Wykrywanie intruzów w systemach ICS/OT dla obiektów wojskowych

Przemysłowe systemy sterowania (ICS) i technologie operacyjne (OT) w obiektach wojskowych — systemy zarządzania energią, dystrybucji paliwa, HVAC, kontroli dostępu i bezpieczeństwa fizycznego — stanowią infrastrukturę krytyczną, która często pozostaje poza zasięgiem tradycyjnych korporacyjnych procesów cyberbezpieczeństwa. Systemy te często używają starszych protokołów niezgodnych z rozwiązaniami bezpieczeństwa opartymi na agentach, działają w sieciach, gdzie naruszenie dostępności jest niedopuszczalne, i mogą mieć 20–30-letni cykl życia operacyjnego — co oznacza, że łatanie może być technicznie niemożliwe nawet gdy odpowiednia łatka istnieje.

Wykrywanie intruzów w środowiskach ICS/OT rozwiązuje fundamentalnie inne zadanie niż korporacyjne wykrywanie intruzów IT: środowisko jest w dużej mierze niezmienne i dobrze scharakteryzowane, co sprawia, że wykrywanie oparte na anomaliach jest znacznie skuteczniejsze. Sterownik PLC wysyłający określoną sekwencję poleceń do silnika napędowego ma przewidywalny rytm; odchylenie od tego rytmu jest wskaźnikiem włamania lub usterki, a oba warunki wymagają uwagi operatora.

Dlaczego protokoły przemysłowe wymagają specjalistycznego wykrywania

Modbus — jeden z najstarszych protokołów przemysłowych, powszechnie stosowany w infrastrukturze wojskowej i systemach sterowania — został zaprojektowany z myślą o niezawodności i prostocie, a nie bezpieczeństwie. Modbus TCP nie ma wbudowanego uwierzytelniania: każdy system w sieci może wysyłać polecenia zapisu do dowolnego sterownika PLC, jeśli może nawiązać połączenie TCP na porcie 502. System wykrywania intruzów rozumiejący Modbus może ustalić normalną linię bazową zachowania — które urządzenia Master zwykle komunikują się z którymi urządzeniami Slave, jakie konkretne kody funkcji (FC01–FC16) są oczekiwane, jakie adresy rejestrów są odczytywane lub zapisywane — i wykrywać odchylenia od tej linii bazowej.

DNP3 (Distributed Network Protocol 3) jest używany w systemach SCADA do komunikacji między zdalnymi jednostkami końcowymi (RTU) a stacjami głównymi. DNP3 ma podstawowe możliwości uwierzytelniania w niektórych implementacjach (DNP3-SA), ale jest szeroko wdrożony w konfiguracjach bez uwierzytelniania. Szczególną uwagę należy zwrócić na ataki powtórzeniowe DNP3 — gdzie legalne komunikaty są przechwytywane i ponownie wysyłane w celu wywołania akcji — ponieważ są niewidoczne dla monitorowania opartego wyłącznie na dopasowaniu sygnatur.

IEC 61850 — standard komunikacji podstacji w elektrycznych stacjach rozdzielczych — coraz częściej pojawia się w nowoczesnych bazach wojskowych z rozproszoną generacją i zarządzaniem siecią elektroenergetyczną. IEC 61850 jest bardziej złożony niż Modbus czy DNP3 i zawiera kilka protokołów (GOOSE dla komunikatów ochronnych, MMS do zarządzania stacją, Sampled Values dla pomiarów). Profil bezpieczeństwa IEC 62351 istnieje, ale jego implementacja pozostaje niespójna w praktyce.

Pasywne monitorowanie: złoty standard bezpieczeństwa OT

Złotym standardem wykrywania intruzów ICS/OT jest pasywne monitorowanie: przechwytywanie i analiza ruchu sieci przemysłowej bez żadnej interakcji z monitorowanymi urządzeniami. Podejście pasywne jest obowiązkowe w środowiskach OT, gdzie nieudane aktywne zapytanie do sterownika PLC może spowodować reset urządzenia, zakłócenie operacyjne lub usterkę sprzętu. Bezpieczeństwo ciągłości procesu jest ważniejsze niż pokrycie bezpieczeństwa. Przemysłowe IDS (Claroty, Dragos, Nozomi Networks) są zaprojektowane wokół tego ograniczenia: nasłuchują ruchu sieciowego przez skonfigurowane dublowanie portów lub pasywne odgałęzienia sieciowe bez aktywnego sondowania sieci.

Pasywne monitorowanie zapewnia trzy kluczowe możliwości: odkrywanie zasobów (inwentaryzacja sterowników PLC, RTU, HMI i innych urządzeń OT wraz z ich oprogramowaniem sprzętowym i konfiguracjami), monitorowanie komunikacji (ustalanie normalnych wzorców komunikacji i sygnalizowanie anomalii) oraz śledzenie zmian (wykrywanie zmian konfiguracji urządzeń lub oprogramowania sprzętowego).

Budowanie linii bazowej: normalne zachowanie w środowiskach OT

Skuteczność wykrywania opartego na anomaliach zależy od dokładności linii bazowej normalnego zachowania. Środowiska przemysłowe mają unikalne cechy sprzyjające efektywnemu ustalaniu linii bazowej: są deterministyczne (ten sam proces wykonywany w ten sam sposób każdego dnia), rytmiczne (wiele procesów przemysłowych podlega przewidywalnym wzorcom czasowym) i zamknięte (zestaw urządzeń i protokołów w właściwie zarządzanej sieci przemysłowej jest stabilny).

Zbieranie linii bazowej zazwyczaj obejmuje 30–60-dniowy tryb cichego monitorowania, podczas którego system wykrywania obserwuje ruch sieciowy bez generowania alertów. W tym oknie czasowym system buduje model normalnego zachowania sieciowego: które urządzenia komunikują się ze sobą, za pomocą jakich protokołów, z jaką ilością ruchu i w jakich konkretnych przedziałach czasowych. Niektóre przemysłowe IDS stosują ML do automatycznego doskonalenia linii bazowej w czasie; inne wymagają potwierdzenia od inżyniera OT, że linia bazowa jest dokładna przed przejściem w tryb wykrywania.

Detektory anomalii: od prostych reguł do uczenia maszynowego

Podejścia do wykrywania w przemysłowych IDS wahają się od prostych reguł opartych na sygnaturach do złożonych modeli ML. Dla znanych wzorców ataków — prób zapisu Modbus do rejestrów normalnie tylko do odczytu, anomalnego ruchu między segmentami sieci, poleceń PKI DNP3 z nieautoryzowanych źródeł — wykrywanie oparte na sygnaturach jest konieczne. Zapewnia szybkie, deterministyczne wykrywanie znanych wektorów ataków przy minimalnych wynikach fałszywie pozytywnych.

Podejścia ML rozwiązują to, czego wykrywanie oparte na sygnaturach nie może: nieznane ataki i subtelne anomalie behawioralne. Modele szeregów czasowych mogą wykrywać, gdy sterownik PLC produkuje więcej lub mniej wartości czujnika niż oczekiwano, nawet jeśli wartości mieszczą się w dopuszczalnym zakresie. Grafowe sieci neuronowe mogą wykrywać zmiany w wzorcach komunikacji sieciowej, które nie odpowiadają żadnemu konkretnemu znane atakowi, ale są statystycznie anomalne względem wyuczonej linii bazowej.

Wyzwania integracyjne: OT spotyka bezpieczeństwo IT

Największym wyzwaniem operacyjnym przy wdrażaniu wykrywania intruzów ICS/OT jest wyzwanie organizacyjne, a nie techniczne: inżynierowie OT i zespoły bezpieczeństwa IT mają różne priorytety, terminologię i założenia dotyczące tego, co jest normalne i dopuszczalne. To, co wygląda jak podejrzane zachowanie sieciowe dla analityka bezpieczeństwa IT, może być normalną procedurą operacyjną rozumianą tylko przez inżynierów OT.

Udane wdrożenia wykrywania intruzów ICS angażują inżynierów OT w proces ustalania linii bazowej i walidacji alertów. Kontekst operacyjny, który dostarczają inżynierowie OT — "ten PLC zawsze przechodzi w tryb konserwacji w niedzielę rano", "ta zmiana konfiguracji była oczekiwana ze względu na zaplanowaną aktualizację" — jest niezbędny do odróżnienia prawdziwych alertów od normalnych zmian operacyjnych. Dla środowisk MON (Ministerstwo Obrony Narodowej) właściwa koordynacja między zespołami OT i IT jest fundamentem skutecznego bezpieczeństwa przemysłowego.