Bolt Saltwater Room
目次:
- StuxnetはSCADAを標的とし、 Stannetは、ナタンズのイランの原子力発電所でウラン濃縮遠心機に損傷を与えるのに成功しました。
- 展開されたSCADAとDCS(分散制御システム)のアプリケーションとハードウェアは、セキュリティ開発ライフサイクル(SDL)なしで開発されました.90年代後半にはマイクロソフトを考えています。そのため、バグ、脆弱性、搾取する」と述べた。それは、PLCやその他のフィールド機器は設計上安全ではなく、重要なプロセスをダウンしたり、悪意のある方法でStuxnetに改ざんするような脆弱性を必要としない」と述べている。
- 「理想的なシナリオは、工業用デバイスが設計上安全な場所であるが、現実的でなければならないが、時間がかかる」とSantamarta氏は述べている。 「産業部門は世界が離れているため、ITベンダーを含め、何かをやらなければならないことを誰もが認識している」と述べている。 ICS所有者は、これらのシステムのセキュリティを確保するための徹底的なアプローチを取るべきだとSantamarta氏は述べています。 「デフォルトでは安全ではない産業用プロトコルがあることを考慮すると、緩和とさまざまな保護レイヤーを追加することが理にかなっています。」ICSをインターネットから切り離し、隔離されたネットワークセグメントに配置し、重要なインフラストラクチャの所有者は、重要なインフラストラクチャへのアクセスに別々のネットワーク、または少なくとも個別の資格情報が必要であることを認識する必要があります」とKristensen氏は述べています。管理者の資格情報を使用して自分のシステムにログオンし、同じセッション内で敵対的なインターネットにアクセスし、電子メールを読むことはできません。重要なインフラストラクチャのオペレータに産業制御システムのセキュリティを強制する政府の規制の必要性は熱く議論されてきたトピックであり、 SCADAの多くのセキュリティ専門家は、それが良い出発点になることに同意します。しかし、これまでのところ進展はほとんど見られなかった。
脆弱性研究者の増加は、今後の産業制御システム(ICS)に注目するだろうが、専用のワークステーションまたはサーバ上で実行される監視ソフトウェアと、電気機械プロセスに接続されて電気機械プロセスを制御するコンピュータライクなプログラマブルハードウェアデバイスで構成されています。これらのシステムは、工業施設、軍事施設、配電網、配水システム、さらには公共および民間の建物でのさまざまな業務の監視と制御に使用されています。電気、清潔な水、交通機関などの潜在的な妨害が広範囲に及ぶ可能性があります。
[その他の情報:Windows PCからマルウェアを削除する方法]
マルウェアによる欠陥の公開
SCADAのセキュリティStuxnetマルウェアが2010年に発見されて以来、ITセキュリティ業界では、監視制御(データ収集)やその他の種類の産業制御システムに関する議論が多かった。StuxnetはSCADAを標的とし、 Stannetは、ナタンズのイランの原子力発電所でウラン濃縮遠心機に損傷を与えるのに成功しました。
Stuxnetは、米国とイスラエルの国家によって開発されたと思われる洗練されたサイバーウェポンで、熟練した開発者、無制限資金、制御システムの弱点について重要なインフラストラクチャ制御システムを攻撃するには、深刻な計画、情報収集、代替アクセスメソds-Stuxnetは、Natanzコンピュータシステムがインターネットから隔離されていたため、以前は未知の脆弱性が悪用されていたため、USBデバイスを介して拡散するように設計されていました。しかし、重要なインフラストラクチャの一部ではない制御システムは、熟練していない攻撃者による攻撃がますます容易になっています。これは、リモート管理の便宜のために、またICSの脆弱性に関する情報ソフトウェア、デバイス、通信プロトコルはStuxnet以前の時よりも簡単にアクセスできます。 SCADAおよびICSの脆弱性に関する詳細は、過去2年間にセキュリティ研究者によって一般に公開されており、概念実証コードが付いていることがよくあります。
「インターネットアクセス可能な制御システムデバイスの利用が増加するこの悪用が自動化されるにつれて、ICSのセキュリティ研究と評価を専門とするDigital Bondの最高経営責任者(CEO)のDale Petersonは電子メールで述べています。
しかし、インターネットアクセス可能な制御システムデバイスの大半は、ほとんどの人は重要なインフラストラクチャを検討するだろう、と彼は言った。小規模の市町村システム、ビルオートメーションシステムなどを表しています。これらのシステムは、所有および運営する会社にとって非常に重要ですが、大部分の人口や経済に影響を与えることはありません」。
潜在的に関心のあるそのようなシステムを標的とすることには、政治的動機のあるハッカー、その原因に注意を喚起することに関心のあるハッティーヴェイストグループ、企業を脅かすことに関心を持つ犯罪者、またはそれを楽しんだり、自慢しているハッカーが含まれます。
最近漏れたFBIサイバーアラートの文書によると、今年の初めに、ハッカーは、ニュージャージー空調会社のオフィスビルで運営されている暖房、換気および空調(HVAC)システムへの不正アクセスを、コントロールのバックドア脆弱性を利用してそれに接続されたボックス - Tridium製ナイアガラ制御システム。対象となる企業は、銀行やその他の事業にも同様のシステムを導入した。
ナイアガラのICSシステムの脆弱性に関する情報が、1月にハッカーによってモニカ「@ntisec」(antisec)を使用してオンラインで共有された後、違反が起こった。 Operation AntiSecは、LulzSec、Anonymous、および他のハックティビストグループに関連するハッカーによって編成された法執行機関および政府機関を対象とした一連のハッキング攻撃でした。 "2012年1月21日と23日に、未知の主題が、 「#US #SCADA #IDIOTS」と「#US #SCADA #IDIOTS part-II」と題された記事で、「FBIは漏洩した文書で言いました。」「ICSに対する攻撃が実現可能かどうかは問題ではありません。過去にSCADAシステムの脆弱性を発見したセキュリティコンサルタント会社IOActiveのセキュリティ研究者Ruben Santamarta氏は、電子メールでこう語った。 「動機付けが強ければ、大きな事件に直面するだろう。地政学的および社会的状況は、確かに役立つわけではないが、2013年が面白い年となることは間違いない」と述べた。
標的攻撃だけではない; SCADAマルウェアもあります。
「StuxnetによるICS / SCADAの脆弱性が、どのようにしてホワイトハットとブラックハットの全く新しい領域に開かれているかのデモンストレーションを行いました。研究者 "と彼は電子メールで言った。 "このトピックは2013年の最上位リストに含まれています。"しかし、一部のセキュリティ研究者は、このようなマルウェアを作成することは、平均的な攻撃者の能力をまだ超えていると考えています。 "914>" ICS些細なことではなく、多くの洞察と計画を必要とするかもしれません」と脆弱性情報管理会社Secuniaの最高セキュリティ責任者、Thomas Kristensen氏は電子メールで述べています。 「これはまた、このような攻撃をやめることができる人や組織の量を大幅に制限している。」クリステンセンは強調している。「我々はICSに対する攻撃を見せるだろうが、疑いはない」と強調した。
展開されたSCADAとDCS(分散制御システム)のアプリケーションとハードウェアは、セキュリティ開発ライフサイクル(SDL)なしで開発されました.90年代後半にはマイクロソフトを考えています。そのため、バグ、脆弱性、搾取する」と述べた。それは、PLCやその他のフィールド機器は設計上安全ではなく、重要なプロセスをダウンしたり、悪意のある方法でStuxnetに改ざんするような脆弱性を必要としない」と述べている。
Petersonの会社であるDigital Bondは、多くのPLC(プログラマブルロジックコントローラ)-SCADAハードウェアコンポーネントに見られる脆弱性 - 一般的な誰でも使用できるオープンソースのツールであるMetasploitの普及テストフレームワークのモジュールとして、複数のベンダーから提供されています。これは、Project Basecampと呼ばれる研究プロジェクトの一環として行われました。その目的は、既存のPLCがどれほど脆弱で不安定であるかを示すことでした。
SCADAとDCSの脆弱性を多数見つけることができる唯一の制約は、 "ピーターソンは言った。 「もっと多くの人が試行錯誤しているので、研究者が適切と考える方法で公開される脆弱性が増えるだろう」
パッチはまだ必要
Santamartaは今日SCADAソフトウェアの脆弱性
SCADAの脆弱性情報の市場もあります。セキュリティ研究者Luigi AuriemmaとDonato Ferranteによって設立されたマルタに本拠を置くスタートアップセキュリティ会社ReVulnは、影響を受けるベンダーに報告することなく、ソフトウェア脆弱性に関する情報を政府機関や他のプライベートバイヤーに販売しています。現在、ReVulnのポートフォリオの脆弱性の40%以上はSCADAのものです。
SCADAのセキュリティ分野における攻撃と投資の両方で傾向が高まっているとDonato Ferrante氏は述べています。 「実際には、SCADA市場のいくつかの大企業がこれらのインフラストラクチャを強化するために多額の資金を投入していると考えると、SCADA / ICSのトピックは、今後数年にわたり注目され続けています。 。
しかし、SCADAシステムをセキュリティで保護することは、通常のITインフラストラクチャやコンピュータシステムを安全にするほど簡単ではありません。 SCADA製品のセキュリティパッチがベンダーによってリリースされても、脆弱なシステムの所有者は、導入に非常に時間がかかる可能性があります。
SCADAシステムの自動パッチ展開ソリューションはごくわずかです。ほとんどの場合、SCADAの管理者は手動で適切なパッチを適用する必要がある、と彼は言った。
"状況は非常に悪い"とKamlukは言った。 SCADAシステムの主な目標は継続的な運用であり、通常はホットパッチやアップデートは許可されていません - システムやプログラムを再起動せずにパッチやアップデートをインストールすること。予期せぬ動作が操作に重大な影響を与える可能性があるため、運用環境に展開する前に完全にテストしてください」
「脆弱性に対するパッチが存在する場合でも、脆弱なシステムが長期間に渡って見つかる」とSantamarta氏
ほとんどのSCADAのセキュリティ専門家は、PLCなどの産業用制御機器の安全を念頭に置いて再設計することを望んでいる。
"基本的なセキュリティ対策を講じているPLCと、
「理想的なシナリオは、工業用デバイスが設計上安全な場所であるが、現実的でなければならないが、時間がかかる」とSantamarta氏は述べている。 「産業部門は世界が離れているため、ITベンダーを含め、何かをやらなければならないことを誰もが認識している」と述べている。 ICS所有者は、これらのシステムのセキュリティを確保するための徹底的なアプローチを取るべきだとSantamarta氏は述べています。 「デフォルトでは安全ではない産業用プロトコルがあることを考慮すると、緩和とさまざまな保護レイヤーを追加することが理にかなっています。」ICSをインターネットから切り離し、隔離されたネットワークセグメントに配置し、重要なインフラストラクチャの所有者は、重要なインフラストラクチャへのアクセスに別々のネットワーク、または少なくとも個別の資格情報が必要であることを認識する必要があります」とKristensen氏は述べています。管理者の資格情報を使用して自分のシステムにログオンし、同じセッション内で敵対的なインターネットにアクセスし、電子メールを読むことはできません。重要なインフラストラクチャのオペレータに産業制御システムのセキュリティを強制する政府の規制の必要性は熱く議論されてきたトピックであり、 SCADAの多くのセキュリティ専門家は、それが良い出発点になることに同意します。しかし、これまでのところ進展はほとんど見られなかった。
「北米の電気部門のための最も野心的な政府規制、NERC CIPは失敗だった」とピーターソン氏は語った。 「ほとんどの場合、政府の規制は成功するだろうが、これが何であるかは分からない」と述べた。「政府は正直であり、重要なインフラストラクチャーを運営する組織や組織はこれらのシステムが安全でないことを声高に述べたい。 DCSは今後1〜3年以内にこれらのシステムをアップグレードまたは交換する計画を立てるべきだ」と述べた。現在、カスペルスキー・ラボ(Kaspersky Lab)は、このような意思決定のリスクと潜在的な人命への影響を考慮せずに、開発コスト削減のためにセキュリティを犠牲にしているSCADAベンダーもいる。 SCADAおよび他のICSシステムを動作させるための設計環境。 OSの背後にある考え方は、宣言されていない機能を実行できないことを保証することです。これにより、パッチを当てていない脆弱性を悪用して攻撃者が悪質なコードを実行するのを防ぐことができます。
これは興味深いプロジェクトのように聞こえるが、SCADAコミュニティと業界がどのように反応するかについてはまだ分かっていない」とSantamarta氏は語る。「新しいOSがその機能を評価するための詳細は不十分だ」とFerrante氏。とにかく、新しいOSを採用するときの主な問題は、コードを書き直すことなく既存のSCADAシステムを実行できる必要があるということです。 "