מערכות סקאדה מאובטחות למתקני אנרגיה קריטים

התקפות סייבר על מתקני אנרגיה2013אוקטובר

הצורך באבטחת מידע

תמונת מצב כיום בתחילה רשתות SCADA נועדו למקסם את הפונקציונליות

שלהם, עם מעט מאד תשומת לב לאבטחת מידע.

רשתות בקרה היו בתחילה מבודדות, אך בשנים האחרונות אנורואים אותם יותר ויותר מחוברות לרשת הארגונית לצורך

אינטגרציה עם תוכנות בארגון וגם עמדות ניהול למערכת ה SCADA.עצמה

רוב מערכות הSCADA הותיקות יותר )רובם כיום בשימוש( לא מכילות את מגוון יכולות אבטחת המידע הנדרשות.

רמת אבטחת המידע של מערכותSCADA אינותואם את רמת האיומים בעידן הנוכחי.

עידן חדש של אקרים כבר לא מדובר בהאקרים זוטרים – אלא האקרים מקצועיים

המייצרים התקפות קשות ומורכבות.

,תוקפים בעלי אג'דנה ברורה כגון: ריגול תעשייתי, פיגוע ממוקדאג'נדה פוליטית וכו...

. המטרה, פעילויות הליבה העסקית של הארגון ולא טכנולוגיה

בעידן הנוכחי רב ההתקפות מייוצרות ע"י מימוןנרחב תוך השקעה רבה של כספים ובציוד

מהמתקדמים ביותר.

סוגי האקרים האקרים זוטרים – בד"כ בני נוער או סטודנטים הפורצים לשם

ההנאה או האתגר )נחשבים להכי פחות מסוכנים(.

פליליים – פושעים מאורגנים המחפשים בעיקר גניבות שלכספים או סחורות לצורך סחיטת כספים.

.ריגול תעשיתי – בעיקר לצורך גניבת מידע רגיש מארגונים

פעילי אנטי – גלובליזציה לצורך פריצה אידיאולוגית )בעיקרDOS)

טרוריסטים - רב ההתקפות מייוצרות תוךהשקעה רבה של כספים ובציוד מהמתקדמים

ביותר.

סוגי התקפות עקריות

DDOS – Distributed Denial Of Service

Attacker sends command to bonet, botnet floods server with massages

The hacker utilizes enterprise authentication forms as his conduit to the SQL data store. He then applies malicious SQL script to obtain access to the enterprise data store.

SQL Injection

Man in the Middle

Attacker captures the communication between you and the web server. Without encryption he will basically gain access to all your data!

Buffer Overflow

This is where an application is expecting a maximum amount of information. Should an attacker subsequently input a larger than expected piece of information, the application will malfunction in such a way as to allow an arbitrary piece of any code of the attacker’s choice to be executed.

Spyware/Viruses and Trojans

malicious programs that attackers will bundle into other legitimate programs, or will try and trick their target into running.

Phishing

phishing attacks whereby someone fraudulently sends out an email to acquire sensitive information, such as usernames, passwords and credit card details, by impersonating a trustworthy entity, i.e. a bank.

התקפות על מתקני אנרגיה בשנה האחרונה

תחנות כוח בארה"ב2סייבר על התקפת וירוסים התגלו במערכת הסקאדה של שתי תחנות כוח

בארה"ב, מקור הווירוסים הוא כנראה בהתקני דיסק און קי, שהופכים לסכנה מספר אחת ברשתות מחשוב אשר אינן

מחוברות לאינטרנט.

התגלה כאשר עובד שהשתמש בדיסק און קי באחד ממחשבי של ITהבקרה נתקל בבעיה והזעיק את צוות תמיכת ה-

המתקן.

-לאחר שאיש הIT חיבר את הדיסק און קי למחשב בעל תוכנת אנטי וירוס מעודכנת, זיהתה התוכנה שלושה קבצים חשודים.

בפועל נגרם נזק רב למערכות ואף גרםלהפסקת הפעילות של תחנת הכוח המותקפת

ליותר משלושה שבועות.

של סטוקסנט? תולעת מתוחכמת התגלתה במחשבים היורש" FLAMEהאבטחה קספרסקי מדווחת כי התולעת " חברתבאיראן

הדביקה אלפי מחשבים במזרח התיכון, כולל בישראל וברשות.

מסוגלת לבצע פעולות ביון במחשבים שהודבקו, והיא התולעתדומה מאד באופן הפעולה לסטוקסנט.

מסוגלת לבצע מספר רב של פעולת שונות ומגוונות ריגולבמקביל.

העיקרית שלה, על פי ההערכות, היא ריגול וגניבת מידע. המטרה

הערכות היום כי מדובר בנשק הסייבר המתוחכםביותר שיוצר עד כה.

מתקדמת המכוונת קמפיין "אוקטובר האדום" - רשת ריגול על סוכנויות דיפלומטיות וממשלתיותCyberהתקפות

קמפיין ממוקד התקפה שנמשך כבר לפחות חמש שנים. ופגע במאות קורבנותברחבי העולם במספר קטגוריות עיקריות:

ממשלה, שגרירויות דיפלומטיות, מוסדות מחקר, במסחר, מחקר גרעיני / אנרגיה, חברות

נפט וגז, תעופה וחלל, צבאי

מטרתו העיקרית של הקמפיין הוא איסוף של מידע מסווג ומודיעין גיאופוליטילצורכי מחירה בשוק השחור או לשימוש אישי.

חוקרים של קספרסקי בילו מספר חודשים בניתוח תוכנה זדונית זו, אשרמטרתה לפגוע בארגונים ספציפיים בעיקר במזרח אירופה, חברי ברית

המועצות לשעבר ובמדינות במרכז אסיה, במערב אירופה ובצפון אמריקה.

המשך..

ההתקפה התבצעה ע"י שליחת הקוד הזדוני באמצעות דואר אלקטרוני כקבציםמצורפים במספר שלבים:

שלב א' – הדבקה ראשונית

שלב ב' – הורדה מהאינטרנט של מודולים נוספים שנפרסו לאיסוףהמודיעין

.שלב ג' – התוצר המודיעיני הוצפן ע"י תוכנת הריגול ונשלח בחזרה

מפת ההדבקה בוירוס

כיצד להתמודד עם התקפות אילו.

אכן מאובטחים ברמה SCADAלוודא שחיבורי הרשת למערכת ה לערוך בדיקות חדירה או ניתוח פגיעויות של כל חיבורים שנותרו לרשת הרצויה.

SCADA

בודד את רשת הSCADA.מקסימלית במידת האפשר

הקשחת מערכת ההפעלה מקסימלית ברמתPolicy

, חסימה של פורטים, כתובות רשת( תקשורתUSB)...וכו

.קבצי מערכת וקבצי פרוייקטים

SCADAנתק חיבורי רשת מיותרים לרשת ה

SCADAהקשחת עמדת שרת ה

הגדרת תכונות אבטחה בשרת כדי לספק רמה מקסימלית של ערוך תהליך הערכת סיכונים מעמיקה של ההשלכות של צמצום רמת אבטחה

האבטחה.

נתח את נקודות תורפה שזוהו על מנת לקבוע את משמעותם, ולנקוטבפעולות מתקנות או מניעתיות על פי צורך.

עובדים שיכולים לספק תובנות לגבי נקודות תורפה של. הם עובדים עם המערכת יום יום SCADAרשת ה

ולעיתים יש להם תובנות לגבי הפגיעויות האפשריות של במתקן.SCADAרשת

וכו...Auditבצע ביקורת תקופתית טכנית לגבי לוגיים

” כדי לזהות ולהעריך תרחישי פגיעה Red Team“להקים צוותים SCADAאפשריים במערכת ה

להגדיר בבירור תפקידים, תחומי אחריות וסמכויות למנהלים,מנהלי מערכת Cyber Securityומשתמשים בתחום

הקמת מבנה ארגוני המגדיר את התפקידים ותחומי אחריות המזהה בבירורכיצד בעיות אבטחת הסייבר הסלימו ולמי יש להודיע בשעת חירום.

להקים תכנית התאוששות מאסון, המאפשרת להתאוששות מהירה מכלמצב חירום )כולל מתקפת סייבר(.

להקים גיבויי מערכת ותוכניות התאוששות מאסון

ברמת PULSEמה עשינו באפקון עם תוכנת

אבטחת מידע?

ביצענו פעילות מקיפה של בדיקת התוכנה בשת"פ עם חברת אבטחת מידע מתמחה בתחום לצורך ביצוע הפעולות הבאות:

בדיקת חדירות מקיפה משלובת לצד הServer וגם לצד ה Client:לרבות

תקשורת

Penetration tests

Secure system design review

Dedicated Code review

Attack on Paper

בשת"פ עם ראא"מ PULSEהקשחת

.תצורת שרת / לקוח

)ניתוק סביבת התפעול )והפיתוח( מהשרת )אין שיתוף קבצים

תאימות לעבודה מול תחנות עבודה מוקשחות

– הזדהותAuthentication מול Windows – מע' ההרשאות של האירגון( Active Directory)

תלת מימדית – רמת הרשאה, מידור גיאוגרפי, מידור מודול הרשאהפונקציונאלי

- הצפנת המידע בין התכנות לשרתEncrypted WCF

– רישום פעולות מפעיל וניסיונות כניסה למערכת שגוייםAudit Trail.בצד שרת

SQL DB

Security Server

ETH SWITCH

Pulse Remote HMI Client

BMS Server SQL

DBSQL DB

Process. Server

בשת"פ עם ראא"מ PULSEהקשחת

מניעת( קוד התוכנה מעורבל ומוצפןHacking ומוגן בפני )SQL-Injection

בכלי שימושMcAfee Windows Embedded White list לנעילת ספריות בדיסק בפני שינוי

מובנה להגנה בפני התקפת מנגנוןBuffer Overflow

אופצייה להצפנת המידע בדיסק הקשיח והצמדתו לחומרת מחשב ייעודית

אופצייה לעבודה מתחנה מוקשחת ע"ג מעה"פWindows 7 Embedded

הגישה ל הגבלתCertificate.בצד השרת

סיסמאות מוצפנות במסד הנתונים. שמירת

מה בהמשך...

כיום פיתוח מואבטח הוא חלק מהDNA.של בית התוכנה

תהליך בדיקות הQA כולל בדיקות הקוד המאובטח תוך בדיקת תסריטי נסיונות פריצה שונים.

עולם הסייבר מתקדם ומשתנה כל הזמן, לכן אנו דואגים להתעדכן לגביהמגמות השונות בתחום.

תודה על ההקשבה

נשמח להעביר יותר פרטים ולהציג את

המערכת בדוכן שלנו