Zagrożenia dla informacji przetwarzanych w systemach informatycznych, danych użytkowników korzystających z Internetu czy usług świadczonych w sieci przez wiele urzędów, instytucji i firm, są już spotykane, analizowane i zwalczane od co najmniej kilkunastu lat. Zostały opracowane listy takich zagrożeń, a także zaproponowane metodyki zarządzani nimi.

ANKIETACYBERBEZPIECZEŃSTWO

Budowanie wiedzy o zagrożeniach dla obszaru infrastruktury przemysłowej

Tu i teraz chcemy krótko powiedzieć nie o samych zagrożeniach, ale o tym, w jaki sposób zbudować wiedzę o zagrożeniach dla obszaru infrastruktury przemysłowej, nazywanej krótko OT (ang. Operational Technology). Zakładamy, że na liście cyberzagrożeń będą zagrożenia takie, które mogą zaszkodzić dostawie prądu lub gazu do naszego mieszkania albo zatrzymać pociąg, którym się poruszamy, ale istotą ich działania będzie wykonanie operacji przez sieć komputerową, system informatyczny lub nielegalne sterowanie urządzeniem przemysłowym. Dzieje się tak dlatego, że większość urządzeń tego typu funkcjonuje w sieciach teleinformatycznych, czyli w środowisku popularnie określnym „cyberprzestrzenią”.

W tej cyberprzestrzeni, każdy użytkownik, system, urządzenie, informacja, są narażone na cyberzagrożenia, co wynika z powszechnego łączenia systemów OT z systemami technologii informacyjnej IT. Podobnie jak w tradycyjnej „informatyce”, w systemach OT wdrażane są rozwiązania, takie jak m.in. dostęp wielu użytkowników do tych samych zasobów, zdalny dostęp spoza bezpiecznego, firmowego środowiska, przesyłanie danych poprzez sieci zewnętrzne, a także wprowadzana jest dla wielu krytycznych operacji, komunikacja bezprzewodowa. Obserwuje się również szybko rosnącą liczbę ataków ze strony grup przestępczych, z użyciem dedykowanego złośliwego oprogramowania.

Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik

Ważny fragment

Opracowanie listy cyberzagrożeń można wykonać na kilka sposobów, ale kluczowym warunkiem jest to, aby Lista była projektowana według przyjętego wzorca bezpieczeństwa IT, a takim może być np. norma ISO 27001 lub standard NIST oraz uzupełniona o szczegółowe zagrożenia techniczne, istotne dla danego podmiotu.

Wzorzec zapewni, że wszystkie obszary bezpieczeństwa związane z wykorzystaniem systemów informatycznych, będą zaadresowane.

W analizowanym podejściu budowania listy dla infrastruktury OT , lista ta będzie opracowana na bazie standardu bezpieczeństwa NIST „Framework for Improving Critical Infrastructure Cybersecurity v1.1”. Ten sposób bazuje na wymaganiach bezpieczeństwa w pięciu obszarach składających się na proces zarządzania bezpieczeństwem, którymi są:

  • identyfikacja i udokumentowane zasoby
  • stosowanie zabezpieczeń
  • wykrywanie zagrożeń
  • przygotowanie rozwiązań zabezpieczających
  • odtwarzanie zasobów po incydentach.

Taki układ jest bardzo dobrym przewodnikiem dla każdej metodyki, zgłaszania, obsługi i dokumentowania incydentów, ponieważ gwarantuje, że lista zagrożeń jest spójna z pełnym zakresem wymagań jaki jest stawiany procesom bezpieczeństwa.

Rozszerzenie listy o zagrożenia techniczne

Ważny fragment

Do rozszerzenia listy o zagrożenia techniczne związane ze środowiskiem przemysłowym, można wykorzystać macierz „MITRE ATT&CK for ICS”, opracowaną przez amerykańską organizację typu no-profit o nazwie MITRE.

Projekt został opublikowany na początku bieżącego roku, dla systemów automatyki przemysłowej (ICS – Industrial Control Systems) i stanowi pewną bazę wiedzy o taktykach i technikach ataku, które określają zachowania i narzędzia wykorzystywane przez cyberprzestępców.

Cel budowania Listy cyberzagrożeń

Celem zbudowania Listy cyberzagrożeń jest:

  • maksymalne skrócenie czasu identyfikacji zagrożenia
  • wybranie sposobu obsługi incydentu
  • wykonanie szeregu działań profilaktycznych, polegających na przygotowaniu ścieżek postępowania w sytuacji kryzysowej
  • zaprojektowanie i wdrożenie rozwiązań technicznych monitorujących stany potencjalnych zagrożeń.

Sposób wykorzystywania Listy w działaniach zapobiegawczych, w tym przykładzie ograniczony do obszaru technicznego, może przebiegać w następujący sposób:

  • wybór scenariusza zagrożenia; tu pomocna jest macierz MITRE, gdzie np. w atakach na sektor energii zidentyfikowano grupy APT19, APT33, Dragonfly, Magic Hound, OilRig, Sandworm, Threat Group-3390
  • wybór technik używanych przez wybrane grupy i analiza stosowanych sposobów i narzędzi atakowania, które są prawdopodobne do zrealizowania w używanych przez nas systemach
  • wybór sposobów monitorowania krytycznych zasobów, mając wiedzę o powyższych technikach i stosowanych narzędziach oraz naszych zasobach krytycznych; wskazane jest posiadanie zinwentaryzowanych zasobów krytycznych z danymi, które są niezbędne do szybkiej identyfikacji zasobu, np. adres IP, lokalizacja fizyczna, system nadzorujący, miara krytyczności zasobu
  • wykonanie analizy, z jakich narzędzi i urządzeń możemy skorzystać, aby takie informacje pozyskać i jak je monitorować, np. w systemach takich jak SIEM, IPS, IDS lub DLP
  • konfiguracja reguł w wybranych systemach monitorujących; znając działania potencjalnie wykorzystywane podczas ataku oraz dane pomocne w ich wykrywaniu, możemy z wykorzystaniem naszych narzędzi korelować zdarzenia, dzięki czemu stworzymy reguły ułatwiające wykrycie ataku we wczesnej jego fazie

Należy zauważyć, że cel budowania Listy zagrożeń, jej zakres i sposób wykorzystania, będzie indywidualny i specyficzny dla danego podmiotu. Nie ulega jednak żadnej wątpliwości, że warto wykonać taki projekt, aby mógł funkcjonować proces „zarządzania zagrożeniami”.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Cyberbezpieczeństwo i outsourcing IT

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.