מערכות בקרה תעשייתיות (המכונות גם ICS) משמשות היום ברוב ענפי התעשייה, הייצור, ובתשתיות קריטיות. היישומים הרבים של מערכות ICS כוללים בין השאר מתקני ייצור והפצה של אנרגיה, אספקת גז ומים, אוטומציה תעשייתית ומערכות בקרת תנועה. מערכות אלה משמשות ליצירת רשת תקשורת בין רכיבים שונים, כגון חיישנים, והן משפיעות על פעולות שונות במרחב הפיזי – החל בפעולות פשוטות כפתיחת/סגירת שסתום ועד לשליטה ברשת מורכבת ומבוזרת של רכיבים שונים.
מערכות ICS חשופות כיום, יותר מתמיד, לאותם איומי סייבר שפוגעים במערכות IT רגילות. אלא שהפגיעה במקרה של מערכות ICS עלולה להיות קשה ביותר, עד לכדי פיצוץ מכלי גז, הזרמת שפכים רעילים, או השבתת מערכות חיוניות כרשתות חשמל, מים, גז ועוד.
יתרה מכך, בסביבות תפעוליות-תעשייתיות (OT) קשה יותר ליישם הגנה ובקרות אבטחת מידע בהשוואה למערכות מחשוב רגילות (IT), מכיוון שסביבות אלה מאופיינות בסגירות ובידוד בתנאים מחמירים, עקב רגולציה ספציפית, תנאי אחריות יצרן קשיחים, שרידות ועוד.
לאור התדירות הגוברת של אירועי אבטחת מידע ושל חולשות שזה עתה התגלו, בעלי נכסים ומתקנים תפעוליים צריכים להתייחס לנושא של הגנת סייבר במלוא הרצינות. עליהם לקחת בחשבון את פוטנציאל הסיכון והנזק של תוכנות זדוניות שאינן ממוקדות, כמו גם את האיום הנשקף מהתקפות ממוקדות ואיכותיות נגד תשתיות ICS.
אחד האיומים בעלי החשיבות הגבוהה ביותר כיום ל- ICS הוא הסתננות של נוזקות או תוכנות זדוניות לרשת הארגונית באמצעות מדיה נתיקה וחומרה חיצונית (Removable Media and External Hardware).
תמונה: “עמדת הלבנה” )קיוסק( מהסוג
שהמאמר עוסק בו )קרדיט: יח”צ(
בניגוד לוקטורי תקיפה אחרים אשר מחייבים את התוקף לעבור מספר הגנות ומכשולים עד אשר יגיע למשאב המטרה, המדיה הנתיקה מתחברת ישירות למשאב המטרה ללא שום הגנות או חציצות. מערך הסייבר של גרמניה, ה-BSI, ממקם את האיום הזה בראש טבלת האיומים על סביבות ICS, במסגרת דו”ח מיוחד שפורסם ב-2019 בנושא אבטחת מערכות תעשייה ותשתיות. גם הארגון האחראי על תקינת הסייבר לתשתיות קריטיות בצפון אמריקה, NERC, פרסם תקן (003-7 NERC CIP) המתייחס לאיומים ממדיה נתיקה. התקינה שנכנסה לתוקף בינואר 2020 מתייחסת בהרחבה לצורך ביישום שיטות ייעודיות להפחתת הסיכון של נוזקה המועברת באמצעות מדיה נתיקה וחומרה חיצונית.
תיאור הבעיה והגורמים
בשביל למזער את הסיכון מוקטורי תקיפה רשתיים נהוג להגביל את הגישה הרשתית לסביבת ה-OT או אף לנתק את הרשת לחלוטין מן העולם (air gap). היות ועדיין קיים צורך להכניס קבצים לרשת, בסביבות היצור והתשתיות הקריטיות נעשה שימוש רחב במדיות נתיקות כמו כונני פלאש ניידים והתקני זיכרון בחיבור USB. עובדי החברה משתמשים בהם לרוב ברשתות המשרדים בסביבות ICS, ולעיתים קרובות אף לוקחים הביתה את ההתקנים הנשלפים כדי להמשיך לעבוד בשעות הערב, או פשוט כדי להעתיק קבצים אישיים שיוכלו לקחת אתם לעבודה. בנוסף לכך, אנשים חיצוניים שאינם עובדים בחברה – כגון טכנאים, שותפים, צוותי תחזוקה וכד’ – מגיעים לעתים קרובות עם מחשב נייד השייך להם ועליו מידע חיצוני ותוכנות אחזקה המשמשות אותם גם בחברות אחרות. כל אלה הם גורמי הדבקה פוטנציאליים שחשוב להכיר ולפקח עליהם.
הבעיה היא שבאופן מסורתי, רמת המודעות לנושאי אבטחה בסביבות ICS מוגבלת בעיקר להיבטים של אבטחה פיזית – כגון בטיחות בעבודה, הגבלת גישה פיזית או כניסה למתחם, והגנה מפני השפעות חיצוניות. ברוב המקרים, עובדים בסביבות תעשייתיות ובמתקני תשתיות אינם מספיק מודעים לסכנות הנשקפות כתוצאה מתוכנה זדונית, וחסר להם ידע רב בכל הנוגע לצעדי זהירות מתבקשים למניעת הדבקה של הרשת הארגונית בנוזקות.
יתרה מכך, התפתחות הטכנולוגיה הביאה למגמה של קישור בין רשתות תפעוליות מבודדות לסביבה מנהלתית, ובכך יצרה פגיעויות רבות החושפות אותן למגוון רחב של איומים. גם ההתמקדות בביצועי זמן אמת והרצון להימנע מעיכוב בתהליך הייצור, מקשים במקרים רבים על הכנסת רכיבי אבטחת מידע לסביבות תעשייה ותשתיות מעין אלה.
פתרונות מניעה ובקרה
ישנם מספר פתרונות וצעדים שנועדו להגן על סביבות תפעוליות מפני הסתננות של קוד זדוני באמצעות מדיה נשלפת וחומרה חיצונית. בבסיסם, מטרת כל הפתרונות היא לדאוג לכך שהעברת קבצים ממדיה נשלפת למערכות הייצור תתבצע רק לאחר תהליך בקרה ופיקוח. אלה כוללים הצגת מדיניות ארגונית ובקרות טכניות קפדניות ביחס למדיה נשלפת, שימוש אך ורק במדיה נשלפת ייעודית או המותאמת אישית, התקנת חסמים פיזיים כגון מנעולי USB, ואפילו הצפנה מלאה של התקנים נשלפים ומחשבים ניידים של חברת האחזקה. אולם, בחלק גדול מהפתרונות לא נעשה שימוש תכוף מסיבות שונות ומגוונות.
הטכנולוגיה המתקדמת והיעילה ביותר כיום למניעת הדבקה ממדיה נתיקה מבצעת תהליך אשר כולל סריקה של כל הקבצים בטרם כניסתם לארגון ופירוק תוכנות זדוניות מתוכם, עוד לפני שנכנסו לרשת הפנימית של הארגון. תהליך זה, הקרוי גם “הלבנת קבצים”, ניתן לביצוע במספר צורות.
ניתן למשל למקם עמדות הלבנה פיזיות וייעודיות בכמה מיקומים מרכזיים – מעין עמדה או “קיוסק” (ראה תמונה) – שם עובדים ואורחים המגיעים מבחוץ יכולים לחבר את התקני המדיה הנשלפת והמחשבים הניידים שלהם לטובת תהליך “הלבנת קבצים” מהיר עוד לפני שהמכשירים שלהם יחוברו לרשת הפנימית של הארגון, וכך להבטיח שהקבצים הנכנסים לרשת התפעולית אינם מכילים נוזקות.
ישנן עמדות הלבנה המבצעות סריקה של הקבצים על ידי מנועי אנטי-וירוס מסחריים. מנועים אלה מאתרים קודים זדוניים ווירוסים ידועים המסתתרים בקבצים ומתריאים על הקבצים הנגועים. טכנולוגיות מתקדמות יותר מציעות סריקה דינמית של כל הקבצים באמצעות פירוקם לגורמים ראשוניים והרכבתם מחדש לגרסה נקיה מקוד זדוני. טכנולוגיה זו ידועה בשם CDR (ר”ת – Content Disarm and Reconstructions). תהליך ההלבנה המהיר נמשך שניות בודדות ובסיומו ההתקן הנייד (כונן פלאש, זיכרון או מחשב נייד) יכיל את אותם הקבצים בדיוק, רק ללא סיכון של קוד זדוני מכל סוג שהוא, ואז ניתן לנתקו מעמדת ההלבנה ולהכניס אותו לעבודה בטוחה בתוך הרשת הארגונית.
הערך המרכזי של עמדות הלבנה בסביבות ייצור ותשתיות קריטיות הוא בראש ובראשונה נטרול איומים טרם כניסתם ויצירת חיץ בין ההתקן הנשלף למחשבי התפעול העשויים להכיל מתקפות BadUSB. עמדות ההלבנה מספקות לארגונים ערך גדול נוסף והוא יכולת הבקרה והתיעוד של כל הקבצים הנכנסים לסביבת הארגון. הקיוסק מאפשר בקרה ומעקב אחרי כל מה שנכנס לרשת, כולל רישום ותיעוד של מקור הקובץ (עובד או אורח), תאריך ושעה, סיבה להבאת הקובץ, רישום מזהה ייחודי לכל הלבנה. כל אלה מעניקים יכולת תחקור של כל קובץ שנכנס לרשת הארגונית.
שימוש בטכנולוגיית TrueCDR מאפשר להלבין קבצים ולנקות אותם לא רק מווירוסים שכבר ידועים לקהילת הסייבר ונמצאים באינדקסים הנפוצים, אלא גם מווירוסים חדשים שמעולם לא זוהו ואינם ידועים לאיש.
באופן זה ניתן לא רק לאתר ווירוסים ונוזקות ידועים, אלא גם למנוע את כניסתם ופגיעתם של מתקפות לא ידועות בסביבת הICS, ובכך להגן מפני השבתה, השתלטות עוינת, או ניסיונות אחרים לפגוע בפעילות התקינה של מערכות תעשייה ותשתיות קריטיות.
עמרי איתן, CTO בחברת האבטחה
הישראלית odix וחבר בוועדת בקרות
ושירותי אבטחת מידע בארגון התקינה
העולמית ISO . צילום: תומר שלום
