Tunkeutumisen havaitseminen sotilaallisissa OT- ja ICS-järjestelmissä

Operatiivinen teknologia (OT) — laitteisto ja ohjelmisto, joka seuraa ja ohjaa fyysisiä prosesseja — on läsnä koko sotilasinfrastruktuurissa tavoilla, jotka eivät aina ole IT-turvallisuustiimien näkyvissä. Tukikohdan hyötytoiminnot (sähköntuo, veden käsittely, HVAC-järjestelmät) toimivat teollisuuden ohjausjärjestelmissä (ICS) ja SCADA-alustoilla (Supervisory Control and Data Acquisition), jotka on suunniteltu saatavuudelle ja fyysiselle luotettavuudelle, ei kyberturvallisuudelle. Asejärjestelmät, ajoneuvot ja viestintälaitteet sisältävät upotettuja ohjaimia, jotka kommunikoivat teollisuusprotokollilla. Nämä järjestelmät ovat vastustajille korkean arvon kohteita: tukikohdan sähkön tai veden häirintä taikka asealustojen komento-ja-hallintajärjestelmien vaarantaminen luo operationaalisia vaikutuksia, joita kineettiset hyökkäykset eivät ehkä saavuta.

Perinteiset IT-turvallisuustyökalut — päätelaiteagentit, IT-verkkosskannaustyökalut, pilvipohjaiset EDR-alustat — eivät pysty suojaamaan OT-järjestelmiä eikä niitä pidä soveltaa niihin. IT-turvallisuusagentin soveltaminen OT-laitteeseen voi kaataa sen; aktiivisen verkkosskannauksen ajaminen OT-verkkoa vastaan voi häiritä ohjausviestintöjä, jotka pitävät fyysiset prosessit vakaina. OT-turvallisuus vaatii erilaisen lähestymistavan, erilaisia välineitä ja erilaisen uhkamallin.

OT vs IT -turvallisuus: erilaiset uhkamallit

CIA-kolmikko (luottamuksellisuus, eheys, saatavuus) koskee sekä IT- että OT-turvallisuutta, mutta prioriteetit ovat käänteisiä. IT-turvallisuudessa luottamuksellisuus on tyypillisesti ensisijainen huolenaihe. OT-turvallisuudessa saatavuus on ensisijainen — sähkönjakeluverkko, joka menee offline-tilaan, vaikuttaa välittömästi fyysisiin operaatioihin, ja käyttökatkoksen seuraukset mitataan operatiivisessa kyvyssä, ei tietomurtoilmoituksissa.

Korjausikkunattomuusrajoite on tärkein ero IT- ja OT-turvallisuuden hallinnan välillä. IT-järjestelmiä voidaan tyypillisesti korjata huoltoikkunoissa, jotka mitataan tunneissa. Jatkuvia teollisuusprosesseja ohjaavat OT-järjestelmät eivät usein pysty menemään lainkaan offline-tilaan — prosessit, joita ne ohjaavat, on ajettava 24/7. Tukikohdan sähköntuotantojärjestelmässä, jossa on tunnettu haavoittuvuus, voi olla korjaamatta kuukausia tai vuosia, koska korjausmenettely vaatii täyden järjestelmän uudelleenkäynnistyksen ja hallitun sähkökatkon tukikohtaan, mikä vaatii laajaa koordinointia useiden komentojen välillä ja luo merkittävän operatiivisen suunnittelurasitteen.

Reaaliaikavaatimukset OT:ssa luovat lisärajoitteita: ICS, joka vastaanottaa komentoja SCADA-järjestelmästään, on käsiteltävä nämä komennot millisekunnin sisällä tiukoille ohjaussilmukoille. Turvallisuustyökalu, joka lisää viivettä OT-viestintöihin — jopa 10–50 ms — voi epävakauttaa ohjaussilmukoita joissakin prosessiympäristöissä. Tämä sulkee pois kaikki inline-turvallisuustyökalut (kuten syväpakettitarkastuksen suorittavat seuraavan sukupolven palomuurit) aikakriittisistä OT-viestinnöistä.

Sotilaallinen OT-laajuus: mikä todella on vaarassa

Tukikohdan infrastruktuurin SCADA-järjestelmät ohjaavat fyysisiä hyötytoimintoja, jotka tukevat sotilastukikohtia: sähköntuotanto ja -jakelu (mukaan lukien varavirransyötön hallinta), vedenkäsittely ja -jakelu, polttoaineen varastointi ja jakelu, HVAC-järjestelmät ilmastoherkkiä tiloja varten (datakeskukset, asevarastot, lääketieteelliset tilat) ja ympäristöturvallisuusjärjestelmät (kamerat, kulunvalvonta). Nämä järjestelmät hallinnoi tyypillisesti tukikohdan operaatiot ja insinööriosasto, ei IT/kyberturvallisuusyksiköt — luoden näkyvyys- ja vastuuaukon, jota vastustajat aktiivisesti hyödyntävät.

Asejärjestelmien ohjaimet sisältävät tulenvalvontatietokoneet, tähtäysjärjestelmät, tutka- ja sensoriohjaimet sekä ajoneuvo- ja ilma-alusalustoihin upotetut viestintälaitteet. Nämä järjestelmät käyttävät omistusoikeudellisia protokollia ja upotettuja käyttöjärjestelmiä (usein reaaliaikakäyttöjärjestelmiä kuten VxWorks tai LynxOS), joihin perinteiset IT-turvallisuustyökalut eivät pääse käsiksi. Niiden kyberturvallisuusasema arvioidaan tyypillisesti hankinnan ja sertifioinnin yhteydessä, sitten se on pitkälti staattinen alustan koko eliniän ajan — mahdollisesti 20–40 vuotta.

Viestintäinfrastruktuuri — erityisesti releylaitteet, multiplekserit ja signaalinhallinnan järjestelmät, jotka reitittävät sotilasviestintää — käyttää OT-tyyppistä laitteistoa upotettuine ohjaimineen ja kommunikoi usein protokollilla, jotka eivät ole näkyvissä perinteiselle IT-verkkomonitoroinnille.

Passiivinen verkkomonitorointi: OT-turvallisuuden ydintekniiikka

Passiivinen verkkomonitorointi on OT-ympäristöjen perustavanlaatuinen turvallisuustekniikka: sen sijaan että aktiivisesti skannaisi tai tarkastelisi OT-laitteita, turvallisuusjärjestelmä tarkkailee viestintäliikennettä ilman vuorovaikutusta sen kanssa. Tämä toteutetaan SPAN-porttien kautta (Switch Port Analyzer — verkkokytkin lähettää kopion kaikesta monitoroitujen porttien liikenteestä monitorointityökalun verkkoliitäntään) tai verkkopuristimien kautta (fyysiset laitteet, jotka on asetettu inline verkkojohdon sisään ja jotka välittävät kopion liikenteestä monitorointityökalulle keskeyttämättä virtausta).

Passiivinen monitorointi sallii turvallisuustyökalun rakentaa perusarvomallin normaalista OT-viestinnästä: mitkä laitteet kommunikoivat muiden laitteiden kanssa, mitä protokollia ne käyttävät, mitä komentoja normaalisti lähetetään, millä taajuudella ja minkä parametrialueiden sisällä. Mikä tahansa poikkeama tästä perusarvosta on anomalia, joka on tutkimisen arvoinen: uusi laite, joka ilmestyy verkkoon, tunnettu laite, joka käyttää odottamatonta protokollaa, komento, joka lähetetään fyysiselle ohjaimelle, joka on tavallisten käyttöparametrien ulkopuolella.

Perusarvo-ja-anomalia-lähestymistapa on erityisen tehokas OT-ympäristöissä, koska OT-liikenne on hyvin deterministinen. Toisin kuin IT-verkoissa, joissa liikennemallit vaihtelevat suuresti käyttäjätoiminnan mukaan, OT-liikenne noudattaa ennustettavia malleja, joita ohjaa ohjattu fyysinen prosessi. SCADA-kyselysykli sähkönjakeluverkolle lähettää saman joukon tilakysymyksiä samoille PLC:ille samoilla väleillä, päivästä toiseen. Mikä tahansa poikkeama — uusi kysely, muokattu komento, odottamaton vastaus — on anomaali ja todennäköisesti turvallisuuteen liittyvä.

Protokollatietoinen IDS: syväpakettitarkastus OT-protokollille

Geneerit IT-verkkojen IDS-välineet tarkastavat liikenteen IP- ja TCP/UDP-tasolla mutta eivät pysty tulkitsemaan OT-protokollien sovelluskerroksen sisältöä. IDS-sääntö, joka sanoo "hälytys kaikesta Modbus-liikenteestä ei-standardiporteissa", on marginaalisesti hyödyllinen. IDS-sääntö, joka sanoo "hälytys kaikista Modbus-kirjoituskomennoista PLC-rekisterille, joka ohjaa muuntajan lähtövirtaa yli 115% nimellistehosta", vaatii protokollatietoista syväpakettitarkastusta — kykyä purkaa Modbus-protokolla, tunnistaa kirjoitettava rekisteri ja arvioida kirjoitettu arvo fyysisiä parametrirajoja vasten.

Modbus on laajimmin käytetty OT-protokolla, jota käytetään kaikessa yksinkertaisista sensoriliittymistä monimutkaisiin SCADA-järjestelmiin. Sen yksinkertaisuus (ei todentamista, ei salausta, ei istunnon hallintaa) tekee siitä triviaalisesti haavoittuvan: mikä tahansa laite samassa verkossa voi lähettää mielivaltaisia luku- tai kirjoituskomentoja mille tahansa Modbus-laitteelle. Protokollatietoinen IDS Modbusille on havaittava luvattomat kirjoituskomennot (kirjoitukset odottamattomilta lähdeosoitteilta, kirjoitukset rekistereihin, joiden pitäisi olla vain luettavissa normaalissa toiminnassa) ja parametririkkomukset (arvot suunnittelun turvarajojen ulkopuolella).

DNP3 (Distributed Network Protocol 3) on laajasti käytetty sähkölaitoksissa ja vedenkäsittelyssä, mukaan lukien sotilastukikohdissa. DNP3 Secure Authentication (SAv5) lisää todentamisen protokollaan, mutta sitä ei ole yleisesti otettu käyttöön. IDS DNP3:lle on havaittava todentamisen ohitusyritykset, odottamaton oma-aloitteinen vastausliikenne ja aikasynychronointiuhkat (DNP3:n aikasynychronointimekanismin manipulointi aikaleimaytettyjen tapahtumatietojen väärentämiseksi).

IEC 61850 on standardi digitaalisten sähköasemien automaatiolle ja suojausjärjestelmille sähköinfrastruktuurissa. Se kuljettaa suojarelejärjestelmiä — järjestelmiä, jotka eristävät vikaantuneen laitteiston sähköverkosta kaskadoitumisten estämiseksi. Hyökkääjä, joka pystyy manipuloimaan IEC 61850 -liikennettä, saattaa potentiaalisesti aiheuttaa suojausjärjestelmien joko toimimattomuuden (jättäen vikaantuneen laitteiston yhdistettynä verkkoon) tai väärän toiminnan (tarpeettomasti katkaisemalla terveen laitteiston). Protokollatietoinen IDS IEC 61850:lle on havaittava luvattomat GOOSE-viestit (Generic Object Oriented Substation Events) ja luvattomat muutokset suojareleasetuksiin MMS-sovelluskerroksen (Manufacturing Message Specification) kautta.

Tarkoitukseen rakennetut OT-turvallisuustyökalut luokitelluissa ympäristöissä

Kolme kaupallista alustaa hallitsee tarkoitukseen rakennettua OT-turvallisuusmarkkinaa: Claroty, Dragos ja Nozomi Networks. Kaikki kolme käyttävät passiivista monitorointia perustavanlaatuisena tekniikkanaan, kaikki kolme tarjoavat protokollatietoisen syväpakettitarkastuksen tärkeimmille OT-protokollille, ja kaikki kolme pystyvät toimimaan air-gapped -jalkautuksissa.

Claroty tarjoaa omaisuuden löytämisen, jatkuvan uhkan havaitsemisen ja suojatun etäkäyttöön OT-verkoille. Sen Continuous Threat Detection (CTD) -alusta on otettu käyttöön passiivisesti SPAN-porttien kautta ja rakentaa automaattisesti omaisuusinventaarion ja käyttäytymisperusarvon. Clarotyllä on FedRAMP-yhteensopivia pilvitarjouksia ja se tukee air-gapped paikallisia jalkautuksia luokiteltuihin ympäristöihin.

Dragos keskittyy erityisesti teollisuuden kyberturvallisuuteen vahvalla painotuksella ICS-ympäristöihin relevanttiin uhkatiedusteluun. Sen WorldView-uhkatiedustelupalvelu seuraa OT-kohteisia uhkaryhmiä (mukaan lukien ryhmiä, jotka kohdistuvat erityisesti puolustus-teollisiin ja kriittisiin infrastruktuurikohteisiin) ja tarjoaa tunnistussääntöjä, jotka on kohdistettu näiden ryhmien tunnettuihin TTP:ihin. Dragos tukee air-gapped jalkautuksia ja on työskennellyt DoD-ohjelmien kanssa.

Nozomi Networks yhdistää omaisuusnäkyvyyden, anomalian havaitsemisen ja uhkatiedustelun yhdeksi alustaksi. Sen Vantage IQ -tuote tukee sekä pilviyhteisiä että air-gapped jalkautuksia ja tarjoaa keskitetyn hallinnan konsoolin suurille, hajautetuille OT-ympäristöille — relevantti sotilasorganisaatioille, jotka hallitsevat useita tukikohtia tai asennuksia yhdestä turvallisuusoperaatiotiimistä.