Zero Trust - czy da się go stosować w sieciach przemysłowych?

Przemysł 4.0 a Zero Trust security

Autor:


04.01.2022

Idea Zero Trust, czyli koncepcja zabezpieczenia usług i urządzeń bazująca na domyślnym braku zaufania, którą możemy zastosować w Przemyśle 4.0. to temat odmieniany w IT przez wszystkie przypadki. Wydawałoby się, że nie ma już firmy, która nie wykorzystuje idei Zero Trust. Rzeczywistość nie jest jednak aż tak kolorowa. 

 

Jakie problemy i wyzwania stawia przed nami Przemysł 4.0 w kontekście bezpieczeństwa? Odpowiedzi na te pytania przedstawimy w poniższym materiale. Będą one bazowały na widocznych trendach w branży produkcyjnej, a także wnioskach płynących z doświadczeń zdobytych w ramach prowadzonych przez Grandmetric audytów bezpieczeństwa.

 

Zacznijmy od początku.

Przykładowa architektura sieci w OT i zagrożenia, na jakie jest narażona

Sieć w firmach produkcyjnych zbudowana jest z trzech głównych segmentów:

  1. Enterprise Network – segment sieci zapewniający m.in. dostępność systemów IT, dostęp do Internetu, podłączenie użytkowników

  2. Control Network lub Supervisory Network – segment odpowiedzialny jest za kontrolowanie procesu produkcji
  3. Field Network – sieć, która łączy urządzenia wykonawcze jak sensory, aktuatory, sterowniki PLC, czy maszyny HMI (Human Machine Interfaces)
Segmentacja sieci w zakładach produkcyjnych

Rys.1 Segmenty sieci w firmach produkcyjnych

Wszystkie te struktury łączy typ transportu danych oparty o protokoły Ethernet i IP. Ponieważ stos TCP/IP działa w każdym z wymienionych segmentów, znane problemy klasycznych sieci, a w nich wektory ataku, stają się problemami także sieci krytycznych, w ramach których prowadzona jest produkcja. 

 

Co to oznacza?

 

Potencjalny atakujący może użyć tych samych wektorów ataku, które wykorzystuje w przypadku poszukiwania luk bezpieczeństwa w środowiskach sieciowych. Nie będzie miało znaczenia, czy podłączy się do sieci bezpośrednio, czy skompromituje nam jeden z trzech wskazanych segmentów sieci, a skutki takich działań mogą być nieporównywalnie gorsze.

 

Problemy charakterystyczne dla sieci rozgłoszeniowych (broadcast), związane są najczęściej z wykorzystaniem ułomności, czy też specyfiki protokołów takich jak ARP, DHCP, w konsekwencji prowadząc do możliwości wykorzystania tzw. spoofingu. Spoofing to podszywanie się pod inne urządzenia w sieci wykorzystując mechanizmy wymiany informacji w sieciach Ethernet i IP. Takie działania mogą prowadzić do destabilizacji usług poprzez ataki DoS / DDoS, lub wyłudzenie informacji, a w przypadku sieci OT zmianę rozkazów / poleceń, wtedy mamy do czynienia z atakmi typu MITM (Man in the Middle). W przypadku tych ostatnich atakujący wykrada dane, uczestnicząc w wymianie informacji między operatorami a urządzeniem końcowym. 

 

Dyskutując o problemach w rzeczywistości Enterprise IT, możemy rozmawiać o analogicznych problemach w sieciach krytycznych firm produkcyjnych.

 

Przemysł 4.0, kolejne wyzwania w zakresie bezpieczeństwa

Mówiąc o Przemyśle 4.0, musimy być świadomi kolejnych wyzwań dyktowanych przez ogólne trendy technologiczne, a co za tym idzie zapewnienie bezpieczeństwa elementów infrastruktury jako całości w architekturze Industry 4.0.

 

Przede wszystkim wyzwania te mogą być związane z:

  • sensorami pojawiającymi  się w ramach systemów Internet of Things czy Industrial Internet of Things (IIoT)
  • przetwarzaniem danych w chmurach publicznych lub prywatnych, które są wyniesione poza przedsiębiorstwo
  • ideą Digital Twin, czyli odwzorowania cyfrowego procesu produkcji bądź całej fabryki w chmurze, gdzie zachodzą wszystkie procesy obliczeniowe 
  • coraz bardziej powszechną pracą zdalną użytkowników, mobilnością operatorów i serwisantów, którzy poruszają się w sieci jak i poza nią, niejednokrotnie z użyciem obcych urządzeń końcowych
Bezpieczeństwo sieci w zakładach produkcyjnych
Rys. 2 Wyzwania dla bezpieczeństwa sieci, Industry 4.0. Źródło: Cisco.

Model Zero Trust

Wszystkie te wyzwania spowodowały, że w sieciach OT zaczęto myśleć o idei Zero Trust, znanej i funkcjonującej w sieciach IT Enterprise już od kilkunastu lat.

Czym właściwie jest to Zero Trust?

W dużym uproszczeniu możemy powiedzieć, że jest to idea mówiąca o tym, że w kontekście naszej sieci, systemów, i użytkowników domyślnie nie ufamy niczemu ani nikomu, kto chce się do niej podłączyć. Natomiast naszym zadaniem jest dokładna weryfikacja kontekstu takiego podłączenia w ramach: rodzaju urządzenia, miejsca jego połączenia i uprawnień, jakie w związku z tym może otrzymać.

W idei tej definiujemy trzy obszary, w których powinna być stosowana i w ramach których tworzy się cały kontekst:

  • Workplace –  miejsce pracy użytkowników i urządzeń
  • Workforce – tożsamość użytkowników, operatorów, inżynierów i innych pracowników
  • Workload – miejsce, w którym przechowujemy dane, hostujemy aplikacje, które realizują dla nas konkretne zadania
Zero Trust Workforce Workplace Workload
Rys. 3 Obszary stosowania Zero Trust

Cztery główne filary idei Zero Trust

Zero Trust dla sieci OT opieramy na kilku podstawowych elementach, o które należy zadbać. 

Mówimy tutaj o:

  • Endpoint Visibility, czyli widoczności urządzeń podłączonych do sieci
  • Endpoint Compliance, czyli zgodności tych urządzeń z polityką i tzw. scoringiem, czyli oceną ryzyka
  • Network Segmentation, czyli segmentacja lub mikrosegmentacja w zależności od porządanej architektury
  • Threat Detection & Response, czyli detekcja i konkretne działanie zapobiegawcze
Zero Trust w Przemysł 4.0
Rys. 4 Filary bezpieczeństwa w modelu Zero Trust. Żródło: Cisco.

Co kryje się pod tymi pojęciami i co powinniśmy zrobić, aby nasza sieć OT działała zgodnie z ideą Zero Trust?

Spróbujmy odpowiedzieć na te pytania, analizując każdy z czterech elementów. 

Endpoint Visibility – WIDOCZNOŚĆ

Widoczność to przede wszystkim świadomość tego, co dzieje się w naszej sieci. Dlaczego to tak istotne? Gdy w sieci powstanie anomalia, a brakuje nam wglądu w sieć – przede wszystkim o tym nie wiemy, a co za tym idzie – nie możemy zlokalizować problemu ani poznać jego przyczyny. W efekcie nie jesteśmy w stanie szybko zareagować i podjąć działań, aby zapewnić bezpieczeństwo naszej sieci. 

To, co dzieje się w sieci możemy widzieć np. za pomocą sensorów zagnieżdżonych w urządzeniach Industrial Ethernet. Ich zadaniem jest raportowanie tego, co widzą do systemu centralnego np. Cisco Cyber Vision. Dzięki temu jesteśmy w stanie zobaczyć relacje między poszczególnymi urządzeniami oraz komunikację, która istnieje między nimi. W kolejnym kroku może posłużyć to nam do wprowadzenia prawidłowej izolacji urządzeń lub segmentacji sieci. 

Endpoint Visibility
Rys. 5 Widoczność urządzeń końcowych w Cyber Vision

Endpoint Compliance – ZGODNOŚĆ

Kolejny z elementów pozwala określić bezpieczeństwo podłączonych urządzeń końcowych, które powinny być zgodne z określoną polityką. Dlaczego jest to ważne?

W sytuacji, kiedy niezidentyfikowane urządzenie podłącza się do naszej sieci i jest niezgodne z naszą polityką lub jego oprogramowanie jest podatne na zagrożenia, powinno zostać odrzucone lub skierowane do segmentu, który umożliwi bezpieczne wykonanie poprawek. Tak zadziała Endpoint Compliance. 

Element ten posługuje się dwoma zasadniczymi wyróżnikami. Pierwszy z nich to Common Vulnerabilities and Exposure (CVE). Jest to klasyfikacja i opis znanych zagrożeń związanych z konkretnym urządzeniem lub jego firmware. Pozwala na dokładniejsze podjęcie decyzji o tym, czy dane urządzenie może działać w naszej sieci. Drugim wyróżnikiem jest Risk Score, czyli parametr określający poziom ryzyka w odniesieniu do podłączającego się urządzenia.

Endpoint Compliance
Rys. 6 Endpoint Compliance w Cyber Vision. Źródło: Cisco.

Network Segmentation – SEGMENTACJA

Mówiąc o sieciach OT i idei Zero Trust, nie możemy pominąć segmentacji. W praktyce polega ona na izolacji poszczególnych części sieci, a następnie definicji dozwolonej komunikacji pomiędzy poszczególnymi segmentami. Najczęściej segment to grupa urządzeń, które naturalnie komunikują się między sobą. Istotne jest to, że segmentacja naturalnie izoluje urządzenia poszczególnych stref, które nie potrzebują komunikować się ze sobą. Tym samym zmniejsza np. prawdopodobieństwo rozprzestrzeniania się ataku na całą sieć, jeśli dojdzie do kompromitacji jednego z segmentów.

Network Segmentation
Rys. 7 Polityki segmentacji sieci w CyberVision. Źródło: Cisco.

Threat Detection & Response – DETEKCJA i REAKCJA NA ZAGROŻENIE

Fakt, że wiemy co dzieje się w naszej sieci oraz to, że dołączamy tylko te urządzenia, które są zgodne z naszą polityką, wcale nie gwarantuje, że unikniemy ataku na naszą sieć.

Powinno być tak, że system, który realizuje ideę Zero Trust, umożliwia wykrywanie zagrożeń, a potem prowadzi lub pomaga w ich eliminowaniu. System wykrywając podejrzane zachowanie w sieci może zareagować i np. odciąć podejrzane urządzenie od sieci.

Threat Detection and Response
Rys. 8 Wykrywanie anomalii w systemach przemysłowych za pomocą Cyber Vision. Źródło: Cisco.

Czy potrzebujemy Zero Trust w naszych sieciach?

Chcąc odpowiedzieć na to pytanie, powinniśmy zacząć od tego, aby powiedzieć sobie na jakim etapie obecnie jesteśmy. Jak wygląda nasza sieć, kiedy weźmiemy pod lupę jej bezpieczeństwo? Nasze audyty pokazują, że stosunkowo łatwo można dostać się do sieci przewodowej lub bezprzewodowej w sposób nieautoryzowany, co może prowadzić do poważnych incydentów bezpieczeństwa. Wiemy, że sieci OT są krytycznym obszarem firm produkcyjnych, a mimo to ich bezpieczeństwo pozostaje na relatywnie niższym poziomie niż w systemach IT Enterprise.

Co oddala, a jednocześnie przybliża do Zero Trust?

Argumentem wskazywanym jako lepsze rozwiązanie od zabezpieczenia logicznego jest fizyczna kontrola pomieszczeń. Podczas prowadzonych audytów obserwujemy jednak, że taka kontrola jest prowadzona przez człowieka, który działa (bądź nie) według określonej procedury. Niejednokrotnie dowodzimy, że ochrona fizyczna jest niewystarczająca, a procedury nie przewidują chociażby ataków z grupy social engineering w konsekwencji prowadząc do skutecznej kompromitacji infrastruktury.

Kolejnym elementem jest brak segmentacji (czasem może być to pożądane, bo nie we wszystkich przypadkach segmentacja jest panaceum), a także brak aktualizacji systemów, które kontrolują produkcję i realizują usługi. Ostatnim elementem jest brak monitoringu aktywności w ramach sieci OT / IT.

Badania pokazują, że od momentu ataku do momentu kiedy dział IT jest w stanie go zidentyfikować, mija ponad rok (jeśli mowa o atakach celowanych, np. ATP). W tym czasie atakujący może zrobić wiele.

Wielokrotnie bywa, że decyzja aby wdrożyć model Zero Trust następuje po audycie, w trakcie którego przeprowadzamy kontrolowany atak, który wskazuje szereg podatności. Mamy kilka przygotowanych scenariuszy, które pokazują, jak łatwo można włamać się do sieci, kiedy nie posiadamy zabezpieczeń sieci, użytkownika oraz danych.

Wnioski z audytów, czyli jak łatwo zaatakować sieć w zakładzie przemysłowym, która nie działa w oparciu o model Zero Trust

Na bazie naszych doświadczeń z audytów i testów penetracyjnych przeprowadzonych w zakładach produkcyjnych pokażemy kilka przykładów, jak można skutecznie zagrozić sieci, czy systemom (w tym OT).

Testowanie infrastruktury IT to z reguły proces, w którym nie ma reguł. Oznacza to, że dozwolone są wszystkie metody (w granicach etycznych) prowadzące do określonego rezultatu. Poniżej przytoczyłem kilka przykładowych podatności i toków myślenia, które do ich wykrycia doprowadziły.

Dwie pieczenie na jednym ogniu

W ramach celów jednego z audytów należało sprawdzić odporność dostępowej sieci Wi-Fi na podłączenie bez uwierzytelnienia, a także bezpieczeństwo systemów IT, w tym serwery poczty hostowane on-premise w sieci klienta.

Testerzy dostrzegli potencjalną możliwość wykorzystania jednego z urządzeń – nota bene stojącego w korytarzu strefy chronionej należącej w części procesowej budynku (OT) – jako kandydata do próby sforsowania zabezpieczeń. Była to drukarka, z jednej strony podłączona do gniazda Ethernet, a z drugiej mająca włączony interfejs Wi-Fi. Traf chciał, że gniazdo Ethernet było podwójne (2xRJ45) i aktywne. Po podłączeniu się do wolnego slotu tester dostał się na interfejs drukarki uzyskując prawa administratora (słabe hasło)! Przeszukując ustawienia urządzenia uzyskaliśmy informację o:

a) metodzie podłączenia do Wi-Fi (PSK), co ułatwiło nam złamanie klucza współdzielonego w ok. 15 min.

b) ustawieniach serwera poczty e-mail

c) użytkownikach, loginach i mailach istniejących w firmie

Okazało się, że nawiązując komunikację z serwerem poczty, bez dodatkowych poświadczeń, korzystając tylko z wiedzy o ustawieniach możemy wysyłać dowolne wiadomości. 2 cele zostały osiągnięte, ale okazało się po chwili zastanowienia, że jeśli możemy pisać w ramach poczty firmowej, możemy spróbować udzielić dostępu do pomieszczeń chronionych w strefie OT poprzez przygotowanie odpowiedniej wiadomości. Co udało się wykonać po ok. 20 minutach.

Social engineering
Rys. 9 Uzyskanie dostępu do adresów e-mail i sieci Wi-Fi przez słabo zabezpieczoną drukarkę.

Co ciekawe, penetrując głębiej możliwości związane z aktywnym gniazdem Ethernet, otwiera się dodatkowo inna gałąź możliwości. W sytuacji, gdy sieć ma „płaską” strukturę (bez segmentacji), w ciągu kolejnych kilku minut możemy uzyskać listę hostów (urządzeń) wraz z ich potencjalnymi podatnościami. Dane te możemy przeanalizować i rozpocząć ataki na urządzenia w OT, IT i wszystkie przed którymi nie jesteśmy wyizolowani.

Na co powinniśmy jeszcze wskazać? W dobie zmasowanego zastosowania urządzeń i systemów IIoT co raz częściej widzimy wykorzystanie transmisji Wi-Fi zabezpieczonej metodą PSK. Znając lub wydobywając klucz współdzielony możemy atakować aplikacje w ramach OT, IIoT, podszywać się pod urządzenia i np. zmieniać parametry odczytywane przez sensory, które dalej powodują konkretne działania wynikowe.

Co się dzieje, gdy brakuje segmentacji sieci?

Skutkiem braku właściwej segmentacji może być stosunkowo proste otrzymanie informacji o wszystkich urządzeniach podłączonych do sieci (skanowanie). Poza tym prowadząc atak, atakujący łatwo wykorzysta ten fakt wysyłając kilka pakietów po to, aby podszyć się pod urządzenie, przez które przechodzi komunikacja np. do ważnych serwerów, ważnych stacji operatora itp. Atak Man In The Middle, bo taką nazwą określa się powyższy scenariusz, prowadzi do możliwości podglądania, personalizowania, zmiany komunikatów, takich jak np. instrukcje do sterownika PLC.

Atak Man In The Middle
Rys. 10 Atak Man in the Middle
Podgląd z CCTV
Rys. 11 Przejęcie dostępu do kamer CCTV.

Kolejną konsekwencją dostępu do listy urządzeń w sieci bez segmentacji jest otrzymanie danych urządzeń CCTV, co może niekoniecznie być celem samym w sobie, ale umożliwi podgląd i wyciąganie wniosków potrzebne w kolejnych krokach przejmowania kontroli nad infrastrukturą i procedurami.

Czym skutkuje brak monitoringu sieci?

Realizując projekty pentesterskie w ramach naszych audytów, w zdecydowanej większości przypadków nikt z użytkowników czy działu IT nie zauważa, że jesteśmy w sieci od jakiegoś czasu. Oczywiście poza osobami wtajemniczonymi, które zleciły nam “kontrolowane włamanie”.

Jest to dowód na to, że warto monitorować nietypowe zjawiska, jakie pojawiają się w naszej sieci.

Przykłady ataków, ciąg dalszy

Firma posiada serwer NFS – Network File System, na którym przechowywane są backupy. Wyszukujemy go bez większych problemów, ponieważ struktura sieci jest płaska, dostajemy się na niego ponieważ nie wymaga to dodatkowych uprawnień. Na nim znajdujemy mnóstwo poufnych informacji służących nam do rozwinięcia i dalszego prowadzenia ataku.

Kolejnym przykładem jest wykonanie kodu PHP na serwerze, który umożliwia nam wydobycie haseł. Może on dotyczyć zarówno serwera SCADA jak i innych serwerów w obszarach krytycznych, a także serwisów w obszarze IT Enterprise.

Atak na sieć OT
Rys. 12 Wydobycie haseł jako rezultat skanowania sieci bez segmentacji

Kolejnym przykładem może być dostęp do serwera Windows z Active Directory. Został on zrealizowany z poziomu salki gościnnej (dowolny gość „z ulicy” lądując w sieci dla gości może osiągnąć serwer AD).

Swoją drogą, biorąc pod uwagę tego typu atak warto sobie uświadomić, że wiele systemów odpowiedzialnych za kontrolę w sieciach OT (Supervisory) pracuje w oparciu o system Windows. W przypadku ataku może dość łatwo dojść do przejęcia kontroli administracyjnej nad naszym serwerem. Poniżej PoC dla Blue keep

Dostęp do Windows Servera z Active Directory.
Rys. 13 Atak na RDP w systemie Windows.

Podsumowanie

Jak już wiemy, Przemysł 4.0 stawia przed działami tzw. automatyki oraz działami IT spore wyzwania w kontekście bezpieczeństwa – jeżeli nie zaadresujemy ich w skończonym czasie, mogą stać się krytyczne dla funkcjonowania całego biznesu. Chcąc podjąć jakiekolwiek działania w zakresie zapewnienia bezpieczeństwa naszej infrastruktury, w pierwszej kolejności musimy odpowiedzieć na pytanie, gdzie jesteśmy dzisiaj, w tym, jaki jest stan naszych zabezpieczeń. 

Kiedy już ustalimy, jaki jest stan naszej wiedzy i bezpieczeństwa naszej infrastruktury, jakie istnieją z tym związane ryzyka, możemy zacząć projektować, a później wdrażać ideę Zero Trust. Jak pokazaliśmy w naszym materiale, idea Zero Trust jest w stanie sprostać licznym wyzwaniom, a jej postulaty mogą być fundamentem architektury Przemysłu 4.0. 

Czy rozwiązania w zakresie Zero Trust są identyczne dla każdego?

Nie. Musimy pamiętać o tym, że nie jest to rozwiązanie „z pudełka”. Decydując się na implementację idei Zero Trust w naszej organizacji, w pierwszej kolejności musimy przeanalizować jej wykonalność przez pryzmat naszego przypadku: nasz proces produkcji, systemy funkcjonujące w naszej firmie, kierunki biznesowe w jakich zmierza nasza firma. Warto też zdać sobie sprawę, jak pracujemy, gdzie jest nasze miejsce pracy, w jaki sposób podróżują nasi użytkownicy, specjaliści i kontraktorzy, i jak będzie wyglądało to w najbliższej przyszłości. 

Opisane informacje są istotne, ponieważ każda sieć jest inna, tak jak różne są charaktery prowadzonych biznesów. Chcąc wdrożyć ideę Zero Trust, musimy poznać wszystkie ich aspekty rzutujące na bezpieczną infrastrukturę IT i OT.

Author

Marcin Bialy

Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Sign up to our newsletter!


Grandmetric