Che aspetto avrebbe la "migliore pratica" nella protezione dell'infrastruttura critica contro l'attacco informatico dell'attore di stato?

0

Stavo leggendo questo articolo del New York Times, che descrive il livello allarmante in cui i sistemi informatici che gestiscono infrastrutture civiche critiche sarebbero stati presumibilmente compromessi da cyberattaccanti russi.

In particolare, la mia domanda si riferisce al testo:

Still, new computer screenshots released by the Department of Homeland Security on Thursday made clear that Russian state hackers had the foothold they would have needed to manipulate or shut down power plants.

“We now have evidence they’re sitting on the machines, connected to industrial control infrastructure, that allow them to effectively turn the power off or effect sabotage,” said Eric Chien, a security technology director at Symantec, a digital security firm.

“From what we can see, they were there. They have the ability to shut the power off. All that’s missing is some political motivation,” Mr. Chien said.

Chiaramente, la sicurezza dovrebbe essere importante per i fornitori di infrastrutture, ma proteggere dagli attacchi a livello di stato sponsorizzato potrebbe essere al di là delle loro capacità.

Quali misure sono state prese per ridurre al minimo la minaccia che gli attori statali possano compromettere l'infrastruttura critica, in particolare avvalendosi di esempi di altri paesi, che potrebbero essere combinati per definire le "migliori pratiche"?

Da una prospettiva astratta, sospetto che la risposta migliore implicherebbe probabilmente una serie di misure infrastrutturali, tecniche, di garanzia e legislative / normative.

es. creazione di un corpo di supervisione con poteri per sanzionare la non conformità, avere una rete fisica separata, controllare il personale coinvolto, controllare i fornitori di hardware delle infrastrutture coinvolte, un programma di bontà di vulnerabilità in corso, metodi crittografici innovativi, ecc.

    
posta QA Collective 20.03.2018 - 00:32
fonte

2 risposte

2

Attenzione, molto testo. Problema molto complicato tl; dr is: noi come nazione non stiamo facendo molto e non abbiamo fatto molto. L'attuale mentalità è "spetta alle aziende risolverlo prima che il GOVT debba essere coinvolto". Le aziende non vogliono pagare, e non sanno cosa fare, e non vedono un "motivatore del mercato" (sì, lo sento letteralmente tutto il tempo, non sto scherzando). L'Europa sta andando molto meglio con la spinta verso i requisiti 62443 per tutti gli ICS.

Sono primario su ICS / Infrastruttura critica per un'azienda che è coinvolta nella certificazione di sicurezza per i dispositivi associati a questo. E ho brutte notizie. non c'è molto che richiede la maggior parte delle infrastrutture per proteggersi. Nerc-CIP è correlato alla rete elettrica, ma non tutto ha requisiti di sicurezza. Il nucleare ne ha, attraverso NEC e IAEA e la loro sovrapposizione con Power Grid. Altrimenti ... non molto.

Ogni anno ci sono interventi alle conferenze sulla sicurezza su come gli "scoiattoli" hanno fatto più danni alla nostra infrastruttura che agli hacker. Detto questo, ricorda che non esistono regole di divulgazione oneste per l'infrastruttura. Non sappiamo davvero quanto siano gli scoiattoli e quanto non lo siano.

Posso dirti questo, come un pen tester ICS di prima mano che ha lavorato con una sfilza di prodotti in questo spazio ... almeno 1/3 dei nuovi prodotti entrano nella porta criticamente vulnerabili (nel mio esperienza e sono generoso), e solo una piccola percentuale in totale è stata chiaramente costruita con un piano di sicurezza completo di "difesa in profondità". La buona notizia è quando abbiamo finito con loro sono molto più sicuri e le aziende con cui abbiamo lavorato stanno sviluppando le migliori pratiche (se necessario).

Inoltre buone notizie, ci sono buone pratiche per proteggere i dispositivi insicuri all'interno di una rete, anche se i dispositivi non sono sicuri, ma non ci sono molti controlli e controlli costanti per questo. In effetti, la mia esperienza è che HIPPA, PCI e SOX hanno tutte regole e responsabilità molto più rigide rispetto alla protezione dei Crit. Infrastruttura. In questo sto includendo anche sistemi di risposta 911, che si sono dimostrati vulnerabili anche.

Ci sono una miriade di esempi degli ultimi 10 anni, che hanno avuto un'impennata negli ultimi 4 anni di attacchi allo stato di nazione su Crit. Infrastrucutre. La rete elettrica ucraina è stata attaccata più volte utilizzando più strumenti, il pensiero è che è un terreno di addestramento per gli hacker russi. Gli Stati Uniti hanno attaccato gli impianti nucleari di Nitanez utilizzando malware personalizzato in un exploit molto famoso nel 2010. Molto altro Troppo per questa risposta.

Per quanto riguarda ciò che viene fatto ... non molto. Le aziende non possono permettersi milioni di dollari di rinnovamento, non ci sono standard universalmente concordati per i moderni protocolli ICS sicuri (sì, la maggior parte dei protocolli di rete ICS sono testo semplice senza verifica dei dispositivi), i team ICS non riescono a trovare professionisti della sicurezza che capiscano ICS perché ci sono -molti pochi. C'è una sfilza di altri problemi ...

E peggiora ... Mi sono letteralmente seduto a pranzo con l'ex capo del DHS. Erano io, lui, altre 2 persone. Era profondamente preoccupato perché la nostra attuale amministrazione sta lasciando enormi buchi di personale e sembra essere completamente non investita in qualsiasi tipo di spinta per risolvere questo problema e garantire la nazione. Sì, è vero che hanno un sacco di conferenze DC per parlarne ... ma nessuno sta facendo i soldi o sta creando una legislazione.

La buona notizia è che in generale sappiamo come proteggere i nostri sistemi e quali sono le principali debolezze a ogni livello dello stack tecnologico (da CWE a Network zoning). ICS-CERT (una branca di US-CERT, il team americano di risposta alle emergenze per cyber) ha un grande articolo su di esso. Insieme a NIST, IEC 62443 e un'infarinatura di altri. Un buon punto di partenza per chiunque in ICS che ora è interessato. Ricerca Google questo sono ci sono più, trovare quello più adatto alle proprie esigenze:

[google] filetype: pdf best practice ics-cert

    
risposta data 20.03.2018 - 02:32
fonte
0

NERC-CIP, è il processo standard per la protezione dei sistemi ICS. Definisce una pletora o regolamenti e requisiti tecnici per mettere componenti online.

NIST aiuta a definire gli standard del sistema informativo federale che include le migliori pratiche di sicurezza del protocollo operativo e del sistema operativo. La nostra infrastruttura di alimentazione è gestita da società private con regolamenti federali che gestiscono i loro obblighi di conformità.

Un attaccante motivato si avvicina alla tua strategia di difesa a più livelli come una squadra, ognuno gestisce il proprio pezzo e trova efficacemente un modo nel tempo.

Mentre non si può speculare sull'articolo o sui metodi impiegati sulla rete in questione; molto spesso un avversario bersaglia l'operatore e attacca direttamente i sistemi.

Il movimento unilaterale attraverso una rete / infrastruttura strongmente difesa è difficile mantenere un punto di appoggio persistente senza credenziali amministrative.

    
risposta data 20.03.2018 - 03:02
fonte

Leggi altre domande sui tag