השפעות אפשריות על אבטחת סייבר בזירות ה-OT ב-2022

השפעות אפשריות על אבטחת סייבר בזירות ה-OT ב-2022

Photo illus. critical infrastructure by Pixabay

This post is also available in: enEnglish (אנגלית)

מאת אור שלום 

 רשתות ה-OT התפעוליות (Operational Technology) ממשיכות להוות אתגר עבור גורמי אבטחה בסייבר. רשתות אלו הינן רשתות קריטיות בסקטורים שונים, כגון תשתיות אנרגיה, קווי ייצור (אמל"ח, מכוניות ורובוטיקה, מזון, פארמה ועוד). הן פועלות כרשתות תפעול, המשולבות במערכות שליטה ובקרה (כמסוע למזוודות בשדות תעופה), מערכות מבנה (BMS) האמונות על תפעול ושלום הדיירים ועוד.  המורכבות התפעולית, ריבוי רכיבים ופרוטוקלים שונים מחייבים חשיבה יצירתית בתיכנון בקרות הגנה בסייבר. 

אירוע ה-Stuxnet המכונן הוכיח כי גם כשמדובר ברשתות מבודלות ומפוקחות – קיימת יכולת לעקוף, לחדור ואף לשנות פונקציונלית תוכנות ורכיבים ולהתל באנשי התפעול, לדוגמא בתרחיש של התערבות עם פקודה עוינת בקבצים תפעוליים. זאת מתוך הבנה של התוקף, כי מעבר לקושי של סריקת קבצים תפעוליים, קיים גם החשש בפגיעה בקבצים אלו. 

כך גם ההבנה כי הספקיות או החברות עצמן משתמשות ב-DOK והתקני USB במטרה להעביר את הקבצים לסביבה התפעולית. מכאן, התחזות ליצרן ושידול לעדכונים באמצעות DOK המרחק קצר. 

זאת ועוד, השינויים הטכנולוגיים בכלל, כדוגמת רכיבים יעודים חכמים שמשולבים בסביבות תפעול קלאסיות אך הם גם בעלי ממשק וחיבור לרשת האינטרנט, כדוגמת ה- Industrial Internet of Things (IIoT) וכן גם השלכות של שינוי הרגלי העבודה ממשבר הקורונה, הפכו את המשימה למורכבת עוד יותר. כך למשל הצורך שנוצר בתקופת המשבר בתמיכה מרחוק או גם עוצר הטיסות, שמשפיע על החלטות הצטיידות ויתירות, כפי שיורחב בהמשך.

ניהול סיכונים בסביבת ה-OT

לניהול סיכונים בזירות התפעוליות משמעות כבדה. זאת לאור העובדה כי לא תמיד ניתן לבצע בדיקת חוסן בזירות התפעוליות מטעמים של חשש מהתערבות פולשנית, פגיעה במערכת, היבטי בטיחות ויותר מכול – החשש מהשבתת המערכת והפעילות. 

אי לכך, תהליך ניהול הסיכונים חייב להיות מותאם למיפוי ואיתור סיכונים בזירה התפעולית וביחס אל הסקטור עצמו. סקר סיכונים בזירה תפעולית של סביבת קו ייצור לפארמה שונה ממהותו מסקר של קו ייצור לאמל"ח ואלו שונים (כל אחד בנפרד) מסקר סיכונים לרשתות תפעוליות בעולם הרכבות. 

תהליך ניהול הסיכונים חייב להיות מקיף בהתייחסותו לנושאים מהותיים בסביבות תפעוליות, כולל סיכונים על ציר שרשרת אספקה, חולשות בפרוטוקלים, בעיות בעדכוני תוכנה, קישוריות בין רכיבים (תוכנות ובקרים), סיכונים ממערכות תומכות (כדוגמת גנרטורים), התייחסות לרכיבי outdoor לרבות חבלה פיזית שתוביל לפגיעה מחשובית וכן היבטי תפעול.  

לאחרונה פרסם ארגון ENISA מסמך המלצות מקיף לתהליך ניהול סיכוני סייבר יעודי לסקטור הרכבות.[1] כחלק מתהליך תיקוף הוא מכוון לנכסים הרלוונטים (Railway Assets and Services) ומשלב גם בנק תרחישים משולב ומשפיע שבין זירת ה-OT וה-IT. בין התרחישים האפשריים: פגיעה במערכת האיתות והשפעה לכדי תאונה ע"י אחיזה והשתלטות על הרכיבים ויצירת מידע כוזב, חבלה במערכות הפיקוח ועוד. המסמך משייך כל תרחיש לרשימת בקרות (בהמשך המסמך) שתאפשר לצמצם את משטח התקיפה. יבוא מודיעין מקדים אודות נכסים, חולשות של בקרים בשימוש ודפוסיתקיפה לזירות ה-OT הם משמעותיים כחלק מתיקוף הסיכונים.

תכנון בקרות הגנת סייבר לפי מודל השכבות (Purdue) – כתהליך שמבטיח הגנה רוחבית

סביבת ה-OT בראיית התוקף היא אטרקטיבית הן בשל המורכבות הסביבתית, שיוצרת הזדמנויות תקיפה רחבות, תהליכי עבודה הכרוכים בצמצום ממשקים ומעורבות של אנשי IT בסביבות תפעול עובדות ומייצרות, וכן בשל הקושי בניטור ברשתות תפעוליות בשל ריבוי רכיבים מיצרנים שונים ופרוטוקלים. 

בשנים האחרונות, הוכחו כיוונים ויכולות טכנולוגיות מעניינות, שמאפשרות תהליכים של ניטור בסביבות תפעול. אלה כרוכות גם ביכולת לייבא ולקרוא פרוטוקלים שונים אל מסך אחוד אחד לצורך ביצוע הצלבות והתרעה על אירועים חריגים. שיפור יכולת הניטור ברשתות OT יסייע לשליטה והגנה סייבר טובה יותר ברשתות התפעוליות.

המפתח לתיכנון בקרות באופן מושכל אל מול הסיכונים כרוך בהתבססות על ניתוח הטיפולוגיה של הרשת. הפופולרי שביניהם הוא מודל Purdue, מודל אחר הוא מודל המשולש (מבוסס על ה-ISA 95). 

היתרון בניתוח הטיפולוגיה הוא היכולת לשייך בקרות לשכבות לפי היררכיית הרשת ומעבר לכך מאפשר תמונה על מצב הבקרות ביחס לכל שכבה. 

אחת המגמות בשנים האחרונות היא היכולת לבצע ניטור בשכבת ה-O הכרוכה ביכולת מדידה של הפעולה הפיזית בקצה. יכולת זו מסגלת בידול ואי-תלות בתהליכי המחשוב והתוכנה והיכולת לבצע מניפולציה  באמצעותם כמו גם להסתמך על הפעולה התוצאה הסופית כמדד ובקרה לתהליך כולו. 

דפוסי הפעילות של היריב מתבטאים ביכולות תקיפה מתקדמות, יצירתיות רבה, המתבססת גם על איסוף ומיצוי טכנולוגיות וכלים לאיסוף מודיעין מקדים, יכולת התארגנות, סחר בכלי תקיפה בדארקנט ויכולות zero day attack. כל אלה מחייבים יצירתיות של המגן, תהליכי הגנה אקטיביים, המשלבים תהליכים ויכולות בראיית התוקף (במטרה להכיר גם את שיטות האיסוף, כגון שימוש ב- Foca, Shodan ודומיהם כדי לייצר בקרות מתאימות לסיכול יכולות האיסוף), ציד ומלכודות דבש גם מחוץ לרשתות הארגון.

מעורבות גורמי הנהלה ודירקטוריון והיערכות למצבי משבר בסייבר

יכולת ההתאוששות ממצבי משבר בסייבר נמדדת, בין היתר, בזמן והמסוגלות לחזור ליכולת הפרודוקטיבית בסביבת העבודה לאחר ההתקפה. זהו הקו המנחה, שעיקרו מתבסס על ההיערכות מבעוד מועד עם תוכנות ותהליך גיבוי סדור, Golden Images, אך גם ביתירות של ציוד קריטי חיוני, כדוגמת חומרה, בקרים, מכונות ומיומנויות כ"א להתגבר על התקלה, לעלות ולהתקין מחדש.[2] 

משבר הקורונה גם הוא טרף את הקלפים בהיערכות בסייבר וההתמודדות עם תקלות. אם עד כה, הייתה הבנה כי הספק יוכל לספק ציוד או רכיב תקול בהתראה קצרה של עד 4-5 ימים (במקרים מסויימים), הרי שמשבר הקורונה נתן לנו להתנסות במצב של עוצר טיסות עולמית וההבנה כי קיים צורך בהצטיידות ויתירות מקומית גם באזור המתקן, המפעל או האתר. סוגייה כמו זו מחדדת את ההבנה והצורך של מעורבות המנהלים כדי לשפר ולהשביח את יכולת ההתאוששות.[3]  

אירוע התאוששות של סביבת ICS – מערכות בקרה תעשייתיות (כסביבת OT קלאסית) הוא הרבה יותר מורכב מאשר סביבת IT והוא חייב להתבצע בתהליכים מבוקרים ובמעורבות של מהנדסים ואנשי בקרת תהליכים. תרגיל משבר בסייבר, המכוון גם להנהלת הארגון, עם נגזרות Hands-On בתרגול של ממש לאנשי התפעול, ישפר את התהליכים, המוכנות ומהירות ההתאוששות. שכן סימולציה של משבר כזה קרובה למציאות ומדמה את הצרכים, האילוצים, התקלות והבעיות האפשריות ומנגד, מחזקת את הממשקים גם אל מול גורמי ה-IT בארגון. 

לצד היבטי הסייבר, ולעיתים כחלק מהבנה כי תקיפת סייבר היא מורכבת (בידול רשתות וכד'), קיימים מאמצים לתקיפה פיזית. על כן, מעבר לטיפול בסייבר וסוגיות של מניעת גישה, חייבים להתבצע סינרגיה ואיזונים גם אל מול הגורמים האמונים על האבטחה הפיזית במתקנים מבוססי תשתיות OT (בדגש על תשתיות קריטיות). זאת במטרה למנוע אפשרות של פגיעה במערכות תומכות (כמו רכיבי outdoor,  גנרטורים וכד'), לרבות מיגון כנגד איומי טילים, כטב"מים, רחפנים (אירוע מתקן ארמקו 2019) או מענים וגילוי סביבתי נגד ביצועים טכנולוגיים לתקיפת סייבר הכרוכים ברדיוס הקרוב יותר (תקיפות מבוססות תדר רדיו, Side Channel attack וכד').

מקורות:

  1. enisa.europa.eu
  2. sans.org
  3. cisa.gov

 אור שלום – מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק, יועץ בינלאומי לפיתוח עסקי לחברות בתחומי ה-HLS והסייבר ומוביל מרכזי מצוינות ותוכניות הדרכה מתקדמות בסייבר ו-HLS לגופים שונים בסקטור האזרחי, הביטחוני, התעשיות והאקדמיה. 

בעל תואר שני ובעל הסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. בין היתר, עוסק בייעוץ לגופים וחברות בניהול סיכונים, חדשנות, תיכנון ואפיון מערכי אבטחה טכנולוגיים, מוכנות אבטחתית להתמודדות עם איומים  טכנולוגיים (כולל אימוני מנהלים ואימוני Hands on לצוותים הטכניים).


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

image provided by pixabay

Cyber space. image by pixabay

IoT chip. image by pixabay

Security. image by pixabay

security. image by pixabay