Chủ Nhật, 3 tháng 4, 2011

Chạy đua vũ trang an ninh SCADA đang diễn ra

SCADA security arms race underway

By George V. Hulme, CSO

April 01, 2011 08:52 AM ET

Theo: http://www.networkworld.com/news/2011/040111-scada-security-arms-race.html?page=2

Bài được đưa lên Internet ngày: 01/04/2011

Lời người dịch: Trong vụ sâu Stuxnet tấn công vào các cơ sở hạt nhân của Iran, có 2 phần mềm được nhắc tới nhiều nhất. Một là hệ điều hành Windows và hai là hệ thống kiểm soát giám soát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition) và cả 2 thứ này đều không được thiết kế từ đầu để làm việc trong môi trường mạng. “Windows và các hệ điều hành thương mại khác đầu tiên đã được viết với giả thiết là chúng chỉ có thể được kết nối tới các mạng cục bộ LAN tin cậy, và khi chúng được kết nối với Internet thì tất cả đã long hết ra”, ông nói. “Hầu hết SCADA, kiểm soát qui trình, và máy y tế đã được viết với giả thiết là nó chỉ có thể trong một mạng tin cậy, được cách li độc lập. Nhưng những thứ đó thường là trong mạng mà ngày càng có những con đường đi tới Internet - thậm chí nếu con đường này chỉ thông qua các đầu USB”. “Trong khi cuộc chạy đua giữa những kẻ tấn công và những người bảo vệ các hệ thống kiểm soát công nghiệp còn chưa bắt đầu với sâu Stuxnet, thì nó chắc chắn đã hành động như một chất xúc tác cho một cuộc chạy đua vũ trang mới và nhiều nhà nghiên cứu hơn đang xem xét sát sao hơn vào chất lượng của các phần mềm SCADA”. Xem thêm: (1) Tấn công bằng virus Stuxnet: Nga cảnh báo về 'Chernobyl Iran'; (2) Hạ tầng của Mỹ có thể bị tổn thương đối với các cuộc tấn công dạng Stuxnet; (3) Sợ tấn công bằng Stuxnet thúc đẩy chính phủ kiểm tra mạng IT;

Trong khi cuộc chạy đua giữa những kẻ tấn công và những người bảo vệ các hệ thống kiểm soát công nghiệp còn chưa bắt đầu với sâu Stuxnet, thì nó chắc chắn đã hành động như một chất xúc tác cho một cuộc chạy đua vũ trang mới và nhiều nhà nghiên cứu hơn đang xem xét sát sao hơn vào chất lượng của các phần mềm SCADA.

Ví dụ, vài ngày trước, nhóm tư vấn Gleg có 3 người và có trụ sở tại Moscow đã công bố nhóm có thể cập nhật gói khai thác Agora của mình (được sử dụng trong các ứng dụng kiểm thử về an ninh) với các điểm số cho các chỗ bị tổn thương của hệ thống SCADA mà vừa mới được tung ra. Một số chỗ bị tổn thương đã được tung ra cùng với các mã nguồn khai thác.

Việc tung ra những khai thác của SCADA đã nhắc nhở một sự nhộn nhịp các hoạt động trong một số cộng đồng an ninh. Nhà cung cấp An ninh và SIEM Nitrosecurity, ví dụ, cùng với cộng đồng nguồn mở Các mối đe dọa Đang nổi lên (Emerging Threat), Quỹ An ninh Thông tin Mở, và nhà tư vấn về an ninh các hệ thống kiểm soát Digital Bond và những tổ chức khác, đã làm việc cùng nhau để đưa ra các chữ ký dò tìm những thâm nhập trái phép đối với những chỗ bị tổn thương của SCADA được tung ra từ nhà nghiên cứu an ninh Luigi Auriemma.

Bây giờ, với sự tung ra các chỗ bị tổn thương ngày số 0 đối với các phần mềm mà chúng kiểm soát các hệ thống công nghiệp - nhiều theo cách thức mà các chỗ bị tổn thương hoàn toàn được phát hiện đối với các ứng dụng của các doanh nghiệp và những người tiêu dùng - một số bây giờ đang hỏi liệu an ninh các hệ thống SCADA có đang nhanh chóng bắt đầu giống với an ninh của các hệ điều hành và phần mềm hay không.

“Có một số sự tương đồng giữa các vấn đề về an ninh của SCADA và các máy tính cá nhân PC/máy chủ truyền thống”, nhà phân tích John Pescatore của Gartner, nói. “Windows và các hệ điều hành thương mại khác đầu tiên đã được viết với giả thiết là chúng chỉ có thể được kết nối tới các mạng cục bộ LAN tin cậy, và khi chúng được kết nối với Internet thì tất cả đã long hết ra”, ông nói. “Hầu hết SCADA, kiểm soát qui trình, và máy y tế đã được viết với giả thiết là nó chỉ có thể trong một mạng tin cậy, được cách li độc lập. Nhưng những thứ đó thường là trong mạng mà ngày càng có những con đường đi tới Internet - thậm chí nếu con đường này chỉ thông qua các đầu USB”, Pescatore nói.

While the race between industrial control system attackers and defenders didn't start with the Stuxnet worm, it certainly acted as a catalyst to a new arms race and more researchers taking a closer look at the quality of SCADA software.

For instance, just days ago, the three-person Moscow-based security consultancy Gleg announced it would update its Agora exploit pack (used in security testing applications) with scores of zero-day SCADA system vulnerabilities that had just been released. Some of those vulnerabilities were released with exploit code.

That release of SCADA exploits prompted a flurry of activity among some in the security community. Security and SIEM vendor Nitrosecurity, for instance, along with the Emerging Threats open source community, the Open Information Security Foundation, and control system security consultancy Digital Bond and others, worked together to deliver intrusion detection signatures for SCADA vulnerabilities released by security researcher Luigi Auriemma.

Now, with the release of zero-day vulnerabilities for the software that controls industrial systems -- much in the way vulnerabilities are fully disclosed for enterprise and consumer applications -- some are now asking if SCADA system security is going to quickly begin to resemble the security of traditional software and operating systems.

"There are some parallels between SCADA and traditional PC/server security problems," says Gartner analyst John Pescatore. "Windows and other commercial operating systems were first written assuming they would only be connected to trusted LANs, and when they were connected to the Internet all hell broke loose," he says. "Most SCADA, process control, and medical machinery was written assuming it would only be on an isolated, trusted network. But often those things are on networks that increasingly do have paths to the Internet -- even if the path is only via USB drives," Pescatore says.

Adds Scott Crawford, giám đốc quản lý nghiên cứu của Enterprise Management Associates nói: “Từ lâu có một giả thiết về an ninh của SCADA có trong một vài nghiên cứu”, ông nói. “Giả thiết lớn nhất trong đầu tôi là việc những hệ thống này hầu hết không được kết nối mạng hoặc các mạng của chúng 'bị lọt khí' một cách đầy đủ ý nghĩa” đối với các môi trường công cộng hơn. Trong khi điều đó có thể là đúng trong một số triển khai cài đặt, thì nó xin tha đối với việc nó khó khăn làm sao có thể đối với một đám độc hại để chuyển từ một mục tiêu truy cập được một cách rộng rãi tới một mục tiêu được bảo vệ nhiều hơn như là một hệ thống SCADA. Nó cũng xin tha về việc các môi trường này được trang bị tốt như thế nào để dò tìm ra chỗ bị tổn thương tiềm tàng, Crawford nói.

Nếu sự náo nhiệt gần đầy đối với những chỗ bị tổn thương của SCADA và sự thành công của Stuxnet là bất kỳ chỉ số nào, thì không quá xa mà một bước nhảy được mong đợi cho các nhà vận hành các hệ thống công nghiệp để bắt đầu tìm kiếm một cách tỉ mỉ hươn về các cuộc tấn công khai thác và phần mềm độc hại. Và ở một mức độ nào đó thì điều đó đang được thực hiện rất đa dạng từ một công ty này sang công ty khác, Mohan Ramanathan, nhà kiến trúc về hạ tầng sống còn các giải pháp tại Nitrosecurity, nói. “Một số cho điều đó là rất nghiêm túc, và họ đang triển khai các hệ thống giám sát và ngăn chặn thâm nhập trái phép để bảo vệ các mạng này, trong khi những người khác lại chẳng quan tâm gì tới cả”, Ramanathan nói.

Tuy nhiên, Pescatore của Gartner không xem an ninh của SCADA và các hệ thống kiểm soát qui trình là hoàn toàn tương tự như đối với các nỗ lực về an ninh IT truyền thống. “Những hệ thống này hầu hết bị hạn chế đối với các máy chủ và các thiết bị hoạt động độc lập, khác với các máy tính cá nhân PC của những người sử dụng. Các chiến lược đơn giản như danh sách trắng đã chứng minh rất hiệu quả đối với những thứ như các máy ATM, các kios và các máy chủ hoặc thiết bị khác nơi mà những người sử dụng không được phép cài đặt các phần mềm một cách tùy ý”, ông nói. Ông cũng tranh luận rằng múc độ như nhau về động cơ lợi nhuận không tồn tại để tấn công những hệ thống này. “Đại đa số các mã nguồn tấn công thông minh được viết bởi những người tìm kiếm lợi ích tài chính - thậm chí Stuxnet hầu như đã sử dụng các kỹ thuật nổi tiếng một cách tổng hợp với nhau, và hầu hết đa số các cuộc tấn công đi chống lại các hệ thống kiểm soát qui trình là ở đâu đó gần như cũng tinh vi phức tạp như Stuxnet vậy”, ông nói.

Có thể thế, nhưng nếu Ramanathan đúng, thì có lẽ không trơn tru dễ dàng đối với các nhà vận hành các hệ thống SCADA trong tương lai như đã từng trong quá khứ. “Về bức tranh các mối đe dọa chung, thì qua 5-10 năm vừa qua, sự phát triển các khai thác và các cuộc tấn công đã từng là khá chậm. Tuy nhiên, chúng ta đã thấy một sự gia tăng nhanh chóng trong sự phát triển các phần mềm tấn công để thâm nhập được vào các hệ thống này cũng như các cuộc tấn công thường xuyên hơn”, ông nói. “Đây chắc chắn là một khu vực mà đang nóng lên”.

Adds Scott Crawford, managing research director Enterprise Management Associates, "That has been a longstanding assumption about SCADA security that bears some investigation," he says. "The biggest assumption in my mind is that these are mostly non-networked systems or their networks are meaningfully 'air gapped' from more public environments. While that may be true in some deployments, it begs the question of how difficult it would be for a malicious party to move from a widely accessible target to a more protected one such as a SCADA system. It also begs the question of how well these environments are instrumented to detect potential compromise," Crawford says.

If the recent flurry of SCADA vulnerabilities and the success of Stuxnet are any indication, than it's not too far a leap to expect industrial system operators to start to more carefully look for exploit and malware attacks. And the extent that is being done varies greatly from one company to the next, says Mohan Ramanathan, solutions architect for critical infrastructure at Nitrosecurity. "Some are taking it very seriously, and they're deploying the appropriate monitoring and intrusion prevention systems to protect these networks, while others are nowhere near that mature," Ramanathan says.

However, Gartner's Pescatore does not see SCADA and process control systems security as entirely similar to traditional IT security efforts. "These systems are mostly limited to single-function servers or appliances, vs. user PCs. Simple strategies like whitelisting have proven very effective on things like ATM machines, kiosks and other servers or appliances where users don't have to be allowed to install arbitrary software," he says. He also contends that the same level of profit motive doesn't exist to attack these systems. "The vast majority of clever attack code is written by those looking for financial gain -- even Stuxnet mostly used known techniques bundled together, and the vast majority of attacks going against process control systems are nowhere near as sophisticated as Stuxnet," he says.

Maybe so, but if Ramanathan is correct, it may not be as smooth a ride for SCADA system operators in the future as it was in the past. "In terms of the general threat landscape, over the last five or 10 years, the development of exploits and attacks have been relatively low. However, we've seen a rapid increase in the development of attack software to get into these systems as well as more attack traffic," he says. "It's definitely an area that is heating up."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.