA จะถูกปล่อยออกจากผู้ขาย แต่เจ้าของระบบที่มีช่องโหว่อาจต้องใช้เวลานานมากในการปรับใช้ระบบเหล่านี้

โซลูชั่นการติดตั้งแพทช์อัตโนมัติสำหรับระบบ SCADA มีน้อยมาก Luigi Auriemma กล่าวทางอีเมล ผู้ดูแลระบบ SCADA จำเป็นต้องใช้แพทช์ที่เหมาะสมด้วยตนเองเขากล่าวว่า "สถานการณ์แย่มาก" Kamluk กล่าว เป้าหมายหลักของระบบ SCADA คือการทำงานที่ต่อเนื่องซึ่งโดยปกติแล้วจะไม่สามารถทำการ patching หรืออัพเดต patch ติดตั้ง patch หรือ update ได้โดยไม่ต้องรีสตาร์ทระบบหรือโปรแกรมอีกต่อไป

นอกจากนี้ SCADA security patches ยังต้อง ได้รับการทดสอบอย่างละเอียดก่อนนำไปใช้งานในสภาพแวดล้อมการผลิตเนื่องจากพฤติกรรมที่ไม่คาดคิดใด ๆ อาจมีผลกระทบอย่างมากต่อการดำเนินงาน

"แม้ในกรณีที่มีการปรับปรุงช่องโหว่เราจะพบระบบที่มีช่องโหว่มาเป็นเวลานานแล้ว" Santamarta กล่าว

ผู้เชี่ยวชาญด้านความปลอดภัยของ SCADA ส่วนใหญ่ต้องการอุปกรณ์ควบคุมอุตสาหกรรมเช่น PLCs ที่จะออกแบบใหม่ด้วยความปลอดภัย "

สิ่งที่จำเป็นคือ PLCs พร้อมด้วยมาตรการรักษาความปลอดภัยขั้นพื้นฐานและวางแผนที่จะปรับใช้โครงสร้างพื้นฐานที่สำคัญที่สุดเหล่านี้ ในช่วง 1-3 ปีข้างหน้า "ปีเตอร์สันกล่าว" สถานการณ์ในอุดมคติคืออุปกรณ์อุตสาหกรรมที่ปลอดภัยจากการออกแบบ แต่เราต้องเป็นเรื่องสมจริงซึ่งจะใช้เวลา "Santamarta กล่าว "ภาคอุตสาหกรรมแตกต่างกันไปทั่วโลกเราไม่ควรมองอย่างเคร่งครัดในมุมมองด้านไอทีของเรากล่าวคือทุกคนตระหนักดีว่าสิ่งที่ต้องทำ ได้แก่ ผู้ค้าอุตสาหกรรม"

ออกแบบอุปกรณ์เจ้าของ ICS ควรใช้วิธีการป้องกันในเชิงลึกเพื่อรักษาความปลอดภัยระบบเหล่านี้ Santamarta กล่าวว่า "พิจารณาว่ามีโปรโตคอลอุตสาหกรรมซึ่งไม่ปลอดภัยโดยค่าเริ่มต้นคุณควรเพิ่มการลดความรุนแรงและการป้องกันที่แตกต่างกันออกไป"

"ตัดการเชื่อมต่อ ICS จากอินเทอร์เน็ตวางไว้ในส่วนของเครือข่ายที่ จำกัด และ จำกัด การตรวจสอบ / เข้าถึงข้อมูล "Kamluk กล่าว" เจ้าของโครงสร้างพื้นฐานที่สำคัญควรตระหนักว่าจำเป็นต้องมีเครือข่ายแยกต่างหากหรืออย่างน้อยต้องมีข้อมูลประจำตัวแยกต่างหากสำหรับการเข้าถึงโครงสร้างพื้นฐานที่สำคัญ "Kristensen กล่าว "ไม่มีผู้ดูแลที่มีสติและความปลอดภัยจะเข้าสู่ระบบใด ๆ ของเขาโดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบและภายในเซสชันเดียวกันนั้นเข้าถึงอินเทอร์เน็ตที่เป็นมิตรและอ่านอีเมลนอกจากนี้ควรใช้ ICS เช่นใช้ข้อมูลรับรองชุดเดียวเพื่อเข้าถึงเซสชัน ICS และบางที เข้าถึงการเชื่อมต่ออินเทอร์เน็ตของคุณโดยใช้การตั้งค่าเดสก์ท็อปเสมือนจริงและ / หรือระยะไกล "

Regulation debated

ความต้องการกฎระเบียบของรัฐบาลที่บังคับให้ผู้ประกอบการโครงสร้างพื้นฐานที่สำคัญสามารถรักษาความปลอดภัยระบบควบคุมอุตสาหกรรมของตนได้เป็นหัวข้อที่ถกเถียงกันอย่างมากและ ผู้เชี่ยวชาญด้านความปลอดภัย SCADA หลายคนเห็นด้วยว่าอาจเป็นจุดเริ่มต้นที่ดี อย่างไรก็ตามความก้าวหน้าเล็ก ๆ น้อย ๆ ที่เกิดขึ้นจนถึงเป้าหมายนี้

"กฎระเบียบของรัฐบาลที่มีความทะเยอทะยานมากที่สุด NERC CIP สำหรับภาคไฟฟ้าในอเมริกาเหนือได้รับความล้มเหลว" Peterson กล่าว "ส่วนใหญ่ต้องการระเบียบของรัฐบาลที่ประสบความสำเร็จ แต่ไม่สามารถระบุได้ว่าจะเป็นเช่นไร"

"ผมอยากให้รัฐบาลแสดงความซื่อสัตย์และพูดออกมาดัง ๆ ว่าระบบเหล่านี้ไม่ปลอดภัยโดยการออกแบบและองค์กรที่ใช้ SCADA โครงสร้างพื้นฐานที่สำคัญ และ DCS ควรมีแผนจะปรับหรือเปลี่ยนระบบเหล่านี้ภายในหนึ่งถึงสามปีข้างหน้า "เขากล่าว"

กฎระเบียบของรัฐบาลจะเป็นประโยชน์อย่างยิ่ง Kamluk กล่าว ผู้จัดจำหน่าย SCADA บางรายเสียสละความปลอดภัยเพื่อการประหยัดต้นทุนการพัฒนาโดยไม่คำนึงถึงความเสี่ยงของการตัดสินใจดังกล่าวและผลกระทบที่อาจเกิดขึ้นต่อชีวิตมนุษย์เขากล่าว

ปีก่อนหน้านี้ Kaspersky Lab ได้เปิดเผยแผนการพัฒนาระบบปฏิบัติการที่จะช่วยให้ระบบรักษาความปลอดภัย - ออกแบบสภาพแวดล้อมสำหรับการดำเนินงาน SCADA และระบบ ICS อื่น ๆ แนวคิดเบื้องหลัง OS คือการรับประกันว่าฟังก์ชันการทำงานที่ไม่ได้ประกาศจะสามารถใช้งานได้ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายโดยใช้ช่องโหว่ที่ไม่ได้รับการรักษา

แม้ว่าจะเป็นโครงการที่น่าสนใจ แต่ก็ยังเห็นได้ว่าชุมชน SCADA และภาคอุตสาหกรรมจะทำปฏิกิริยาอย่างไร Santamarta กล่าวว่า "มีรายละเอียดไม่เพียงพอเกี่ยวกับระบบปฏิบัติการใหม่ในการประเมินคุณสมบัติต่างๆ" Ferrante กล่าว. "เมื่อต้องการทำเช่นนั้นเราจะต้องรอการเผยแพร่อย่างเป็นทางการอย่างไรก็ตามปัญหาหลักเมื่อใช้ OS ใหม่ก็คือต้องสามารถเรียกใช้ระบบ SCADA ที่มีอยู่ได้โดยไม่ต้องเขียนโค้ดใหม่"