Tag: PIV

2022
lis
23

Bezpieczeństwo infrastruktury energetycznej: Kluczowe wnioski ze współczesnych cyberataków

Sieci energetyczne od dawna są celem cyberprzestępców chcących zakłócić działanie infrastruktury krytycznej, a ataki w tym sektorze stały się powszechne na całym świecie. Cyberatak z 2021 r. w USA na Colonial Pipeline pokazał, że kompromitacja haseł może mieć wpływ zarówno na systemy IT, jak i OT, a zakłócenia w tych systemach mają daleko idące konsekwencje – nie tylko dla firmy, ale także dla akcjonariuszy i klientów.

Haker próbował zatruć zaopatrzenie w wodę miasta na Florydzie (Oldsmar) przy użyciu platformy oprogramowania zdalnego dostępu, która była uśpiona od miesięcy. W lutym 2022 r. cyberatak na europejskie huby rafineryjne Amsterdam-Rotterdam-Antwerpia (ARA) zakłócił załadunek i rozładunek ładunków produktów rafinowanych w warunkach kontynentalnego kryzysu energetycznego. A teraz, w związku z wojną na Ukrainie, istnieje dobrze udokumentowana rosyjska strategia, która jest skierowana na ukraińskie elektrownie i inne słabe punkty infrastruktury energetycznej.

Chociaż Ukraina i inne kraje były w stanie odeprzeć wiele cyberataków na infrastrukturę krytyczną z pomocą nowoczesnego uwierzytelniania wieloczynnikowego (MFA) i kluczy bezpieczeństwa, cyberataki nadal powodują spustoszenie. Przykłady te stanowią wyraźne przypomnienie, że środki bezpieczeństwa, zwłaszcza praktyki silnego uwierzytelniania, są zazwyczaj nierównomiernie wdrażane w różnych obiektach energetycznych. Dlatego też należy wprowadzić konkretny plan, aby chronić nasze niezwykle cenne usługi i infrastrukturę energetyczną i zasobów naturalnych.

Zabezpieczenie technologii operacyjnej

Dwa kluczowe obszary, które czasami są pomijane, to te, które historycznie były odseparowane od systemów IT: mianowicie systemy technologii operacyjnych (OT), takie jak przemysłowe systemy sterowania (ICS) i systemy infrastruktury krytycznej (CIS).

Dwa powszechne wektory ataków skierowane na te obszary to phishing i nieuprawniony zdalny dostęp, oba możliwe dzięki skradzionym danym uwierzytelniającym. Po zdobyciu przyczółka, osoba atakująca może przemieszczać się na boki i potencjalnie znaleźć wejście do środowiska OT oraz zakłócić działanie krytycznych urządzeń i funkcji. Nawet jeśli środowisko OT jest całkowicie odizolowane od środowiska IT, oba są w dużym stopniu zależne od prowadzenia działalności gospodarczej, a wpływ jednego z tych środowisk może negatywnie wpłynąć na funkcjonowanie drugiego. W niedawnym raporcie Dragos opisano, w jaki sposób złośliwe oprogramowanie znane jako „Pipedream” dokonało spustoszenia. Nawet Administracja Bezpieczeństwa Transportu (TSA) wydała dyrektywy bezpieczeństwa TSA 2021-01 i 2021-02, które nakazały podniesienie poprzeczki bezpieczeństwa w celu zmniejszenia luk w bezpieczeństwie cybernetycznym i wdrożenia konkretnych środków łagodzących ataki i zagrożenia dla właścicieli i operatorów rurociągów.

Ważne jest, aby być na bieżąco z zadaniami, które wymagają od organizacji odejścia od haseł, które są podatne na przechwycenie, i podejścia w kierunku nowoczesnych rozwiązań, zapewniających silniejsze uwierzytelnianie, odporne na phishing i inne nowoczesne mechanizmy ataku. Obecnie jedynymi dwoma metodami uwierzytelniania, które spełniają powyższe wymagania dotyczące uwierzytelniania dostępu odpornego na phishing są PIV/smart card i FIDO2:

Przy formułowaniu nowoczesnej strategii bezpieczeństwa MFA dla sektora energetycznego, kluczowe jest uwzględnienie następujących użytkowników i scenariuszy biznesowych.

  • Kontraktorzy, osoby oddelegowane i spółki joint venture. Ci peryferyjni lub mniej niż pełnoetatowi pracownicy prawdopodobnie nie mają urządzenia przekazanego im przez organizację, która jest właścicielem obiektu. Jest to szybko zmieniająca się siła robocza – jej wielkość i charakter zmienia się co miesiąc, np: w zależności od pory roku. Co więcej, typowe są prace zlecone wykonawcom w krytycznych systemach, gdzie osoby te mają tendencję do przynoszenia własnych urządzeń w celu ich walidacji, co tylko zwiększa potencjalną lukę zagrożenia. Grupy te mają zwiększoną potrzebę dobrze zaprojektowanych wdrożeń, edukacji i świadomości związanej z silnymi, odpornymi na phishing praktykami uwierzytelniania. Ich krótkotrwała natura oznacza również, że muszą one zostać uruchomione przy jak najmniejszym nakładzie czasu.
    • Współdzielone środowiska stacji roboczych. Mogą to być urządzenia, kioski lub środowiska komputerowe używane przez wielu, często „mobilnych” użytkowników. Choć stacje te są często krytyczne w codziennych operacjach, są również najbardziej narażone na zagrożenia, ponieważ mają bezpośrednie połączenie z krytycznymi systemami i wrażliwymi danymi, co wzmacnia zagrożenie ze strony osób postronnych, niezależnie od tego, czy są to działania złośliwe, czy zaniedbania, i stanowi dodatkowe ryzyko dla bezpieczeństwa, szczególnie gdy są używane w miejscach o dużym natężeniu ruchu. Zabezpieczając dostęp do współdzielonych stacji roboczych, należy rozważyć możliwości samego systemu oraz obowiązki służbowe danej osoby, aby upewnić się, że nie jest on nadmiernie uciążliwy dla jej codziennych zadań i pozwala jej jedynie na wgląd w dane lub dostęp do określonych elementów sterujących, zgodnie z jej funkcją służbową.
    • Środowiska z ograniczeniami dotyczącymi urządzeń mobilnych. W niektórych miejscach pracy, takich jak hale produkcyjne lub miejsca pracy w przemyśle o wysokim poziomie bezpieczeństwa, występują scenariusze, w których urządzenia mobilne nie mogą być obecne ze względu na czynniki związane z samym środowiskiem, takie jak specjalistyczny sprzęt (SCADA) lub odizolowane sieci, trudne środowiska, lokalizacje offline lub offshore, co całkowicie eliminuje uwierzytelnianie mobilne jako opcję. Znalezienie zawsze dostępnego, odpornego na phishing, wieloczynnikowego rozwiązania uwierzytelniania (MFA), które nie zależy od usługi komórkowej, dostępu do Internetu lub baterii urządzenia, aby działać – jak klucz bezpieczeństwa – jest krytyczne.
    • Urządzenia IoT. Sektor energetyczny coraz częściej wdraża urządzenia IoT w celu stworzenia inteligentnych sieci. Te inteligentne sieci, z możliwością ciągłego monitorowania i reagowania, pozwalają na wydajność operacyjną. Jednak wraz z tą eksplozją nowych urządzeń pojawiają się nowe zagrożenia. Przykładem ataku jest ten, który KrebsOnSecurity relacjonował w 2021 roku, spowodowany został przez nowy botnet IoT o nazwie „Meris.” To rozrastanie się punktów końcowych, stworzonych przez przyjęcie urządzeń IoT, skutkuje zwiększonym ryzykiem ze względu na większe powierzchnie ataku. Zabezpieczenie interakcji „urządzenie – urządzenie” i „operator – urządzenie” teraz, bardziej niż kiedykolwiek, powinno pozostać blisko szczytu rejestrów ryzyka dla organizacji, które działają w tej przestrzeni.

    Zabezpieczenie łańcucha dostaw

    Być może jeszcze większym wyzwaniem niż OT jest ochrona łańcuchów dostaw obiektów energetycznych, w tym zarządzanie kodem. Większość przedsiębiorstw dopiero zaczyna opracowywać plany tworzenia spójności i zgodności w setkach aplikacji związanych z łańcuchem dostaw.

    Nowe Memorandum Bezpieczeństwa Narodowego w sprawie poprawy bezpieczeństwa cybernetycznego systemów sterowania infrastrukturą krytyczną oraz cele Departamentu Bezpieczeństwa Wewnętrznego w zakresie bezpieczeństwa cybernetycznego (CPGs) podkreślają podstawowe środki o najwyższym priorytecie, które właściciele infrastruktury krytycznej powinni podjąć w celu ochrony przed nowoczesnymi zagrożeniami cybernetycznymi, które mają na celu uzupełnienie ram bezpieczeństwa cybernetycznego NIST. W sekcji 1.3 dotyczącej MFA zaleca się, aby „sprzętowe MFA było włączone, gdy jest dostępne” w celu zapewnienia bezpiecznego dostępu w środowiskach IT i OT. Obejmuje to również bardziej ogólne rozporządzenie wykonawcze 14028 w sprawie MFA, które zostało wydane przez prezydenta Stanów Zjednoczonych.

    Wszystkie te czynniki sprawiają, że pilnie potrzebne są plany łańcucha dostaw skoncentrowane na bezpieczeństwie oraz zapewnienie rygorystycznych praktyk bezpieczeństwa w całej infrastrukturze krytycznej.

    Bezpieczeństwo jest tylko tak silne, jak jego najsłabsze ogniwo

    Jeśli Twoi dostawcy i partnerzy z łańcucha dostaw nie stosują tego samego podejścia MFA odpornego na phishing co Ty, może to skutkować kosztownymi konsekwencjami, takimi jak zakłócenia w działalności oraz krajowe lub regionalne przerwy w funkcjonowaniu infrastruktury krytycznej.

    Jak ich zaangażować? Na początek poinformuj swoich partnerów z łańcucha dostaw, że odporne na phishing MFA jest wyraźnym priorytetem, za pomocą jasno sformułowanej informacji. Jeśli masz już nowe przepisy dotyczące zgodności, przedstaw je z dużym wyprzedzeniem, aby dostawcy nie byli później zaskoczeni ujawnionym „wielkim planem”. Choć zawsze znajdzie się kilka powolnych żółwi w kwestiach zgodności, większość partnerów będzie chciała przygotować się z dużym wyprzedzeniem do spełnienia nowych wymogów bezpieczeństwa. Współpraca z nimi (marchewka) jest zawsze lepsza niż groźba znalezienia innego dostawcy (kij).

    Ponieważ ataki w tym sektorze są powszechne, przyszłe globalne regulacje mogą podążać za nimi. Zaawansowanie ataków cybernetycznych wymierzonych w systemy IT i OT w sektorze energetycznym i zasobów naturalnych tylko wymusza pilne dodanie odpornej na phishing funkcji MFA, takiej jak YubiKey, do dostępu cyfrowego dla wszystkich użytkowników, którzy mają kontakt z Twoją infrastrukturą.

    (Anonimowy kierownik ds. cyberbezpieczeństwa w zakładzie energetycznym na Ukrainie) „Od czasu rozpoczęcia wojny doświadczyliśmy ogromnego wzrostu ataków phishingowych… Wierzymy, że YubiKey są tak samo ważne dla naszej obrony cybernetycznej, jak kamizelki kuloodporne, które chronią żołnierzy i innych, którzy są na pierwszej linii frontu.”

    Artykuł powstał na podstawie bloga na stronie Yubico.

    2022
    kwi
    6

    Deklaracja Białego Domu: już teraz działaj na rzecz ochrony przed atakami cybernetycznymi.

    W dniu 21. marca prezydent Biden wydał oświadczenie, dotyczące ochrony sektora publicznego przed atakami cybernetycznymi.

    „Jeśli jeszcze tego nie zrobiliście, wzywam naszych partnerów z sektora prywatnego do natychmiastowego wzmocnienia obrony cybernetycznej poprzez wdrożenie najlepszych praktyk, które wspólnie wypracowaliśmy w ciągu ostatniego roku […]”

    Ponadto Biały Dom wydał biuletyn informacyjny, w którym na pierwszym miejscu listy znalazł się apel do firm o „wprowadzenie obowiązku stosowania wieloczynnikowego uwierzytelniania, aby utrudnić atakującym dostanie się do systemów informatycznych”.

    To najnowsze wezwanie do działania, ze strony Białego Domu opiera się na zeszłorocznym rozporządzeniu wykonawczym, które koncentrowało się na sektorze publicznym i wszystkich firmach współpracujących z agencjami federalnymi. Ponadto notatka: Office of Management and Budget (OMB) M-22-09 omówiła kilka tematów, w tym wdrożenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA) w ramach wdrażania architektury Zero Trust oraz zabezpieczenia łańcucha dostaw oprogramowania.

    Ochrona przed atakami cybernetycznymi oraz uwierzytelnianie wieloczynnikowe odporne na phishing.

    Choć istnieje wiele twierdzeń na temat tego, co pomaga w zabezpieczeniu przed phishingiem, nie wszystkie mechanizmy MFA są sobie równe. Jasna definicja, zgodnie z notatką OMB (strona 7), określa, że odporne na phishing są dwie technologie uwierzytelniania – stosowana przez rząd federalny – Personal Identity Verification (PIV)/Smart Card, oraz nowoczesna FIDO/WebAuthn. Metody takie jak SMS, powiadomienia mobilne typu push i hasła jednorazowe (OTP) nie zostały uwzględnione, gdyż okazały się podatne na phishing.

    Klucz YubiKey obsługuje oba te standardy uwierzytelniania, a dodatkowo może posiadać  amerykański certyfikat FIPS oraz jego europejski odpowiednik CSPN. Bywa to kolejnym wymogiem w wielu sytuacjach w sektorze publicznym i rządowym, a także w prywatnym, który wspiera infrastrukturę krytyczną i łańcuch dostaw oprogramowania.

    Stwórz plan ochrony przed atakami cybernetycznymi

    • Zbierz zespół planistyczny złożony z najbardziej utalentowanych pracowników, a następnie zleć im przeprowadzenie pełnego audytu, w którym priorytetem będzie dostęp do danych wrażliwych. Potrzebna będzie pełna ewidencja danych, oprogramowania i mechanizmów kontrolnych, a także wszystkich wykonawców i osób trzecich mających dostęp do sieci. Może to być trudne zadanie, dlatego należy skupić się na kluczowych systemach i punktach dostępu. Zaangażowanie właściwych członków zespołu pozwala szybko zidentyfikować systemy priorytetowe i zagrożenia, dzięki czemu można się nimi szybko zająć. Ważne jest, aby na tym nie poprzestać. Zaniedbane systemy o niskim priorytecie są często wykorzystywane przez napastników. Audytowanie i skanowanie w poszukiwaniu systemów niezgodnych z przepisami powinno być stałym działaniem. Można się zdziwić, jak wiele firm nie przeprowadza takich pełnych przeglądów bezpieczeństwa, co jest dla nich niekorzystne.
    • Zbuduj zrównoważony plan bezpieczeństwa, który pozwoli uniknąć szybkich rozwiązań i uczyni go częścią DNA Twojej firmy. Aby mieć pewność, że firma nie działa od jednego ćwiczenia przeciwpożarowego do następnego, bezpieczeństwo musi być priorytetem na wszystkich poziomach organizacji. Odporne na phishing nowoczesne rozwiązanie MFA można w niektórych przypadkach wdrożyć szybko, a w innych będzie to wymagało więcej wysiłku. Posiadanie uzgodnionego planu, który zapewnia spójne podejście do MFA, usprawni i przyspieszy plany wdrożeniowe. Dostosowanie strategii uwierzytelniania do standardów takich jak PIV i FIDO, które współpracują z wieloma dostawcami usług zarządzania dostępem do tożsamości (IAM), systemami operacyjnymi i przeglądarkami, zapewni Ci maksymalne możliwości przeciwdziałania zagrożeniom bezpieczeństwa i szybkiego wdrożenia.
    • Uwzględnij wnioski o finansowanie w nadchodzących cyklach budżetowych. Twarda rzeczywistość jest taka, że poprawa bezpieczeństwa wymaga zasobów i zgody kierownictwa na przydzielenie środków. Bezpieczeństwo nie jest inwestycją jednorazową, ale musi być traktowane jako standardowa część budżetu w celu ochrony firmy. Posiadanie trwałego planu pomoże uzyskać poparcie kierownictwa, ponieważ będzie ono mogło lepiej zrozumieć, w jaki sposób będzie on chronił firmę. Warto podkreślić, iż może on przynieść wymierne korzyści, poza zmniejszeniem ryzyka może ograniczyć koszty audytu, szkoleń itp. Zrozumienie przez kierownictwo wartości programu, który poprawia i zabezpiecza funkcjonowanie całej firmy, pomoże w uzyskaniu akceptacji budżetu. Atakujący nie czekają na coroczne cykle budżetowe, aby podjąć działania, które mogą wymagać dodatkowych funduszy.

    Jak należy informować pracowników i interesariuszy o pilnej potrzebie ochrony przed atakami cybernetycznymi?

    Kiedy prezydent przemawia, ludzie słuchają. Tak więc nie jest już kwestią dyskusyjną czy odporna na phishing funkcja MFA pojawi się w całym świecie biznesu, ale jak długo potrwa jej pełne przyjęcie i wdrożenie, oraz które branże osiągną ją najszybciej. Już dziś możesz podjąć następujące kroki:

    1. Poinformuj pracowników o konieczności przygotowania się na zwiększone zagrożenie cyberbezpieczeństwa.
    2. Jasno określ, jakie kroki podejmie sama organizacja w ciągu najbliższego roku – włączając w to osoby wchodzące w skład zespołu planującego i ich cele.
    3. Mówiąc o inicjatywie, używaj języka integracyjnego, zrozumiałego dla wszystkich.

    Wypowiedź Prezydenta Bidena, podkreśla to, co wszyscy obecnie czujemy – żyjemy w czasach, które szybko się zmieniają i są nieprzewidywalne.