האם תדע לזהות את ההתקפה הבאה על רשת ה-SCADA שלך?
מערכות ICS הופכות ליעד מושך ואטרקטיבי מאוד עבור תוקפים ● בינת אלקטרוניקה מייצגת את SecurityMatters בישראל, המביאה מענה ייחודי להתקפות על רשת SCADA
בדצמבר אשתקד (23.12.15) בפעם הראשונה בהיסטוריה, התרחשה מתקפת סייבר חמורה על התשתית החיונית של מדינה וגרמה להפסקת חשמל חמורה.
במשך קרוב לשעה, חברת החשמל האוקראינית סבלה מחדירה של גורמי צד שלישי לתשתית ה-ICT/OT שלה. במהלך פריצה זו, 30 תחנות משנה "נותקו" מרשת החשמל, והובילו להפסקת חשמל עבור כ-80 אלף קטגוריות שונות של לקוחות.
מתקפה מתואמת בת שלושה שלבים
● תוכנה זדונית, שאפשרה כנראה גישה לרשת כדי לגרום נזק למערכת בקרת הפיקוח ומערכות קבלת הנתונים (SCADA).
● מתקפת DDoS (מניעת שירות מבוזרת) על המוקדים הטלפוניים של חברות השירותים כדי למנוע מהלקוחות מלדווח על הפסקת החשמל.
● פתיחת המפסקים בתחנות המשנה, שבוצעה ככל הנראה על-ידי מתן פקודה ישירה של התוקפים גרמה להפסקת החשמל.
בהינתן הנסיבות, חברות השירותים חידשו באופן זריז ואפקטיבי במיוחד את אספקת החשמל ללקוחותיהן. היות ובקרת תהליכים מרוחקת באמצעות מערכת ה-SCADA שלהן הייתה כמעט בלתי אפשרית, נשלחו טכנאיי שטח לכל תחנות המשנה המושפעות כדי לסגור באופן ידני את המפסקים הפתוחים ולהחזיר את המערכת למצב מתפקד.
האם ניתן היה למנוע את ההתקפה?
סבירות גבוהה שהפקודה לפתיחת מפסקי תחנות המשנה ניתנה על-ידי התוקפים מתחנת עבודה מרוחקת. פקודה זדונית זו יכלה לאתר מערכת SilentDefense של SecurityMatters על ידי ניטור רשת ה SCADA.
בעת הזיהוי הייתה מוצגת למפעילים ההתראה והיה מונפק להם ניתוח של המידע שנאסף וכך הם היו יכולים להבין את המצב וליזום פעולות מתקנות.
הפתרון – SilentDefense
בינת אלקטרוניקה, מקבוצת רד-בינת, חברה לאחרונה ל-SecurityMatters ההולנדית ומייצגת אותה בישראל באופן בלעדי.
הפתרון הייחודי הוא ה-SilentDefense, פלטפורמת ניטור ובינה מתקדמת עבור רשתות ICS/SCADA והיא נמצאת בשימוש על-ידי מפעילי תשתיות חיוניות ברחבי העולם.
SilentDefense מנטרת ומנתחת בעקביות תקשורת ברשת ומשווה אותה ל-Base Line של פעולות חוקיות/רצויות. היא משתמשת במסד נתוני האיומים התעשייתיים של SecurityMatters כדי לדווח בזמן-אמת על בעיות ואיומים ברשתות ובתהליכים של ICS/SCADA כגון:
● ניסיונות חדירה וחדירות מתמשכות.
● התקנים שאינם פועלים באופן תקין והתקנים שאינם מוגדרים כראוי.
● אנומליות של התקנים ברשת.
● פעולות לא רצויות של תהליכים.
● טעויות תפעוליות.
● מתקפות אפס ימים ומתקפות ידועות.
איומים אלה מזוהים ומוצגים למפעיל בשתי צורות עיקריות:
● ניתוח חזותי: "ייצוג גרפי" של הרשת מאפשר למפעיל לראות/לזהות/לנתח התנהגות רשת חריגה.
● התראות בזמן-אמת: SilentDefense מיידעת את המפעיל על התנהגות רשת שגויה או בלתי צפויה ומספקת לו את כל המידע הדרוש כדי להגיב לאירוע.
זיהוי המתקפה
ארגונים רבים בתעשייה הקריטית לא בהכרח מכירים בעובדה כי לצד היתרונות הרבים וההתקדמות הטכנולוגית בתהליכים קריטיים אלו, קיימת גם חשיפה משמעותית שהולכת ונתפסת כמוקד משיכה אטרקטיבי עבור תוקפים.
כדוגמת ההתקפה באוקראינה, הנזקים עלולים להיות קטסטרופליים למדינה ולאוכלוסייה ועל כן יש "להצטייד" בכלי אבטחה נכונים. SecurityMatters היא הראשונה לתת מענה ייחודי למטרה זו.