Detectarea Intruziunilor în Sistemele OT și ICS Militare

Tehnologia operațională (OT) — hardware-ul și software-ul care monitorizează și controlează procesele fizice — este prezentă în toată infrastructura militară în moduri care nu sunt întotdeauna vizibile pentru echipele de securitate IT. Utilitățile bazei (generarea și distribuția de energie, tratarea apei, sistemele HVAC) rulează pe sisteme de control industrial (ICS) și platforme SCADA (Supervisory Control and Data Acquisition) care au fost proiectate pentru disponibilitate și fiabilitate fizică, nu pentru cybersecuritate. Sistemele de arme, platformele de vehicule și echipamentele de comunicații conțin controlere embedded care comunică folosind protocoale industriale. Aceste sisteme sunt ținte de mare valoare pentru adversari: perturbarea energiei sau a apei bazei, sau compromiterea sistemelor de comandă și control ale platformelor de arme, creează efecte operaționale pe care atacurile cinetice ar putea să nu le atingă.

Instrumentele tradiționale de securitate IT — agenți endpoint, scanere de rețea IT, platforme EDR bazate pe cloud — nu pot proteja sistemele OT și nu ar trebui aplicate acestora. Aplicarea unui agent de securitate IT pe un dispozitiv OT îl poate bloca; rularea unui scaner de rețea activ împotriva unei rețele OT poate perturba comunicațiile de control care mențin procesele fizice stabile. Securitatea OT necesită o abordare diferită, instrumente diferite și un model de amenințare diferit.

Securitate OT vs IT: modele de amenințare diferite

Triada CIA (Confidențialitate, Integritate, Disponibilitate) se aplică atât securității IT, cât și OT, dar prioritățile sunt inversate. În securitatea IT, confidențialitatea este de obicei preocuparea principală. În securitatea OT, disponibilitatea este primordială — un sistem de distribuție a energiei care iese offline afectează imediat operațiunile fizice, iar consecințele timpului de nefuncționare sunt măsurate în capacitate operațională, nu în notificări de încălcare a datelor.

Constrângerea lipsei ferestrei de patch este diferența cea mai fundamentală între gestionarea securității IT și OT. Sistemele IT pot fi de obicei actualizate în ferestre de mentenanță măsurate în ore. Sistemele OT care controlează procese industriale continue adesea nu pot fi oprite deloc — procesul pe care îl controlează trebuie să ruleze 24/7. Un sistem de generare a energiei bazei cu o vulnerabilitate cunoscută poate rămâne neactualizat luni sau ani deoarece procedura de actualizare necesită o repornire completă a sistemului și o pană de curent controlată la bază, care necesită o coordonare extensivă între mai multe comenzi și creează o sarcină semnificativă de planificare operațională.

Cerințele în timp real din OT creează constrângeri suplimentare: un ICS care primește comenzi de la sistemul său SCADA trebuie să proceseze acele comenzi în milisecunde pentru buclele de control strânse. Un instrument de securitate care adaugă latență comunicațiilor OT — chiar și 10–50ms — poate destabiliza buclele de control în unele medii de proces. Acest lucru exclude orice instrument de securitate inline (cum ar fi un Next-Generation Firewall care efectuează inspecție profundă a pachetelor) pentru comunicațiile OT sensibile la timp.

Domeniul de aplicare OT militar: ce este efectiv în pericol

Sistemele SCADA ale infrastructurii bazei controlează utilitățile fizice care sprijină bazele și instalațiile militare: generarea și distribuția de energie electrică (inclusiv gestionarea generatoarelor de rezervă), tratarea și distribuția apei, stocarea și distribuția combustibilului, sistemele HVAC pentru facilitățile sensibile la climă (centre de date, arsenale, facilități medicale) și sistemele de securitate a perimetrului (camere, control acces). Aceste sisteme sunt de obicei gestionate de comenzile de operațiuni și inginerie ale bazei, nu de unitățile IT/cyber — creând un decalaj de vizibilitate și responsabilitate pe care adversarii îl exploatează activ.

Controlerele sistemelor de arme includ calculatoare de control al focului, sisteme de țintire, controlere radar și senzori și echipamente de comunicații embedded în platformele de vehicule și aeronave. Aceste sisteme utilizează protocoale proprietare și sisteme de operare embedded (adesea sisteme de operare în timp real precum VxWorks sau LynxOS) care nu sunt accesibile instrumentelor standard de securitate IT. Postura lor de cybersecuritate este de obicei evaluată în timpul achiziției și certificării, apoi rămâne în mare parte statică pe durata de viață a platformei — potențial 20–40 de ani.

Infrastructura de comunicații — în special echipamentele de releu, multiplexoarele și sistemele de gestionare a semnalelor care rutează comunicațiile militare — utilizează hardware de tip OT cu controlere embedded și comunică adesea folosind protocoale care nu sunt vizibile pentru monitorizarea standard a rețelei IT.

Monitorizarea pasivă a rețelei: tehnica de bază a securității OT

Monitorizarea pasivă a rețelei este tehnica fundamentală de securitate pentru mediile OT: în loc să scaneze sau să sondeze activ dispozitivele OT, sistemul de securitate observă traficul de comunicații fără a interacționa cu el. Aceasta este implementată prin porturi SPAN (Switch Port Analyzer — switch-ul de rețea trimite o copie a întregului trafic pe porturile monitorizate la interfața de rețea a instrumentului de monitorizare) sau prin tap-uri de rețea (dispozitive fizice inserate inline în cablul de rețea care transmit o copie a traficului la instrumentul de monitorizare fără a întrerupe fluxul).

Monitorizarea pasivă permite instrumentului de securitate să construiască un model de bază al comunicațiilor OT normale: care dispozitive comunică cu care alte dispozitive, ce protocoale utilizează, ce comenzi sunt trimise în mod normal, la ce frecvență și în ce game de parametri. Orice abatere de la această linie de bază este o anomalie care merită investigată: un dispozitiv nou care apare în rețea, un dispozitiv cunoscut care utilizează un protocol neașteptat, o comandă trimisă unui controler fizic care depășește parametrii normali de operare.

Abordarea bazată pe linie de bază și anomalii este deosebit de puternică în mediile OT deoarece traficul OT este foarte determinist. Spre deosebire de rețelele IT, unde tiparele de trafic variază enorm în funcție de activitatea utilizatorului, traficul OT urmează tipare previzibile determinate de procesul fizic controlat. Un ciclu de interogare SCADA pentru un sistem de distribuție a energiei trimite același set de interogări de stare la aceleași PLC-uri la aceleași intervale, zi de zi. Orice abatere — o nouă interogare, o comandă modificată, un răspuns neașteptat — este anormală și probabil relevantă pentru securitate.

IDS conștient de protocol: inspecție profundă a pachetelor pentru protocoale OT

Instrumentele IDS generice de rețea IT inspectează traficul la nivelul IP și TCP/UDP, dar nu pot interpreta conținutul la nivelul aplicației al protocoalelor OT. O regulă IDS care spune „alertă la orice trafic Modbus pe porturi non-standard" este marginal utilă. O regulă IDS care spune „alertă la orice comandă de scriere Modbus la un registru PLC care controlează curentul de ieșire la un transformator peste 115% din capacitatea nominală" necesită inspecție profundă a pachetelor conștientă de protocol — capacitatea de a decoda protocolul Modbus, de a identifica registrul specific care este scris și de a evalua valoarea scrisă față de limitele fizice ale parametrilor.

Modbus este cel mai larg implementat protocol OT, utilizat în orice, de la interfețe simple de senzori la sisteme SCADA complexe. Simplitatea sa (fără autentificare, fără criptare, fără gestionare a sesiunilor) îl face trivial vulnerabil: orice dispozitiv din aceeași rețea poate trimite comenzi arbitrare de citire sau scriere la orice dispozitiv Modbus. IDS conștient de protocol pentru Modbus trebuie să detecteze comenzi de scriere neautorizate (scrieri de la IP-uri sursă neașteptate, scrieri la registre care ar trebui să fie doar citire în condiții normale de operare) și violări ale parametrilor (valori în afara limitelor de siguranță inginerești).

DNP3 (Distributed Network Protocol 3) este utilizat pe scară largă în utilitățile electrice și tratarea apei, inclusiv pe bazele militare. Autentificarea Securizată DNP3 (SAv5) adaugă autentificare protocolului, dar nu este implementată universal. IDS pentru DNP3 trebuie să detecteze tentative de ocolire a autentificării, trafic de răspuns nesolicitat neașteptat și atacuri de sincronizare a timpului (manipularea mecanismului de sincronizare a timpului DNP3 pentru a falsifica înregistrările de evenimente cu marcaj temporal).

IEC 61850 este standardul pentru automatizarea și protecția substațiilor digitale în infrastructura electrică. Acesta transportă funcții de releu de protecție — sistemele care izolează echipamentele defecte de rețea pentru a preveni defecțiunile în cascadă. Un atacator care poate manipula traficul IEC 61850 poate potențial face ca sistemele de protecție să nu funcționeze (lăsând echipamentele defecte conectate la rețea) sau să funcționeze greșit (deconectând inutil echipamentele sănătoase). IDS conștient de protocol pentru IEC 61850 trebuie să detecteze mesaje GOOSE (Generic Object Oriented Substation Events) neautorizate și modificări neautorizate ale setărilor releului de protecție prin stratul de aplicație MMS (Manufacturing Message Specification).

Instrumente OT de securitate dedicate în medii clasificate

Trei platforme comerciale domină piața de securitate OT dedicată: Claroty, Dragos și Nozomi Networks. Toate trei utilizează monitorizarea pasivă ca tehnică fundamentală, toate trei oferă inspecție profundă a pachetelor conștientă de protocol pentru principalele protocoale OT și toate trei pot opera în implementări air-gapped.

Claroty oferă descoperirea activelor, detectarea continuă a amenințărilor și accesul securizat de la distanță pentru rețelele OT. Platforma sa de Detecție Continuă a Amenințărilor (CTD) este implementată pasiv prin porturi SPAN și construiește automat un inventar al activelor și o linie de bază comportamentală. Claroty dispune de oferte cloud conforme FedRAMP și suportă implementări on-premises air-gapped pentru medii clasificate.

Dragos se concentrează specific pe cybersecuritatea industrială cu un accent puternic pe informațiile de amenințare relevante pentru mediile ICS. Serviciul său de informații de amenințare WorldView urmărește grupuri de amenințare care vizează OT (inclusiv grupuri care vizează specific ținte din industria apărării și infrastructura critică) și furnizează reguli de detectare aliniate la TTP-urile cunoscute ale acelor grupuri. Dragos suportă implementări air-gapped și a colaborat cu programe DoD.

Nozomi Networks combină vizibilitatea activelor, detectarea anomaliilor și informațiile de amenințare într-o singură platformă. Produsul său Vantage IQ suportă atât implementări conectate la cloud, cât și air-gapped și oferă o consolă de management centralizată pentru medii OT mari, distribuite — relevantă pentru organizațiile militare care gestionează mai multe baze sau instalații de la o singură echipă de operațiuni de securitate.