Zagrożenia dla informacji przetwarzanych w systemach informatycznych, danych użytkowników korzystających z Internetu czy usług świadczonych w sieci przez wiele urzędów, instytucji i firm, są już spotykane, analizowane i zwalczane od co najmniej kilkunastu lat. Zostały opracowane listy takich zagrożeń, a także zaproponowane metodyki zarządzani nimi.
Z artykułu dowiesz się m.in.:
- Opracowanie listy cyberzagrożeń można wykonać na kilka sposobów, ale kluczowym warunkiem jest to, aby Lista była projektowana według przyjętego wzorca bezpieczeństwa IT, a takim może być np. norma ISO 27001 lub standard NIST oraz uzupełniona o szczegółowe zagrożenia techniczne, istotne dla danego podmiotu.
- Wzorzec zapewni, że wszystkie obszary bezpieczeństwa związane z wykorzystaniem systemów informatycznych, będą zaadresowane.
- Obserwuje się również szybko rosnącą liczbę ataków ze strony grup przestępczych, z użyciem dedykowanego złośliwego oprogramowania.
Budowanie wiedzy o zagrożeniach dla obszaru infrastruktury przemysłowej
Tu i teraz chcemy krótko powiedzieć nie o samych zagrożeniach, ale o tym, w jaki sposób zbudować wiedzę o zagrożeniach dla obszaru infrastruktury przemysłowej, nazywanej krótko OT (ang. Operational Technology). Zakładamy, że na liście cyberzagrożeń będą zagrożenia takie, które mogą zaszkodzić dostawie prądu lub gazu do naszego mieszkania albo zatrzymać pociąg, którym się poruszamy, ale istotą ich działania będzie wykonanie operacji przez sieć komputerową, system informatyczny lub nielegalne sterowanie urządzeniem przemysłowym. Dzieje się tak dlatego, że większość urządzeń tego typu funkcjonuje w sieciach teleinformatycznych, czyli w środowisku popularnie określnym „cyberprzestrzenią”.
W tej cyberprzestrzeni, każdy użytkownik, system, urządzenie, informacja, są narażone na cyberzagrożenia, co wynika z powszechnego łączenia systemów OT z systemami technologii informacyjnej IT. Podobnie jak w tradycyjnej „informatyce”, w systemach OT wdrażane są rozwiązania, takie jak m.in. dostęp wielu użytkowników do tych samych zasobów, zdalny dostęp spoza bezpiecznego, firmowego środowiska, przesyłanie danych poprzez sieci zewnętrzne, a także wprowadzana jest dla wielu krytycznych operacji, komunikacja bezprzewodowa. Obserwuje się również szybko rosnącą liczbę ataków ze strony grup przestępczych, z użyciem dedykowanego złośliwego oprogramowania.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Ważny fragment
Opracowanie listy cyberzagrożeń można wykonać na kilka sposobów, ale kluczowym warunkiem jest to, aby Lista była projektowana według przyjętego wzorca bezpieczeństwa IT, a takim może być np. norma ISO 27001 lub standard NIST oraz uzupełniona o szczegółowe zagrożenia techniczne, istotne dla danego podmiotu.
Wzorzec zapewni, że wszystkie obszary bezpieczeństwa związane z wykorzystaniem systemów informatycznych, będą zaadresowane.
W analizowanym podejściu budowania listy dla infrastruktury OT , lista ta będzie opracowana na bazie standardu bezpieczeństwa NIST „Framework for Improving Critical Infrastructure Cybersecurity v1.1”. Ten sposób bazuje na wymaganiach bezpieczeństwa w pięciu obszarach składających się na proces zarządzania bezpieczeństwem, którymi są:
- identyfikacja i udokumentowane zasoby
- stosowanie zabezpieczeń
- wykrywanie zagrożeń
- przygotowanie rozwiązań zabezpieczających
- odtwarzanie zasobów po incydentach.
Taki układ jest bardzo dobrym przewodnikiem dla każdej metodyki, zgłaszania, obsługi i dokumentowania incydentów, ponieważ gwarantuje, że lista zagrożeń jest spójna z pełnym zakresem wymagań jaki jest stawiany procesom bezpieczeństwa.
Rozszerzenie listy o zagrożenia techniczne
Ważny fragment
Do rozszerzenia listy o zagrożenia techniczne związane ze środowiskiem przemysłowym, można wykorzystać macierz „MITRE ATT&CK for ICS”, opracowaną przez amerykańską organizację typu no-profit o nazwie MITRE.
Projekt został opublikowany na początku bieżącego roku, dla systemów automatyki przemysłowej (ICS – Industrial Control Systems) i stanowi pewną bazę wiedzy o taktykach i technikach ataku, które określają zachowania i narzędzia wykorzystywane przez cyberprzestępców.
Cel budowania Listy cyberzagrożeń
Celem zbudowania Listy cyberzagrożeń jest:
- maksymalne skrócenie czasu identyfikacji zagrożenia
- wybranie sposobu obsługi incydentu
- wykonanie szeregu działań profilaktycznych, polegających na przygotowaniu ścieżek postępowania w sytuacji kryzysowej
- zaprojektowanie i wdrożenie rozwiązań technicznych monitorujących stany potencjalnych zagrożeń.
Sposób wykorzystywania Listy w działaniach zapobiegawczych, w tym przykładzie ograniczony do obszaru technicznego, może przebiegać w następujący sposób:
- wybór scenariusza zagrożenia; tu pomocna jest macierz MITRE, gdzie np. w atakach na sektor energii zidentyfikowano grupy APT19, APT33, Dragonfly, Magic Hound, OilRig, Sandworm, Threat Group-3390
- wybór technik używanych przez wybrane grupy i analiza stosowanych sposobów i narzędzi atakowania, które są prawdopodobne do zrealizowania w używanych przez nas systemach
- wybór sposobów monitorowania krytycznych zasobów, mając wiedzę o powyższych technikach i stosowanych narzędziach oraz naszych zasobach krytycznych; wskazane jest posiadanie zinwentaryzowanych zasobów krytycznych z danymi, które są niezbędne do szybkiej identyfikacji zasobu, np. adres IP, lokalizacja fizyczna, system nadzorujący, miara krytyczności zasobu
- wykonanie analizy, z jakich narzędzi i urządzeń możemy skorzystać, aby takie informacje pozyskać i jak je monitorować, np. w systemach takich jak SIEM, IPS, IDS lub DLP
- konfiguracja reguł w wybranych systemach monitorujących; znając działania potencjalnie wykorzystywane podczas ataku oraz dane pomocne w ich wykrywaniu, możemy z wykorzystaniem naszych narzędzi korelować zdarzenia, dzięki czemu stworzymy reguły ułatwiające wykrycie ataku we wczesnej jego fazie
Należy zauważyć, że cel budowania Listy zagrożeń, jej zakres i sposób wykorzystania, będzie indywidualny i specyficzny dla danego podmiotu. Nie ulega jednak żadnej wątpliwości, że warto wykonać taki projekt, aby mógł funkcjonować proces „zarządzania zagrożeniami”.
