Cyberzagrożenia: Czy Twoja strategia bezpieczeństwa jest skuteczna?

Obrona przed atakami typu ransomware

Teraz, gdy serwery i stacje robocze znów działają, systemy produkcyjne takie jak systemy sterowania, wizualizacji i kontroli partii wznowiły pracę, a zakłady przemysłowe kontynuują produkcję, nadszedł czas na refleksję dotyczącą tego, co się wydarzyło.

Pamiętam bardzo dobrze jak to się zaczęło. Na stronach internetowych pojawiły się nagłówki “Ransomware!, systemy w zakładach produkcyjnych nie działają, produkcja została zatrzymana!” To nie były informacje, których oczekiwałem tuż po przebudzeniu  w letni poranek.

Sprawcą okazało się złośliwe oprogramowanie o nazwie Nyetya lub NotPetya. Początkowo wydawało się, że jest to program typu ransomware (szantażujący), ale NotPetya okazał się tak naprawdę oprogramowaniem typu wiper (czyszczącym twarde dyski), rozprzestrzeniającym się w taki sam sposób, jak robaki komputerowe. Od tego momentu nazywaliśmy go Robakiem-Wiper.

Zespoły, które miały przygotowany plan, podjęły działania skierowane na osiągnięcie zamierzonego celu. Skuteczna reakcja polegała zwykle na postępowaniu wedle procesu, chociażby takiego jak opisany w Computer Security Incident Handling Guide (specjalna publikacja 800-61 wydana przez National Institute of Standards and Technology).

W pierwszym kroku przeprowadzona została ocena wielkości oddziaływania i analiza przyczyny wystąpienia zdarzenia, które miały na celu podjęcie właściwych kroków, aby powstrzymać powstające szkody. Niestety w wielu przypadkach nie było to możliwe.

W niektórych firmach prawie wszystkie komputery z systemem Windows podłączone do przemysłowego systemu sterowania zostały zaatakowane przez Robaka-Wiper NotPetya. Ponieważ szanse na odzyskanie zainfekowanych systemów były niewielkie, kolejnym logicznym krokiem było wykorzystanie istniejących kopii zapasowych do przywrócenia systemów. Jeśli kopie zapasowe nie były wykonywane, wszystkie systemy produkcyjne musiały zostać wdrożone od podstaw, co było niezwykle kosztownym i czasochłonnym przedsięwzięciem.

Szczęśliwcy posiadający kopie zapasowe mogli mieć nadzieję na uniknięcie najgorszego, ale rzetelne podejście do odzyskiwania systemów wymagało, aby przywrócone systemy znajdowały się w osobnej sieci, co pozwoliłoby zapobiec ich ponownemu zainfekowaniu. Szybkie działania ekspertów i inżynierów odpowiedzialnych za cyberbezpieczeństwo pozwoliły na uzyskanie kluczowych informacji, dzięki którym można było podjąć działania zapobiegające kolejnym atakom.

  • Zainstalowanie aktualizacji bezpieczeństwa MS17-010 zapobiegającej uszkodzeniu systemu przez exploity (programy wykorzystujące luki bezpieczeństwa) EternalBlue i EternalRomance.
  • Wyłączenie wmic.
  • Zastosowanie poprawki w rejestrach wyłączającej wszystkie udziały administracyjne takie jak C$ i ADMIN$, aby zablokować jeden z kierunków rozpowszechniania.

Niekiedy przywracanie systemu okazywało się bardzo trudne, ponieważ niektóre metody rozpowszechniania się Robaka-Wiper miały również kluczowe znaczenie dla działania aplikacji przemysłowych, tak więc ograniczenie ich funkcjonalności nie zawsze było w ogóle możliwe.

Wnioski? Najbardziej skutecznym środkiem zapobiegawczym przeciwko Robakowi-Wiper jest przestrzeganie zasad bezpieczeństwa, czyli działanie od „podstaw”. Istnieją na ten temat liczne publikacje, ale kilka kluczowych kwestii to:

  • Usunięcie luk bezpieczeństwa w systemie przed uruchomieniem wersji produkcyjnej
  • Stosowanie kont użytkowników z ograniczonymi prawami dostępu, jeśli jest to możliwe
  • Instalowanie aktualizacji bezpieczeństwa i inwestowanie w skuteczne oprogramowanie antywirusowe i bezpieczeństwo punktu końcowego

We wdrożeniu dobrych praktyk dotyczących bezpieczeństwa w środowisku przemysłowego systemu sterowania mogą pomóc usługi wsparcia świadczone w kluczowych obszarach.

Zweryfikowana subskrypcja aktualizacji bezpieczeństwa systemu Windows

Tego typu usługi subskrypcji pozwalają uzyskać najnowsze zweryfikowane aktualizacje bezpieczeństwa do sytemu Windows wykorzystywanego w przemysłowej infrastrukturze informatycznej. Na przykład, my weryfikujemy aktualizacje w naszym bezpiecznym środowisku testowym, aby zminimalizować wpływ aktualizacji na aplikacje. Aktualizacje są udostępniane poprzez połączenie serwera usług Windows Server Update Services (WSUS) użytkownika aplikacji z zarządzanym przez nas serwerem WSUS znajdującym się w chmurze obliczeniowej.

Po tym, jak aktualizacje bezpieczeństwa zostają udostępnione na serwerze WSUS użytkownika aplikacji, może on wdrażać je w systemie zgodnie z ustalonym przez siebie harmonogramem. W razie potrzeby, nasi specjaliści w dziedzinie sieci i bezpieczeństwa mogą również pomóc we wdrożeniu/modyfikacji zakładowej polityki i procedur dotyczących instalacji aktualizacji bezpieczeństwa

Zdalne zarządzanie aktualizacjami bezpieczeństwa I oprogramowaniem antywirusowym

Ten rodzaj usług pozwala zmniejszyć ryzyko związane z wystąpieniem opóźnień w instalowaniu aktualizacji bezpieczeństwa systemu Windows, nieaktualnymi definicjami wirusów oraz z niewłaściwą procedurą wdrażania aktualizacji.

Możemy na przykład ustanowić bezpieczne zdalne połączenie z przemysłową infrastrukturą informatyczną użytkownika, aby monitorować poprawność jej obrazów i działania, zarządzając jednocześnie przeprowadzanymi w niej zmianami.

Następnie, we współpracy z użytkownikiem, określamy częstotliwość instalacji aktualizacji bezpieczeństwa i oprogramowania antywirusowego oraz implementujemy procedurę, która sprawdza funkcjonalność obrazów i aplikacji przed ich ponownym uruchomieniem w środowisku produkcyjnym.

Zdalne zarządzanie wykonywaniem kopii zapasowych

Usługa ta pozwala ograniczyć ryzyko związane z nieposiadaniem kopii zapasowych i/lub zdalnego dostępu do wiedzy specjalistycznej umożliwiającej szybkie przywrócenie systemów. Ponadto, gwarantuje tworzenie stabilnych kopii zapasowych, dzięki monitorowaniu ich integralności, oraz wykonywanie przywracania systemu. Przykładowe usługi mogą obejmować:

  • Instalację urządzenia do tworzenia kopii zapasowych w przemysłowej infrastrukturze informatycznej, skonfigurowanego tak, aby spełniało wymagania dotyczące częstotliwości tworzenia kopii zapasowych i przechowywania danych
  • Zdalny monitoring prawidłowego działania urządzenia do tworzenia kopii zapasowych i integralności tworzonych kopii
  • Usługa przywracania systemu z odpowiedniego obrazu, do ustalonego stanu poprawnego działania, wykonywana na żądanie

Najskuteczniejszą strategią ochrony systemów przed atakami z wykorzystaniem Robaka-Wiper, ransomware lub innego szkodliwego oprogramowania to dobre przygotowanie!

Zainstaluj aktualizacje bezpieczeństwa i zabezpiecz systemy, aby zapobiec atakowi, a jeśli jest to niemożliwe, upewnij się, że jesteś przygotowany do przywrócenia ważnych systemów produkcyjnych z kopii zapasowej.

Bycie przygotowanym oznacza możliwość szybkiego odtworzenia systemu i uruchomienia go, zamiast wykonywania ponownego wdrażania systemu produkcyjnego.

Ochroń swoje systemy przed zagrożeniami, korzystając z naszych usług bezpieczeństwa przemysłowego.

Pascal Ackerman
Opublikowane 13 Wrzesień 2017 Przez Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation
  • Kontakt:

Kontakt

Rockwell Automation i nasi partnerzy dysponują wyjątkowym doświadczeniem z zakresu projektowania, wdrażania i konserwacji automatyki.

Subskrybuj Nasz Newsletter

Poznaj ekonomiczne, przełomowe produkty, rozwiązania i narzędzia oraz innowacyjne technologie i usługi w naszym newsletter Automation Today.