הגנה על רשתות וסביבות תפעוליות בקווי ייצור – כטריגר מאיץ שוק לטכנולוגיות סייבר ופתרונות לבידול

This post is also available in: English (אנגלית)

כתבה מאת אור שלום

הרשתות התפעוליות אמונות על תהליכים פיזיים תפעוליים לצרכים שונים ובסקטורים מגוונים. הן מתפקדות כקווי ייצור בתשתיות קריטיות (כדוגמת: ייצור חשמל, נפט ואנרגיה), תעשיות כבדות וייצור אמל"ח, אך גם כפסי ייצור בסקטור הרכב, תעשיות הפארמה, מזון וכד'. להבדיל מרשתות ה-IT להן היריב יכול להסב נזק משמעותי ע"י פגיעה בתהליכי עיבוד המידע או מניפולציה על המידע (הצפנת מידע, הזלגת מידע וכד'), הרי שבזירות התפעוליות המשמעויות וההשלכות יכולות להיות במחיר של חיי אדם, השלכות בטיחותיות, פגיעות סביבתיות ועוד.

כך, בראיית התוקף הטריגר אליו מכוון היריב הוא חדירה לרשתות אלו תוך מטרה להוביל להשבתה או פגיעה במערכות, ציוד ותשתיות, חיי אדם ו/או הסביבה. תהליך זה מתבצע בשיטות שונות ע"י דילוג ואחיזה (רציפה) ברשת לצורך התבססות והשגת יכולת לתהליכים לשינוי פונקציונאליות, כדוגמת שינוי פקודות באמצעות מערכות ה-HMI או שינוי ערכים בבקרים עצמם. על כן, התפיסה המסורתית של בידול סביבות תפעוליות מסביבות אחרות (לרבות האינטרנט) מהווה שובר שוויון משמעותי ומקשה על היריב בקידום מטרותיו (לרבות האחיזה הרציפה), ע"פ רוב.

תקופת הקורונה הכתיבה דרישות והאיצה את הצורך לחיבוריות חוץ ארגונית לצורכי תפעול שוטף בשליטה מרחוק.[1] זאת ועוד, מגמות ה-Industry 4.0 המכוונות לניהול מפעלים ותהליכים תעשייתיים באופן חכם, מאפשרים תכונות של הוזלת עלויות, פריסות מהירות בתהליכי ייעול ואופטימיזציה המתבססים בין היתר על תהליכי חישוב ועיבוד מהירים. מגמות אלה דוחקות את השוק גם לפתרונות וחיבוריות חוץ ארגונית כדוגמת שירותי ענן והתבססות על רכיבי IIoT (Industrial Internet of Things). למרות שיש לפתרונות האלו יתרונות תפעוליים משמעותיים (כדוגמת יכולת תמיכה מרחוק, עדכונים המתבצעים בתהליכים של Over The Air), ישנן גם סכנות בעצם התלות ברשתות וסביבות חוץ ארגוניות.

על כן, נדרש תיכנון מדוקדק לארכיטקטורה מאובטחת ויכולות מתקדמות בכדי למנוע ניצול הזדמנויות לגישה לא מורשית למשטחי תקיפה אפשריים. תיכנון כזה מחייב שימוש בפרוטוקולים מאובטחים והבטחת תקשורת לגיטימית בתוך הסביבה התפעולית, בין הרכיבים ומחוץ לרשת. אלו יאיצו באופן משמעותי את הפתרונות להבטחת הבידול.

פתרונות לשליטה בכיווניות ובתעבורת תקשורת באמצעות מערכות FW ובאמצעות דיודות חד כיווניות:

הדרישות למימוש פתרונות FW ברשתות ה-OT גדל באופן משמעותי בשנים האחרונות. זאת בין היתר בשל הצורך לאיחוד סביבות IT וכן השילוביות של רכיבי IIoT. מימוש זה מתבסס על הפרדה לוגית ע"י קביעת פרוטוקולי סוגי קבצים וכן הגדרת סוגי תכנים שיעברו או ייחסמו ברשת.[2] עם זאת, התפיסה של שימוש בפתרון בהפרדה לוגית עדיין מטריד נוכח הצורך בתחזוקת חוקה והאפשרות למניפולציה, שינויים או תקיפות אפשריות על ממשק הניהול (הן כאיום פנימי וטעויות אנוש והן ביכולות סייבר מתקדמות ברמת מעצמה וכד').[3] שימוש בדיודות חד כיווניות, גם הוא פופולארי נוכח העובדה שהוא מאפשר המרה של התקשורת לפרוטוקולים אופטיים באופן שלא מאפשר חזרה אחורה נגד זרימת הנתונים (אלא אם הושגה נגישות פיזית לחומרה, הדיודה עצמה). שוק פתרונות הדיודות, שמאפשר שימוש היברידי גם בסביבות מקומיות וגם בענן, התרחב בשנים האחרונות והוא משלב תוכנה המאפשרת לשלב נדבך אבטחה נוסף (על הפיזי) ע"י הגדרות לוגיות לסוגי פרוטוקולים, נפחים, תכנים וזמנים. פתרון שכזה מאפשר גמישות רחבה יותר ע"י שימוש בדיודות כפולות לאור העובדה כי נדרש ייצוא וייבוא נתונים גולמיים (Raw Data) מסביבות חיצוניות לסביבה התפעולית. כך לדוגמא, בתלות של מפעל ייצור מול מערכות ארגוניות (כמו ERP) לצורך ניהול הזמנות והיערכות לתזמון שינוע, יתאפשר תהליך העברת נתונים מאובטחת מבוססת אוטומציה בין הרשתות. המימוש הלוגי מאפשר שליטה לסינון סוגי הקבצים, התכנים, הפורמט והתצורה על סוגי המאפיינים של המידע (לדוגמא קידוד ב-XML).

התאמת פתרונות ל Zero Trust Architecture:

המורכבות של ה-IT בסביבות ה-OT, הסביבות ההיברידיות (לרבות סביבות הענן), שימוש ברכיבי ה-IIoT לצד לא מעט נכסים, תשתיות מחשוב וישויות מחייב תיכנון רשת בתצורה של אפס אמון. הרעיון המסדר בארכיטקטורת אפס אמון כרוך במימוש אפס אמון מול כל ישות ורכיב מחשוב עתידי שיבוא במגע עם הרשת. ביסודה, כיוונה התפיסה הזו לרשתות ה-IT ופחות לרשתות תפעוליות המתאפיינות בריבוי רכיבים מיצרנים שונים, פרוטוקולים שונים, שיקולי בטיחות ותפעול זמינות ומיידיות. כפתרונות משלימים ישנן טכנולוגיות המאפשרות נראות בתוך סביבות הרשת התפעוליות במטרה להבטיח את האמון בינם לבין הרשת. הצורך עצמו אל מול הקושי הקיים היום ביישום ארכיטקטורת Zero Trust בסביבות תפעוליות יאיץ את שוק הפתרונות כמו גם את הצורך במימוש בקרות שיבטיחו יכולות אלו. [4]

הצורך בניטור בשכבות שונות:

הקישוריות לסביבות ה-IT כמו גם הקישוריות שבין השכבות ברשת ה-OT מחייבים תהליכי ניטור לצורך גילוי של תהליך תקיפה. ריבוי הרכיבים, הפרוטוקולים השונים והקושי הכרוך ממילא בתהליכי ניטור (קביעות חוקים וכד') מכוון את השוק בין היתר לתהליכי ניטור מבוססי AI ו-ML (יש לציין כי בזירות ה-OT הניטור מתבצע גם לצורכי תפעול). לפיכך, מימוש ניטור מבוסס AI ו-ML מביא תועלת תפעולית בחיזוי וניבוי תקלות אפשריות (בהתבסס על מודלים חישובים, הצלבות והישענות על חיתוכים סטטיסטיים). מגמה נוספת נעוצה בקריטיות של ניטור שכבת האפס המתבססת על ניטור מדידת הפעולה הפיזית בקצה (תנודות החשמל) כחלק מתהליך אמין לצורך אישוש או הפרכה התקפה (בשכבה האחרונה). היכולת לבצע הצלבה התנהגותית בין השכבות השונות (לדוגמא שכבה 0 ושכבה 3) וכן שילוב יכולות מבוססות AI יאפשרו מדדים טובים ומדויקים, יעילות ומניעת רעשים בתהליכי הניטור .

החזקת תמונת מצב הסיכונים ברשת:[5]

ריבוי הרכיבים כדוגמת בקרים , רכיבי IIoT, תוכנות ותשתיות מחשוב יוצרת תהליך מורכב בניהול סיכונים, עדכוני חולשות וכד', כל שכן שאלו מחוברים לסביבות חיצוניות וחשופים לאינטרנט. על כן, מערכת המאפשרת תחזוקת תמונת מצב קבועה על בסיס תהליכים לחישוב הסיכונים ביחס לרכיב עצמו והשפעה על הרשת מהווה ערך מוסף- היא מאפשרת לצוותי התפעול וה-CISO לתעדף את הפעילות בהתאם לחולשה הקריטיות וההמלצה למיטגציה, ולשנות בהתאם את ערך הסיכון הכולל על הרשת. הגם, אם מתאפשר חיבור הסביבה לענן, נכון יהיה לנהל מסך זה במידור וללא קשר אל הרשת עצמה (במחיצה או דומיין אחר או כ-On Prem).

פיתוח יכולות מלכודות דבש – לאיתור היריב במעגלים השונים בסביבות תפעוליות:

ההנחה כי התוקף עשוי לעקוף את כל שכבות האבטחה או לדלג את הפוגען באמצעות תהליכי תמיכה, שרשרת אספקה וכד', מכוונת גם לתכנון יכולות גילוי מבוססות מלכודת במעגלים שונים. אופן פריסה אפשרי ראשון הוא במתכונת של אזור בסביבת הרשת עצמה (כדוגמת אזור ייעודי מדומה לפני ה-FW לרשת). אופן פריסה אפשרי נוסף הוא כרשת נפרדת המדמה רשת תפעולית. שיטה זו מאפשרת התחקות אחר דפוסי התקיפה באזורים נשלטים (וללא השפעה על הרשת) באופן שמאפשר ייבוא מידע לצורך חיסון הרשת התפעולית.[6] בשנת 2020 פרסמה חברת Trend Micro תובנות מניסוי שערכו בסביבת מלכודת דבש.[7] כחלק מבניית מלכודת וסביבה מדומה בנתה החברה קו יצור תעשייתי מדומה, הכולל מחשבים, רובוטים, ומגוון בקרים ומערכות שליטה עם חיבור לאינטרנט. החוקרים שיערו כי התוקפים ישקיעו מאמצים באיסוף מודיעין ו-OSINT בשלבי האיסוף לפני ההתקפה. בהתאם, נבנה אתר חברה פיקטיבי (ספקית פתרונות לתעשיות ביטחוניות) שהכיל שמות ותמונות מזויפות של בעלי תפקידים, דוא"ל, מספר וקו טלפון עם הפניה אוטומטית להשארת הודעה וכד'. זוהי דוגמא קלאסית לשיטה לתיקוף או שלילה של השערות או תפיסת ההגנה. בעוד שהחוקרים שיערו כי מאמצי התקיפה יהיו כנגד מערכות השליטה והבקרה ותקיפת הבקרים עצמם, עלה כי המאמצים כיוונו לניצול משאבי הרשת לכריית נתונים (cryptocurrency mining) ושתי התקפות כופר. תחזוקת מלכודות דבש מחייבת חשיבה יצירתית, שינויים ותחזוקה (לעיתים אף מספר סביבות). על כן, גם כאן לשילוב ה-AI השלכות ביכולת לבנות סביבות אטרקטיביות ואופן גילוי היריב.

הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה,  חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר

[1] https://i-hls.com/he/archives/105205

[2] https://www.dragos.com/blog/improving-ics-ot-security-perimeters-with-network-segmentation/

[3] https://www.sans.org/webcasts/common-ot-industrial-firewall-mistakes-115745/

[4] https://insights.sei.cmu.edu/blog/it-ot-and-zt-implementing-zero-trust-in-industrial-control-systems/

[5] https://i-hls.com/he/archives/115420

[6] https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf

[7] https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/fake-company-real-threats-logs-from-a-smart-factory-honeypot