Print

Digitální forenzika jako součást vaší kybernetické obrany

-- 25.04.14

Znáte své systémy ICS dostatečně dobře, abyste poznali, když se děje něco, co by se dít nemělo? Tato znalost je kritická pro vaši obrannou strategii a představuje největší výhodu, kterou máte před útočníky.

Použití metod digitální forenziky s vašimi průmyslovými řídicími systémy (Industrial Control System – ICS) a jejich sítěmi je ohromně silným obranným nástrojem, a přesto zůstává jednou z nejméně chápaných koncepcí v oblasti kyberprostorového zabezpečení. Když lidé slyší pojem „digitální forenzika“, často si představí kriminální seriály a předpokládají, že je to postup používaný výhradně pro kriminální vyšetřování v reaktivním režimu. Nic nemůže být dále od pravdy. Digitální forenzika je klíčovou složkou obrany, která se příliš neliší od mechanických, elektrických a chemických studií. Když vaši lidé porozumí, jak tyto koncepce fungují, přispějí k vyšší úrovni spolehlivosti.

Digitální forenzika je odnoží forenzní vědy, která se zaměřuje na digitální doménu. Zahrnuje obory, jako je počítačová forenzika, síťová forenzika a mobilní forenzika. Je poměrně novým oborem ve srovnání s ostatními vědami a technikou, a proto je důležité snažit se pochopit tuto problematiku hlouběji.

Forenzní věda je metodou získávání a zkoumání informací. Jde v ní především o  formulování otázky a hledání odpovědi. Když se tento myšlenkový proces aplikuje na digitální forenziku, zaměření není jednoduše jen na škodlivou aktivitu a průlomy do sítí, ale také na pochopení obecného systému a síťové aktivity a rovněž toho, proč se určité události stávají. Postup a věda digitální forenziky vedou k lepšímu porozumění provoznímu prostředí a tomu, co je vlastně normální stav.

Představte si jednoduchý příklad: Řekněme, že datový sklad nezaznamenal příkazy zaslané ze serveru SCADA (Supervisory Control and Data Acquisition) do vzdáleného terminálu RTU (Remote Terminal Unit). Proč? Probíhá v síti nějaká zlovolná činnost? Existují nějaké síťové abnormality, selhání nebo špatná konfigurace, které by mohly způsobovat nákladné chyby? Toto jsou otázky vhodné pro šetření digitální forenziky.

Vzhledem ke stále větší propojenosti prostředí ICS jsou nevyhnutelné problémy s konfigurací sítí a zařízení. Budou zde také zlomyslní aktéři prolamující se do sítí, aby zde způsobili škody nebo ukradli citlivá data. Zpráva Data Breach Investigation Report společnosti Verizon z roku 2013 ukázala, že z více než 47 000 průniků do sítí zaznamenaných v loňském roce se 20 % týkalo výrobních, přepravních a rozvodných společností. U 66 % těchto průniků trvalo měsíce nebo i roky, než byly objeveny. Útočníci, zejména ti, kteří plně nerozumějí jedinečné povaze řídicích systémů, mohou způsobovat značné škody, když mají celé měsíce přístup k citlivým sítím. Ve skutečnosti však je a bude kolem kybernetických hrozeb až příliš velký humbuk. Stanovit, jak velké zabezpečení je dostatečné, vyžaduje průběžné rozhodování, které může brát čas a peníze hlavním firemním operacím. Náklady spojené s obranou proti hrozbám jsou vysoké a přinášejí jen omezenou návratnost. Zároveň je však jednou z výhod digitální forenziky skutečnost, že kroky potřebné pro její zajištění jsou stejné jako kroky, které musejí vlastníci výrobních prostředků podniknout pro zajištění spolehlivosti operací. Tímto způsobem by mohla být digitální forenzika mocnitelem síly neboli mechanismem sloužícím ke zvýšení tržeb, než aby byla pouhou zátěží pro činnost firmy.

Pro realizaci těchto přínosů je nezbytné mít zavedeny procesy a postupy k identifikaci příslušných pracovníků ve vaší organizaci nebo pro definování, koho zavolat zvenčí vaší organizace. Výše zmíněná zpráva společnosti Verizon rovněž uvádí, že 69 % narušení bylo zpozorováno vnějším subjektem a jen 9 % zpozorovaly interní zdroje.

První klíčový krok

Efektivní využití digitální forenziky vyžaduje, abyste rozuměli svým vlastním sítím. Jakmile je máte v malíčku, je snadnější zpozorovat vniknutí a snižuje se tím i potřeba vnějších týmů. A navíc, jsou-li už zapotřebí vnější vyšetřovatelé digitální forenziky, pak dobrá znalost vaší sítě a toho, kde se nacházejí vaše  kritická data, dramaticky zkrátí čas a s ním i náklady související s vyšetřováním.

Dobrá znalost vaší sítě je jedním z aspektů digitální obrany, který obránce má a útočník by nikdy mít neměl. Skutečnost, že jen lidé z vaší firmy znají podrobnosti o vaší síti a útočníci je neznají, je tím nejdůležitějším aspektem obrany. Úplná znalost vaší sítě, tj. toho, co v ní je a jak to funguje, je základem pro veškeré síťové zabezpečení, včetně digitální forenziky. Když se forenzní týmy pokoušejí identifikovat a vysledovat problémy v síti, ať už zlovolné, či jiné, jejich nejtěžším a časově nejnáročnějším úkolem je často identifikovat, jak síť vypadá a jaká zařízení zde existují.

Ve světě tradičních IT potřebuje vyšetřovatel obvykle znát systémy na bázi MS Windows nebo Linuxu a různé webové aplikace a servery. Ačkoli to může být náročné, existuje spousta nástrojů a dobře vyzkoušených metod pro získávání dokladů a mapování sítě.

U vyšetřování spojených se systémy ICS může být kompilování těchto informací neuvěřitelně úmorným úkolem – identifikovat a pochopit všechny různé vzdálené terminály, datové sklady, PLC, zabudovaná zařízení, pracovní stanice s rozhraním HMI a další výrobní prostředky, které nejsou považovány za tradiční IT zařízení. Použitelné forenzní nástroje pro zařízení a sítě ICS navíc nejsou tak obvyklé. Navzdory úrovni automatizace mnoha závodů jsou tyto výrobní prostředky ICS často identifikovány pouze v tabulkách, plánech a papírových protokolech. Tyto informace se obvykle udržují spíše pro účely logistiky a kvůli shodě s předpisy než pro porozumění síti. Jestliže chce tým analytiků vidět, jak jsou tato zařízení propojena, obvykle musí jít po kabelech a optických vláknech propojujících zařízení. A vzhledem ke stále většímu rozšíření
bezdrátových komunikačních cest je tento úkol ještě těžší. Určitě byste nechtěli být v takové pozici, kdyby došlo k nehodě a čas by byl vzácný.

Když vlastníci výrobních prostředků a členové týmů ICS obětují svůj čas, aby se důkladněji seznámili se síťovým prostředím, je to přínosné pro operace mnoha různými způsoby. Jak již bylo uvedeno, mapování sítí a identifikace zařízení, která v nich běží, je pro týmy digitální forenziky obrovskou pomocí. Navíc to operátorům a technikům umožňuje podílet se na procesu digitální forenziky. Díky lepšímu přehledu o síti mohou lidé, kteří operace provozují, rychle identifikovat okolnosti, které jsou nepatřičné. Uživatelé sítí mohou začít přemýšlet jako vyšetřovatelé a klást otázky, když uvidí, že se děje něco zvláštního:
• Proč jsou v síti nová zařízení, která nejsou zdokumentována?
• Mělo by interní zařízení komunikovat a odesílat data mimo závod do zahraniční lokality?
• Latence a úbytek konektivity tohoto zařízení jsou vyšší, než se očekává. Blíží se jeho selhání?

Pracovníci, kteří vědí, co by se mělo dít, mohou zpozorovat, když se něco  nechová podle jejich očekávání. Každý uživatel v síti se stává senzorem monitorujícím zdraví sítě. To se však nestane bez správného porozumění a  znalostí. Vyškolení vašich pracovníků je velkým krokem v aktivním přístupu k zajištění zabezpečení a spolehlivosti.

Jaké kroky byste měli podniknout, abyste lépe ochránili své prostředí, umožnili vyšší spolehlivost systému a připravili se na digitální forenziku? Nejdůležitějším krokem je provést inventuru dovedností týkajících se kyberprostorového zabezpečení u osob provádějících každodenní operace, havarijní management, technické zajištění, IT a správu řídicího prostředí a kancelářské části firmy. Analýza dovedností je taktickým krokem k pochopení, zda máte dostatečné dovednosti a zda existují mezery, které je nutno vyplnit.

Zpráva poradního výboru Ministerstva vnitřní bezpečnosti USA s názvem „Cyber Skills Task Force Report“ týkající se vyhodnocení dovedností, jež bylo provedeno na celostátní úrovni, může pomoci porozumět, jak toto provést  interně ve firmě. Spolupráce s oddělením lidských zdrojů je dobrým začátkem, když se snažíte zjistit, co kdo dokáže. Seznam zdrojů bude zapotřebí pro zformování kapacity pro reakci na kyberprostorový incident, ať už jde o interní, nebo outsorcované zdroje. Druhým kritickým krokem je identifikovat, jaké mechanismy se využívají pro ochranu citlivých informací. Nemáte-li takový mechanismus, vytvořte jej. Když zjišťujete informace o digitálních výrobních prostředcích a dokumentujete jejich interakce, vypracujete tak základní linii informací, které potřebujete chránit. Zvažujte, jak je budete chránit, když budou uloženy, jak určíte, s kým je budete sdílet, jak budou předávány ostatním a jak s nimi tito příjemci budou zacházet.

Po splnění prvních dvou požadavků je dalším úkolem zjistit, co je zapotřebí pro zavedení detekční a reakční schopnosti ve vašem závodě. Je důležité si uvědomit, že každý z níže popisovaných kroků zahrnuje své vlastní výzvy. Abychom udrželi záběr tohoto článku v přiměřených mezích, uvedeme jen jejich přehled. Několik potřebných kroků je vypsáno v tabulce.

http://controlengcesko.com/fileadmin/grafika/Bar%C4%8Da/Casopis_duben_2014/tabulka_hlavni_tema.jpg

Digitální forenzika v prostředí ICS je teprve rozvíjejícím se oborem. Mnoho úsilí ještě bude nutno věnovat vývoji nástrojů, postupů a metod, které mohou komunitě ICS pomoci lépe se vyrovnat s nástrahami moderní doby. Nemusíte však čekat na technologická vylepšení. Můžete využívat již nyní definované přínosy. Dokumentace výchozího stavu vašeho prostředí ICS, kterou lze snadno vyvolat a použít jako referenci při podezření na incident, je nutná k zajištění včasné obnovy. Kyberprostorové a informační technologie provozují vaše prostředí ICS. Nelze je oddělit od širšího firemního prostředí, protože v současnosti představují významný faktor úspěšnosti moderního konkurenceschopného podniku. Forenzika a reakce na incident znamenají plánovat pro nejhorší případ a doufat v to nejlepší. Znamená to vytvářet metodické postupy a porozumět, co je zásadní pro vaše kriticky významné výrobní prostředky. Digitální bojiště se rozšiřuje a odborné znalosti potřebné k  zaměření na průmyslové cíle rostou. Nikdy nebylo naléhavější zajistit, abyste měli znalosti nutné k odpovídající reakci v případě kyberprostorového útoku. Objem informací, které vám s tím pomohou, však prudce roste. ce

Robert M. Lee je spoluzakladatel společnosti Dragos Security zaměřené na kyberprostorové zabezpečení, která vyvíjí nástroje a vede průzkumy užitečné pro komunitu řídicích systémů. Je rovněž aktivní důstojník amerického letectva pro operace v kyberprostoru. Matthew E. Luallen je přispěvatel časopisu Control Engineering pro oblast kyberprostorového zabezpečení. Je také spoluzakladatel společností Dragos Security a Cybati.

Autor: Robert M. Lee, Dragos Security; Matthew E. Luallen, Control Engineering


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Trendy v robotizaci 2020
2020-01-28 - 2020-01-30
Místo: Best Western Premier / Avanti, Brno
DIAGO 2020
2020-01-28 - 2020-01-29
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Trendy automobilové logistiky 2020
2020-02-20 - 2020-02-20
Místo: Parkhotel Plzeň
Úspory v průmyslu
2020-03-03 - 2020-03-03
Místo: Ostrava
AMPER TOUR 2020
2020-03-17 - 2020-03-19
Místo: Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI