Om OT-cyberattacker och hur man passerar nivå 3.5, artisten som tidigare var känd som Airgap

Författare: Ric Derbyshire

De flesta som arbetar med cybersäkerhet är bekanta med informationsteknik (IT) och företagssystem, men under det senaste decenniet har vi sett en växande medvetenhet om cybersäkerhet inom driftsteknik (OT). OT, som också brukar kallas industriella kontrollsystem (ICS), är den teknik som används för att styra och övervaka en industriell process genom att känna av och förändra den fysiska miljön i enlighet med programmeringen. Den typ av utrustning som används i sådana miljöer är bland annat programmerbara logikkontroller (PLC), fjärrstyrda terminaler (RTU) och gränssnitt för människa och maskin (HMI), varav de två förstnämnda tenderar att vara ganska känsliga vid förändringar eller oväntade variabler på grund av den öppna karaktär som krävs i sådana realtidsmiljöer. Detta ger, som ni kanske kan föreställa er, upphov till en del anmärkningsvärt intressanta säkerhetsutmaningar.

När det gäller komplexa cyberattacker med hög precision mot operativ teknik är det få som kommer i närheten av den ökända Stuxnet-attacken 2010 mot en iransk anläggning för anrikning av uran. Trots sin komplexitet och ökända karaktär var Stuxnet inte den första cyberattacken mot OT och definitivt inte den sista - vilket framgår av figur 1, som visar en tidslinje över historiska OT-attacker. Tolv år senare, och trots Rysslands mycket förväntade "cyberkrig" mot Ukraina, ser vi dock inte någon större mängd attacker som medvetet riktar sig mot OT, särskilt inte i förhållande till antalet "traditionella" IT-attacker mot organisationer (t.ex. inom tillverkningssektorn) som använder sig av OT.

Även om vi för närvarande kanske inte översköljs av komplexa attacker med hög precision mot OT, utgör sådana miljöer en rik plattform för kreativa, men ändå förödande effekter som kommer att vara lockande för ett brett spektrum av motståndares motivationer. Dessutom fortsätter erfarenheten, utbildningsinnehållet och verktygen att utvecklas, vilket stadigt minskar hindren för att genomföra sådana attacker. Allt detta leder till att cybersäkerheten inom OT är ett område som bör bevakas noga. Det kan inte längre avfärdas som en obskyr kapacitet som endast är tillgänglig för nationalstatliga aktörer. För inte så länge sedan var IT-säkerhet också en obskyr disciplin som endast var tillgänglig för dem som hade den nödvändiga kunskapen.

I det här inlägget presenteras obalansen mellan IT/OT-attacker och sedan utforskas den genom att kortfattat diskutera anatomin och de typiska säkerhetskontrollerna i en OT-miljö, för att sedan föreslå några anledningar till varför vi kanske inte ser sådana attacker ännu, och slutligen spekulera i varför och hur OT kan bli ett vanligare mål för attacker.

Man skulle kunna tro att tillverkningssektorn är särskilt måltavla för fiender. Du kanske till och med har rätt. Den taxonomi som vi använder för att definiera branschkategorier, North American Industry Classification System (NAICS[iii]), kan dock oproportionerligt nog fånga upp fler organisationstyper än andra på grund av indelningen av dess underkategorier (ett helt giltigt skäl till att taxonomier inte behöver vara balanserade). Tillverkningssektorn kan också vara mer sårbar än andra och locka till sig mer opportunistiska motståndare. Det är möjligt, även om det enligt vår mening är osannolikt, att motståndare över hela världen konspirerar mot tillverkningssektorn. Oavsett den bakomliggande orsaken råder det ingen tvekan om att företag inom tillverkningssektorn upplever mer än sin beskärda del av incidenter, attacker och kompromisser.

Oavsett om tillverkningssektorn är ett prioriterat mål för fiender eller inte, ser vi stora mängder incidenter och Cy-X-fall, men vad vi inte ser är ett proportionellt antal attacker som är direkt inriktade på OT eller den fysiska miljön (trots att de rapporteras i vissa undersökningar[iv]), vilket vanligtvis är en nyhetsvärderande händelse. Ett sådant nyhetsvärde framgår av reaktionen på incidenter som angreppen mot de iranska stålverken i juni 2022 eller attacken mot South Staffordshire Water av Cl0p i augusti 2022. I många av dessa fall, där det rapporteras att den OT har påverkats, visar det sig dock att den manuellt har pausats eller kopplats bort som en försiktighetsåtgärd under en IT-incident. I Cl0P-incidenten visade motståndarna till exempel bara att de hade tillgång till den automatiska utrustningen genom att publicera skärmdumpar av ett användargränssnitt (HMI) och inte någon faktisk fysisk påverkan. Denna trend med OT- men-inte-aktuellt-OT-angrepp kan ses tydligt i Kasperskys sammanställning från september 2022 av de viktigaste industriella cybersäkerhetsincidenterna under 2022[v], där få attacker var direkt riktade mot OT och de flesta OT-påverkan var omständlig. På senare tid har forskare ifrågasatt rapporter från en grupp som heter GhostSec, vars RTU-krypteringsattack (Remote Terminal Unit) uppenbarligen inte är så sofistikerad eller ny som hacktivistgruppen ursprungligen påstod[vi] (även om hacktivistgrupper som ger sig in på området bör tas på allvar).

Så varför får vi inte se fler rapporter om direkt påverkad OT trots att sektorer som tillverkningsindustrin uppenbarligen är så ofta måltavlor? För att besvara detta ska vi först titta på hur organisationer som använder OT kan strukturera och försvara sina tillgångar.

Alla organisationer som använder OT är inte strukturerade på samma sätt, men det finns en allmän modell som anses representera den tekniska mångfalden och strukturen som förekommer, och som brukar kallas Purduemodellen.

Purduemodellen är allmänt accepterad inom industrin och fungerar som en vägledning för dem som använder den för att definiera vissa tillgångar och deras funktioner som separata nivåer. Purduemodellen utgör ett grundläggande steg i uppdelningen av tillgångarna i en OT-miljö, vilket underlättar strategiskt arbete med nätverksavskiljning, något som ofta betonas mer i detalj i standarder och riktlinjer, t.ex. i IEC 62443:s koncept med zoner och ledningar[viii].

Nivåerna 3 till 0 kommer successivt närmare den fysiska miljön med en säkerhetsomslutning i form av säkerhetszonen:

• Säkerhetszonen omsluter hela den operativa processen, vanligtvis med särskilda nätverk och särskild teknik, i syfte att förhindra att den operativa verksamheten utgör ett hot mot den fysiska miljön eller människorna i den
• Nivå 0 består av tillgångar som sensorer, ställdon eller robotar. Det är här som den operativa verksamheten sammanstrålar med den fysiska miljön
• Nivå 1 innehåller tillgångar som PLC:er och RTU:er, som tar upp mätvärden från sensorerna och styr den fysiska miljön genom att manipulera ställdon eller robotar (eller andra enheter) i enlighet med detta
• Nivå 2 består vanligtvis av lokal övervakning och styrning, med tillgångar som HMI:er och tekniska arbetsstationer för att övervaka och konfigurera OT-utrustning
• Nivå 3 liknar nivå 2 på vissa sätt, till exempel övervakning och styrning med hjälp av HMI:er. Den är dock i allmänhet mer centraliserad och innehåller tillämpliga servrar och historiker (databasservrar för att samla in operativa processdata)

Nätverksseparation är särskilt relevant på "nivå 3.5", allmänt känd som den demilitariserade zonen (DMZ), där OT-tillgångarna i de strikt kontrollerade nivåerna 0-3 är isolerade från företagets/affärsinfrastrukturen i nivåerna 4-5. En sådan isolering är viktig på grund av OT-infrastrukturens karaktär - dessa tillgångar utför tidskritiska processer, och därför kan vissa säkerhetskontroller ge för mycket friktion, vilket kan äventyra säkerhet, tillgänglighet och integritet, som alla är av största vikt i en sådan miljö. Organisationer som tillämpar nätverkssegregering använder vanligtvis en kombination av routing, brandväggar och enkelriktade gateways (datadioder).

Separering av processer och ytterligare separering av nätverk är en av de viktigaste cybersäkerhetskontrollerna i det djupgående försvar som vanligtvis anses vara bästa praxis när det gäller att säkra OT-miljöer. Kontextspecifika enheter som PLC:er, RTU:er och inbyggda HMI:er kan i allmänhet inte köra säkerhetsagenter för endpoints, och de rigorösa och strikta processer för ändringshantering som krävs för sådana miljöer kan göra det svårt att patcha någon maskin. Så fungerar nätverkssegregationen och är det därför orsaken till att vi inte ser så många riktade attacker mot OT-miljöer? Låt oss undersöka det!

Varför ser vi inga OT-attacker?

Det finns en mängd olika anledningar till varför vi kanske inte ser rapporter om attacker mot OT eller den fysiska miljön lika ofta som vi ser mer allmänna attacker mot organisationer som använder OT. Som med de flesta komplexa problem som involverar mänskligt beteende och som vi saknar nödvändiga data för att förklara, verkar många av dessa skäl rimliga, och det är troligt att en kombination av dessa skäl är tillämplig. Låt oss därför titta på några framträdande hypoteser.

Man skulle kunna hävda att den mest sannolika orsaken till att vi inte ser så många cyberattacker som medvetet riktar sig mot OT helt enkelt beror på bristande rapportering. Om organisationer upplever attacker som riktar sig mot och orsakar allvarlig påverkan på deras OT, kanske vi inte ser några rapporter på grund av begränsningar i fråga om efterlevnad, embargon under polisutredningar eller till och med företag som håller sådana incidenter hemliga för att undvika ryktesspridning.

Det kan också vara ett felaktigt antagande att attacker som påverkar OT alltid skulle vara nyhetsvärderande händelser. Vi har redan tidigare bevittnat för tidiga rop på "cyberattack!" under incidenter, som sedan avslöjades som antingen ett tekniskt problem eller en försiktighetsavbrott/paus under en IT-incident, vilket potentiellt har skapat en kultur av "pojken som ropade på vargen". Dessutom kan det vara så att de flesta framgångsrika, OT-målinriktade attacker helt enkelt inte är tillräckligt intressanta för att rapporteras om, särskilt om de flesta motståndare som inte är bekanta med sammanhanget lanserar enkla olägenhetsattacker som PLC-stop CPU-kommandon[ix] (som stoppar styrlogiken men som lätt kan återställas). Flera exempel på olägenhetsattacker kan ses från hacktivistgruppers försök att ta sig in på OT-området. Ett exempel är Forescouts rapport där GhostSec och OneFist noterade att de använde sig av stoppkommandon för CPU, HMI-funktioner och att de satte register till 0[x].

Om motståndarna lyckas nå de drabbade organisationernas OT-miljöer har de kanske inte varit villiga att investera den extra tid och de extra pengar som krävs för att skaffa sig den nödvändiga kontextuella kunskapen och navigera genom detta hinder för att komma in. Istället kan det vara så att dessa motståndare helt enkelt äventyrar de Windows-baserade tillgångarna i den miljön, t.ex. tekniska arbetsstationer eller Windows-baserade HMI:er. Om det redan är effektivt att äventyra IT- eller Windows-baserade OT-tillgångar kanske motståndarna inte tror att avkastningen på investeringen är värd kostnaden för att lära sig en helt ny kontext för att genomföra attacker mot dedikerade OT-tillgångar[xi]. Efter att ha äventyrat Windows-tillgångarna kan motståndarna sakna den kunskap som krävs för att angripa de specifika OT-enheterna ytterligare eller, som vi såg med Cl0p:s uttalande efter deras attack mot South Staffordshire Water, kan vissa motståndarna ha ett samvete och därför inte ha lust att påverka människors säkerhet.

På samma sätt är det fortfarande inte trivialt att utföra komplexa attacker med hög precision, även om motståndarna når OT och har den kunskap som krävs för att medvetet rikta in sig på den. Till skillnad från att landa i en IT-miljö med tillgångar som vanligtvis är motståndskraftiga mot oväntad nätverkstrafik är en OT-miljö full av tillgångar som kan falla omkull bara vid åsynen av ett enda oväntat paket. Även om tillgångarna inte faller omkull kommer samma spanings- och uppräkningstekniker som används för IT-system att ge en motståndare liten eller ingen information om den fysiska process och miljö som krävs för att genomföra en komplex attack. För att samla in en tillräcklig mängd information kan processförståelse kräva mänsklig underrättelseverksamhet och fysisk infiltration av målanläggningen, exfiltrering av rör- och instrumentdiagram och annan relevant dokumentation samt kompromettering av HMI:er för att inspektera deras gränssnitt, vilket sannolikt är alltför opraktiskt eller riskfyllt för de flesta motståndares aptit. När motståndaren väl har samlat in tillräckligt med information för att förstå den fysiska processen måste de dessutom utforma och genomföra ett angrepp som orsakar den önskade effekten, vilket kan kräva att målmiljön fysiskt ominstalleras i testsyfte[xiii]. När angreppet väl har utvecklats och är redo att lanseras måste det fortfarande kringgå säkerhetsprocesserna, som kan vara fysiska implementeringar snarare än digitala, vilket gör det ännu mer komplicerat.

Slutligen (och om du är cynisk kan du kanske anse att detta är den minst sannolika av de orsaker som diskuteras i det här inlägget) är det möjligt att de befintliga bästa metoderna för försvar på djupet, med fokus på nätverkssegregering och en stark perimeter, fungerar för att förhindra att fiender och skadlig kod sprids till OT. Men i och med framväxten av industri 4.0 och Industrial Internet of Things börjar gränserna för denna perimeter att suddas ut. I många organisationer är nivå 3.5, den konstnär som tidigare kallades airgap, snabbt föråldrad på grund av internetanslutning direkt till själva OT-tillgångarna - något som skulle ha betraktats som ett helgerån för inte så länge sedan.

Låt oss fortsätta att utgå från antagandet att attacker riktade mot OT verkligen skulle vara nyhetsvärda, och eftersom vi inte översköljs av dessa nyhetsrapporter ser vi helt enkelt inte många attacker riktade mot OT. Detta är säkert ett nytt, men lukrativt, mål för motståndare att utnyttja.

Organisationer som använder OT-processer har vanligtvis mogna mätmetoder för att kvantifiera all driftstopp i ett monetärt värde per tidsperiod (t.ex. $/timme eller £/dag), vilket innebär att effekten av en avbrottstid som orsakas av en motståndare (t.ex. Cy-X som specifikt stoppar OT-processen) blir omedelbart tydlig. Andra taktiker som används av ekonomiskt motiverade motståndare kan vara (trovärdiga) hot om att skada eller manipulera den fysiska processen eller stjäla anläggningens konfigurationer, som kan innehålla kommersiellt känslig intellektuell egendom. När det gäller icke ekonomiskt motiverade OT-attacker är en annan avsedd effekt som vi historiskt sett har sett en subtil processnedbrytning, som minskar effektiviteten i en process och skadar utrustning, bland andra mindre tydliga mål som endast är kända för den motståndare som genomför en attack.

Oavsett motståndarens motivation är komplexa attacker med hög precision som riktar sig mot OT för närvarande (och lyckligtvis) relativt ovanliga. Hindren för att komma in på marknaden sänks dock och vi bör förvänta oss att OT störs genom metoder som är allt mer väl avvägda och avsiktliga, med effekter som återspeglar detta.

En ökad medvetenhet om OT-säkerhet leder till en ökning av forskningen om OT-säkerhet, vilket innebär att vi tillsammans med defensiva funktioner också ser framsteg inom offensiv attackorienterad forskning. Processförståelse på distans (PCaaD)[xiv] minskar till exempel svårigheten och den potentiella fysiska närheten som krävs för att genomföra processförståelse, vilket underlättar högprecisionsattacker mot OT med stor komplexitet. I figur 5 används en Wardley-karta för att illustrera effekten av ett verktyg som PCaaD, som förbättrar de tekniska aspekterna av processförståelse. De gröna noderna representerar kraven på hög nivå för en OT-attack, som är sammanlänkade med de svarta kanterna, medan de röda noderna, som förskjuts direkt till höger med streckade linjer, visar utvecklingen av förmågan mot att bli mer genomförbar. Det kan därför konstateras att en förbättring av utvinning och analys av OT-utrustningens kod leder till en förbättring av förmågan att förstå processen, vilket i sin tur förbättrar motståndarens förmåga att genomföra en komplex OT-attack med hög precision.

Samtidigt som forskningen om OT-säkerhet ökar, ökar också spridningen av denna forskning i form av mer varierat utbildningsinnehåll om OT-säkerhet. Oavsett om detta innehåll tillhandahålls genom akademiska kurser, kommersiella certifieringssystem, YouTube-videor eller konferensföreläsningar, konsumeras utbildning om säkerhet på OT av både cybersäkerhetsexperter och motståndare. Den kollektiva kunskapsmassan som förbättras för varje ämne kommer oundvikligen att minska hindren för att komma in, med tidigare utspridd information som samlas i kurser, böcker och videoklipp.

Ett annat hinder för inträde som kan börja erodera i ljuset av den nuvarande forskningen är den ekonomiska kostnaden för att utföra komplexa OT-attacker med hög precision. Det har spekulerats allmänt om att motståndare vid historiska attacker har försökt att säkerställa framgång genom att bygga en kopia av den anläggning som de riktar in sig på i testsyfte. Framsteg inom digitala tvillingar inom OT skulle kunna minska kravet på kostsamma fysiska tillgångar för att testa attacker.

Slutligen har historiska cyberattacker mot OT-tillgångar resulterat i ramar för skadlig kod, malware, som kan underlätta OT-specifika angreppstekniker, vilket ger motståndaren den tekniska kapaciteten utan att behöva förstå den underliggande kontextkunskapen fullt ut. Ramverk för skadlig programvara för OT anses i allmänhet vara utvecklade av aktörer på statlig nivå för specifika ändamål - bland de senaste exemplen finns Triton[xv], Industroyer[xvi] och Pipedream[xvii] - men det är inte science fiction att föreställa sig att dessa typer av ramverk så småningom kommer att byggas ut till mer omfattande, kommersiella verktygslådor.