פורום ניהול רשתות ואבטחת מידע

securex308.com

יום רביעי, 7 ביולי 2010

הקשר בין אבטחת מידע לתשתיות לאומיות

לפחות פעם בשבוע , כאשר אני מגיע לאחד הלקוחות שלי אני נתקל בנוף הבא:


אי אפשר שלא לקשר את הנוף ישירות ל-SCADA.
מערכות Supervisory Control And Data Acquisition הן מערכות שו”ב וניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות כגון: חשמל, מים, גז, דלק, תקשורת,תחבורה וכו'.
המידע במערכות הללו נשלח מהבקרים הפזורים בשטח אל מרכז השליטה וממנו עד למערכות הביצוע בזמן אמת.

מגוון האיומים המטריד את מנהלי אבטחת המידע בארגונים “רגילים” מתגמד לעומת האיומים העומדים למול עיניהם של האחראים על אבטחת המידע(CISO) ורצף העבודה השוטף בגופי תשתיות קריטיות, אשר משפיעים על חיי כולנו ביום יום.

ללא ספק, פגיעה במערכות קריטיות אלו עלולות ליצור 2 תרחישים קריטים ביותר:

1.פיגוע רב נפגעים-פיצוץ של תחנת כח,פגיעה בקווי נפט וגז אשר יעלה בחיי אדם.

2.השבתה של אזורים רבים עד מדינה כולה ומשבר הומניטרי חמור.

רשתות SCADA פרוסות בשטח גיאוגראפי נרחב אשר אינו מאפשר הגנה בנקודה אחת על כלל הרשת, לכן זוהו מספר סיכונים אליהן נדרש להתייחס:

•החיבור בין ה- RTU - Remote Sensor ובין מרכז השליטה ובקרה מאפשר ציתות למידע העובר ברשת ושליחת פקודות אל המכונות השונות.

• החיבור בין מרכז השליטה, הבקרה ורשת הארגון / החיבור לאינטרנט מאפשר להתקפות IP להגיע אל מערכות הניהול ולטפל בהן כמו בכל שרת אחר.

• זיהוי הרכיבים השונים ברשת והגבלת התקשורת בין הרכיבים תאפשר חסימה של שליחת פקודות לרכיבים השונים שלא ממערכת הניהול.

• הקשחת הגישה אל הרכיבים השונים ברשת בכלל ולמערכת הניהול בפרט לא תאפשר למשתמשים שאינם מורשים לטפל במערכת.

• מאחר ומערכות ההפעלה הינן גרסאות מוקשחות של Windows ו- Unix/Linux אין אפשרות להתקין עליהם ’Patch שלא מאושרים על ידי יצרן מערכת ה-SCADA.

על מנת להגן על הרשת בצורה טובה יש לבצע את הפעולות הבאות:

• סגמנטציה נכונה של חלקי הרשת השונים והכנסת מוצר שמגביל את הגישה בין חלקי הרשת השונים מתוך הבנה של הפרוטוקולים שעוברים בתווך,בחברת חשמל וקצא"א הטמיעו את פתרון ה-Waterfall הנהדר המתבסס טכנולוגיית חד-כיווניות למניעת דלף המידע והגנה על תשתיות רשת קריטיות.

•מעבר מידע בין הסגמנטים באמצעות Proxy למניעת קשר ישיר בין הרשתות השונות.

•הגבלת הגישה לרשת לאנשים מורשים בלבד (וגם להם לאיזורים ספציפיים ולא לכלל הרשת).

• בניית רשימות Assets והגבלת היכולת להכנסת ציוד נוסף.


במדינת ישראל , מי שאחראי לאבטחת התשתיות הלאומיות ועמידה ברגולציות הם אנשי הרשות ,ואילו בארה"ב הם ה-NSA.

ההבדל ביננו לבינם הוא בעיקר בכל נושא הסנריו -מה שאנו מעלים על מצגת , הם כבר מנסים בפועל.
לאחרונה צפיתי בכתבה מדהימה מהתוכנית 60Minutes של רשת CBS News
שימו לב מה קורה כאשר תוקף חודר לתשתית לאומית ומשנה פרמטרים באחת המערכות:
http://www.youtube.com/watch?v=fJyWngDco3g&feature=related

לכתבה המלאה ב-2 חלקים וקטעים נבחרים בנושא:
http://www.youtube.com/watch?v=vbOLlNtRcQA


לסיכום, הגנה על רשתות SCADA מתבצעת על פי העקרונות המוכרים לנו מרשתות מסחריות רגילות )סגמנטציה, הגנה על פי התנהגות הרשת, הגנה על אפליקציות וכו') אך המוצרים נדרשים להכרות מקיפה עם הפרוטוקולים הייחודים וההתקפות הייעודיות שפעילים בסביבה זו.
כמו כן גם הרגולוציות המחמירות על רשתות אלו דורשות מוצרים שהוסמכו לטיפול ברשתות אלו על ידי ארגונים מוכרים.

אין תגובות:

הוסף רשומת תגובה