זהירות: בקרים משמשים פושעי סייבר כאמצעי תקיפה נגד תעשיות קריטיות

במשך יותר מעשור, בקרים הנם מוקד להתקפות מתקדמות כנגד תעשיות קריטיות, אולם מחקר חדש של צוות המחקר שלנו חושף, כי תוקפים יכולים להשתמש בהם גם ככלי תקיפה. טקטיקת תקיפה זו, המכונה Evil PLC ("בקר מרושע"), משתמשת בבקרים תעשייתיים -PLC  (בקרים לוגיים מתוכנתים) במטרה לנצל תחנות עבודה של מהנדסי הבקרים כדי לחדור עמוק לרשת התפעולית ולרשתות הארגוניות.

מתקפת Evil PLC מכוונת כלפי מהנדסים המתחברים מדי יום לרשת התפעולית, מבצעים קונפיגורציות ופותרים תקלות בבקרים כדי להבטיח בטיחות ואמינות של תהליכים תעשייתיים. כאשר תוקף הופך בקר לכלי תקיפה, הוא משתמש בתחנת העבודה של המהנדס כמקור מידע וככלי גישה לכל שאר הבקרים ברשת. אחת השיטות האפשריות לעשות זאת, היא על ידי פיתוי המהנדס להתחבר לבקר שנפגע, בין היתר על ידי מצג של תקלה. המהנדס מגיב ומתחבר באמצעות יישום תחנת העבודה שלו, ומשם התוקף לוקח שליטה.

מאז ומתמיד ניסו תוקפים לשלוט בבקרים כדי לשנות את התהליכים שהם מפקחים עליהם, לגרום לשיבושים ולנזק פיזי ולאיים על הבטיחות האישית בתעשיות קריטיות דוגמת חשמל, מים ושפכים, תעשייה כבדה, ייצור ורכב. יחד עם זאת, מאחר שיישומי תחנות העבודה של מהנדסי הבקרים מהווים לעתים קרובות גשר בין רשתות טכנולוגיות תפעוליות לרשתות ארגוניות, הדבר מאפשר לתוקפים לנצל פגיעויות כדי לחדור לרשת הפנימית, או לפעול לרוחב בין מערכות ולקבל גישה לבקרים נוספים ולמערכות רגישות.

במחקר הצליח הצוות להדגים מתקפת Evil PLC כנגד שבע פלטפורמות מיצרנים שונים, כולל Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO, Emerson. יצוין, כי כל הפגיעויות שנמצאו היו בתוכנת תחנת העבודה ולא בקושחת הבקר. ברוב המקרים, נקודות התורפה קיימות מכיוון שהתוכנה נתנה אמון מלא בנתונים המגיעים מהבקר מבלי לבצע בדיקות אבטחה מקיפות.

כיצד מתמודדים עם Evil PLC?

לא קל לתקן 100% מהפגיעויות, במיוחד בתשתית קריטית, ולכן ארגונים נדרשים לנקוט צעדים נוספים כדי לצמצם סיכון למתקפת Evil PLC. בטכניקת ההתקפה של Evil PLC, הצעד הראשון הוא שימוש בבקר כאמצעי תקיפה, ולכן מומלץ להגביל את הגישה הפיזית והרשתית לבקרי ה-PLC ככל האפשר. התקנים אלו אינם נדרשים להיות נגישים חיצונית או חשופים באינטרנט. יחד עם זאת, גם גישה פנימית צריכה להיות מוגבלת למהנדסים ולמפעילים מורשים בלבד.

תהליך אבטחת החיבור לבקרי ה-PLC הוא ארוך ומייגע, וכאשר מיושם בצורה לא נכונה, הוא יכול להיות לא יעיל, לכן מומלץ לנקוט בצעדים הבאים:

פילוח רשת והגבלת גישה: השלב הראשון באבטחת החיבור לבקרי PLC הוא הגבלת הגישה על ידי פילוח קפדני של הרשת. הרשאת גישה תינתן רק לקבוצה קטנה של תחנות עבודה של מהנדסים, דבר שמקטין את שטח התקיפה באופן ניכר.

אותנטיקציה: חשוב להגדיר את בקר ה-PLC תוך שימוש במנגנון אותנטיקציה המאמת את זהות המשתמש והתחנה שלו. נכון לעכשיו, חלק מהספקים מיישמים פרוטוקולי תקשורת, בהם במקום לאפשר לכל תחנת עבודה לתקשר עם בקר ה-PLC, רק קבוצה מסוימת ומוגדרת מראש של תחנות עבודה מסוגלות ליצור אינטראקציה עם הבקר, וזאת רק לאחר הצגת אישור.

PKI: פתרון חזק יותר הוא שימוש בתשתית ציבורית מלאה של מפתחות (PKI -Public Key Infrastructure ) כדי לאמת ולהצפין את כלל התעבורה בין המשתמש, תחנת העבודה והשרת, ובקר ה-PLC. אימות הדדי, המכונה בדרך כלל TLS הדדי, מסייע לצמצם באופן משמעותי את סיכון הפריצה לנכסי הרשת התפעולית. עם זאת, המציאות היא ש-PKI עדיין לא מיושם בקווי מוצרים רבים.

ניטור תעבורת רשת: וקטור ההתקפה של Evil PLC כולל ביצוע נהלי הורדה והעלאה, אל או מתוך בקר ה-PLC. לכן, חשוב לעקוב אחר תעבורת הרשת התפעולית ולזהות אירועים מסוג זה. אם הליך כזה יתרחש באופן בלתי צפוי, הדבר יכול להעיד על ניסיון תקיפה.

הישארו מעודכנים: ככל שממשיכים לחקור את וקטור ההתקפה החדש הזה, יתגלו נקודות תורפה נוספות כמו אלו שהוצגו לעיל, וספקים יתקנו את הפגיעויות הללו.

הכותב הוא ראש צוות מחקר Team82 בקלארוטי (Claroty).