OT Säkerhet

ICS / SCADA

Vad industriella styrsystem och SCADA-system är, hur de är uppbyggda och varför de utgör en av de mest betydelsefulla attackytorna inom modern cybersäkerhet.

Var du ser detta: Relevant i industriella miljöer, kritisk infrastruktur och överallt där IT-nätverk ansluter till operationsteknologisystem.

Vad det är

Industriella styrsystem är ett paraplybegrepp för hårdvara och mjukvara som används för att övervaka och styra industriella processer. Inom den kategorin står SCADA för Supervisory Control and Data Acquisition. Ett SCADA-system samlar in data från sensorer och fältenheter utspridda över ett stort område, presenterar den datan för operatörer och möjliggör övervakningskommandon att skickas tillbaka till dessa enheter. Andra ICS-arkitekturer inkluderar distribuerade styrsystem, som är vanligare i kontinuerliga processindustrier som oljeraffinering och kemisk tillverkning, samt enklare fristående PLC-baserade system som används inom tillverkning och diskret automation.

Nyckelpunkter
  • ICS är ett brett begrepp som täcker alla system som övervakar och styr industriell utrustning och fysiska processer.
  • SCADA-system är en typ av ICS designad för att övervaka distribuerade operationer över stora geografiska områden, som rörledningar, elnät och vattennätverk.
  • Dessa system kombinerar vanligtvis PLC:er eller RTU:er på fältnivå med människa-maskin-gränssnitt och centraliserad datainsamling på högre nivåer.
  • De flesta ICS och SCADA-system designades för tillförlitlighet och realtidsprestanda, inte för säkerhet i en nätverksansluten miljö.

Hur det fungerar i stora drag

  1. Förstå den skiktade arkitekturen i en ICS-miljö: fältenheter i botten, styrsystem i mitten och övervaknings- och företagssystem längst upp.
  2. Identifiera vilka protokoll som används på varje lager, eftersom protokollet avgör vad som är möjligt i fråga om synlighet och kontroll och vilka säkerhetsbegränsningar som gäller.
  3. Kartlägg dataflödena mellan nivåerna, med särskild uppmärksamhet på var fältnivådata korsar in i IT-system, eftersom dessa korsningspunkter är där säkerhetsgränser måste upprätthållas.
  4. Identifiera vilka komponenter som är funktionssäkerhetskritiska och vilka som är operativa, eftersom detta avgör vilken nivå av ingripande som är acceptabel och hur incidenthantering måste planeras.
  5. Bygg övervakning på nätverksnivå med passiva verktyg som kan observera ICS-protokoll utan att aktivt kommunicera med enheter.

Konkret exempel

Ett regionalt vattenföretag kör ett SCADA-system som samlar in flödes-, trycks- och kemikaliedata från pumpstationer utspridda över hundratals kilometer. Operatörer i ett centralt kontrollrum övervakar denna data och kan skicka kommandon för att justera pumphastigheter eller kemisk dosering. SCADA-servern sitter på ett nätverk som också är anslutet till företagets IT-miljö för rapporteringsändamål. En angripare som komprometterar en företagsarbetsstation och pivoterar till SCADA-servern har potentiell räckvidd in i de styrkommandon som skickas till fysisk infrastruktur.

Varför det är viktigt

ICS och SCADA-system styr processer som samhällen är beroende av: el, vatten, olja och gas, tillverkning och fastighetsautomation. Ett haveri i dessa system, oavsett om det beror på ett tekniskt fel eller ett avsiktligt angrepp, kan ha konsekvenser långt bortom ett serviceavbrott. Att förstå hur de är strukturerade och var svagheterna finns är grundläggande för alla som arbetar med OT-säkerhet.

Säkerhetsperspektiv

  • Attackytan i en ICS-miljö sträcker sig från internetvända företagssystem ända ner till fältenheter, och risken är att en kompromiss i toppen kan kaskadfölja ner till botten.
  • Många ICS-komponenter kan inte patchas eller ersättas inom en säkerhetstidslinje, vilket innebär att kontroller på nätverksnivå och åtkomstbegränsningar är den primära säkerhetsmekanismen för de underliggande enheterna.
  • Anomalidetektering i ICS-miljöer fungerar annorlunda än i IT. Processbeteende följer förutsägbara mönster, och avvikelser från dessa mönster är ofta mer meningsfulla signaler än signaturbaserade detekteringar.

Vanliga fallgropar

  • Att anta att ett SCADA-system inte är nåbart för att det inte är direkt internetvänt. De flesta moderna SCADA-miljöer har indirekt uppkoppling via IT-nätverk, leverantörsåtkomstvägar eller fjärroperatörsanslutningar.
  • Att behandla alla ICS-komponenter som likvärdiga. En Windows-baserad HMI kan ofta härdas med IT-metoder. En äldre PLC med proprietär firmware kan det inte, och att tillämpa samma metod på båda lämnar antingen luckor eller orsakar operativ skada.
  • Att underskatta komplexiteten i ICS-miljöer. Dessa system har ofta odokumenterade konfigurationer, åldrande hårdvara, anpassad mjukvara skriven av ingenjörer som sedan länge slutat, och integrationer ingen helt förstår.

FÖRDJUPNING

Arkitekturen i en ICS-miljö

ICS-miljöer beskrivs vanligtvis med en skiktad modell. På den lägsta nivån finns fältenheter: sensorer som mäter fysiska förhållanden som temperatur, tryck och flöde, och aktuatorer som förändrar fysiska förhållanden genom att öppna ventiler, starta motorer och justera utrustning. Dessa enheter är det direkta gränssnittet mellan det digitala styrsystemet och den fysiska världen.

Ovanför fältnivån sitter styrlagret, där PLC:er och RTU:er bearbetar insignaler från sensorer och kör styrlogik för att driva utsignaler till aktuatorer. Det är här de faktiska styrningsbesluten fattas. En PLC som övervakar en pumpstation kan läsa en trycksensor, jämföra avläsningen med ett börvärde och skicka en signal för att öka pumphastigheten om trycket har sjunkit. Denna logik körs kontinuerligt i en tight loop, ofta med cykeltider som mäts i millisekunder.

På övervakningsnivå samlar SCADA-system in data från många styrlagersenheter, presenterar den för operatörer via människa-maskin-gränssnitt och ger möjligheten att skicka övervakningskommandon. Ovanför det lagrar historiseringsservrar tidsserieprocessdata, och företagssystem använder den datan för produktionsplanering, underhållsschemaläggning och affärsrapportering. För varje nivå uppåt i stacken är man längre från den fysiska processen och närmare IT-världen, vilket är anledningen till att de övre nivåerna tenderar att ha mer IT-liknande egenskaper och de lägre nivåerna är de mest begränsade.

SCADA specifikt: övervakning i geografisk skala

SCADA-system utvecklades för att lösa ett specifikt problem: hur övervakar och styr du processer som är utspridda över hundratals eller tusentals kilometer? En rörledning som sträcker sig över en kontinent, ett kraftöverföringsnätverk som täcker en hel region eller ett vattendistributionssystem som betjänar en stor stad delar alla samma utmaning. Du behöver data från många avlägsna platser och du behöver möjligheten att skicka kommandon tillbaka till dessa platser, allt i nästan realtid.

Tidiga SCADA-system använde seriekommunikation över dedikerade telefonlinjer eller radiolänkar för att nå fjärrterminalenheter på fältstationer. RTU:n samlade in lokala sensoravläsningar och rapporterade tillbaka till den centrala SCADA-servern i en pollningscykel. Operatörer såg den aggregerade datan på en kontrollrumsdisplay och kunde utfärda kommandon när ingripande behövdes.

Moderna SCADA-system använder IP-baserade nätverk och körs ofta på standardoperativsystem, vilket ger kapabilitet men också exponering. Samma nätverksinfrastruktur som möjliggör snabb, tillförlitlig datainsamling skapar också vägar som kan utnyttjas om de inte kontrolleras ordentligt. Den geografiska distributionen av SCADA-system skapar också fysiska säkerhetsutmaningar, eftersom avlägsna platser som understationer och pumpstationer ofta har begränsade fysiska åtkomstkontroller.

Verkliga incidenter och vad de avslöjar

Attackerna mot ukrainska eldistributionsbolag 2015 och 2016 är de mest grundligt dokumenterade fallen av ICS-riktade cyberattacker som orsakade verkliga fysiska effekter. I 2015 års incident använde angripare riktad nätfiske för att få åtkomst till företags-IT-nätverk, tillbringade månader med att genomföra rekognosering och utförde sedan koordinerade åtgärder mot flera distributionsbolag simultant. De använde legitima fjärråtkomstverktyg för att operera SCADA-gränssnitt, öppnade brytare vid understationer och inaktiverade serie-till-Ethernet-omvandlare för att försvåra återställning. Ungefär 230 000 kunder förlorade ström.

2021 års Oldsmar-vattenbehandlingsincident, där en angripare kortvarigt fick åtkomst till ett SCADA-system och försökte öka natriumhydroxidnivåerna till farliga koncentrationer, illustrerade en annan risk: konsekvenserna av obehörig åtkomst till ett system som styr kemi som direkt påverkar folkhälsan. En operatör märkte förändringen i realtid och reverserade den, men incidenten avslöjade att systemet var åtkomligt via fjärrskrivbordsprogramvara med minimala autentiseringskontroller.

Dessa incidenter delar ett gemensamt mönster. Angripare fick initial åtkomst via IT-vektorer, rörde sig lateralt till system med räckvidd in i OT-miljön och använde sedan legitim funktionalitet inom ICS för att orsaka skada. ICS-protokollen och gränssnitten i sig utnyttjades inte med nya tekniker. Vad som utnyttjades var åtkomsten och frånvaron av kontroller som borde ha begränsat vad en autentiserad session kunde göra.

Varför ICS-säkerhet skiljer sig från IT-säkerhet

När ett säkerhetsteam patchnar en sårbarhet på en IT-server är processen vanligtvis enkel: testa patchen i en stagingmiljö, schemalägg ett underhållsfönster, applicera patchen, verifiera funktionalitet och stäng ärendet. Systemet kanske är otillgängligt i trettio minuter, vilket är en acceptabel operativ kostnad för de flesta IT-tjänster.

När samma sårbarhet finns på en PLC som styr en kontinuerlig industriell process är inget av dessa steg enkelt. Det kanske inte finns någon stagingmiljö som korrekt replikerar produktionssystemet. Underhållsfönstret kanske bara är tillgängligt under en årlig planerad nedstängning. Leverantören kanske inte har släppt en patch eller kanske aldrig kommer att släppa en för den versionen av firmware. Systemet kan behöva testas och recertifieras efter varje förändring. Den operativa kostnaden för driftstopp kan mätas i hundratusentals kronor per timme.

Det är därför det dominerande säkerhetssynsättet i ICS-miljöer inte är patchhantering utan snarare kompenserande kontroller och djupförsvar. Du accepterar att de underliggande enheterna inte kan härdas i traditionell bemärkelse och fokuserar istället på att kontrollera vem som kan nå dem, övervaka vad de kommunicerar och detektera när beteende avviker från det förväntade. Det är en säkerhetsmodell byggd kring miljöns begränsningar snarare än idealläget.

Att bygga in säkerhet i ICS-miljöer

Effektiv ICS-säkerhet börjar med synlighet. Innan du kan skydda ett system måste du veta vad som finns i det. Passiva nätverksövervakningsverktyg designade för OT-protokoll kan bygga ett tillgångsinventarium och baslinjera kommunikationsmönstren i en ICS-miljö utan att skicka någon trafik som kan störa enheter. Denna baslinje blir referenspunkten för anomalidetektering.

Nätverkssegmentering är nästa grundläggande kontroll. Purdue-modellen och IEC 62443 tillhandahåller båda ramverk för att tänka på hur man zonindelar en ICS-miljö och kontrollerar vad som kan kommunicera över zongränser. Som ett minimum bör styrnätverket vara isolerat från företagets IT-nätverk, med endast specifika, övervakade dataflöden tillåtna över gränsen via en demilitariserad zon eller en datadiod.

Åtkomstkontroll förtjänar särskild uppmärksamhet. Fjärråtkomst till ICS-miljöer bör använda dedikerade, övervakade kanaler med stark autentisering, inte allmänna VPN:er eller fjärrskrivbordsverktyg med delade inloggningsuppgifter. Varje åtkomstsession till ett styrsystem bör loggas och vara granskningsbar. Leverantörsåtkomst, som är en vanlig attackväg i ICS-incidenter, bör vara sessionsbaserad och kräva aktivt godkännande snarare än persistent anslutning.