Chạy đua vũ trang an ninh SCADA đang diễn ra

SCADAsecurity arms race underway

By George V. Hulme, CSO

April 01, 2011 08:52 AMET

Theo:http://www.networkworld.com/news/2011/040111-scada-security-arms-race.html?page=2

Bài được đưa lênInternet ngày: 01/04/2011

Lờingười dịch: Trong vụ sâu Stuxnet tấn công vào các cơ sởhạt nhân của Iran, có 2 phần mềm được nhắc tớinhiều nhất. Một là hệ điều hành Windows và hai là hệthống kiểm soát giám soát và thuthập dữ liệu SCADA (Supervisory Control and Data Acquisition)và cả 2 thứ này đều không được thiết kế từ đầuđể làm việc trong môi trường mạng. “Windows và các hệđiều hành thương mại khác đầu tiên đã được viếtvới giả thiết là chúng chỉ có thể được kết nốitới các mạng cục bộ LAN tin cậy, và khi chúng đượckết nối với Internet thì tất cả đã long hết ra”, ôngnói. “Hầu hết SCADA, kiểm soát qui trình, và máy y tếđã được viết với giả thiết là nó chỉ có thểtrong một mạng tin cậy, được cách li độc lập. Nhưngnhững thứ đó thường là trong mạng mà ngày càng cónhững con đường đi tới Internet - thậm chí nếu conđường này chỉ thông qua các đầu USB”. “Trong khi cuộcchạy đua giữa những kẻ tấn công và những người bảovệ các hệ thống kiểm soát công nghiệp còn chưa bắtđầu với sâu Stuxnet, thì nó chắc chắn đã hành độngnhư một chất xúc tác cho một cuộc chạy đua vũ trangmới và nhiều nhà nghiên cứu hơn đang xem xét sát sao hơnvào chất lượng của các phần mềm SCADA”. Xem thêm: (1)Tấncông bằng virus Stuxnet: Nga cảnh báo về 'Chernobyl Iran';(2) Hạtầng của Mỹ có thể bị tổn thương đối với cáccuộc tấn công dạng Stuxnet; (3) Sợtấn công bằng Stuxnet thúc đẩy chính phủ kiểm tra mạngIT;

Trong khi cuộc chạyđua giữa những kẻ tấn công và những người bảo vệcác hệ thống kiểm soát công nghiệp còn chưa bắt đầuvới sâu Stuxnet, thì nó chắc chắn đã hành động nhưmột chất xúc tác cho một cuộc chạy đua vũ trang mớivà nhiều nhà nghiên cứu hơn đang xem xét sát sao hơn vàochất lượng của các phần mềm SCADA.

Ví dụ, vài ngàytrước, nhóm tư vấn Gleg có 3 người và có trụ sở tạiMoscow đã công bố nhóm có thể cập nhật gói khai thácAgora của mình (được sử dụng trong các ứng dụng kiểmthử về an ninh) với các điểm số cho các chỗ bị tổnthương của hệ thống SCADA mà vừa mới được tung ra.Một số chỗ bị tổn thương đã được tung ra cùng vớicác mã nguồn khai thác.

Việc tung ra nhữngkhai thác của SCADA đã nhắc nhở một sự nhộn nhịp cáchoạt động trong một số cộng đồng an ninh. Nhà cung cấpAn ninh và SIEM Nitrosecurity, ví dụ, cùng với cộng đồngnguồn mở Các mối đe dọa Đang nổi lên (Emerging Threat),Quỹ An ninh Thông tin Mở, và nhà tư vấn về an ninh cáchệ thống kiểm soát Digital Bond và những tổ chức khác,đã làm việc cùng nhau để đưa ra các chữ ký dò tìmnhững thâm nhập trái phép đối với những chỗ bị tổnthương của SCADA được tung ra từ nhà nghiên cứu an ninhLuigi Auriemma.

Bây giờ, với sựtung ra các chỗ bị tổn thương ngày số 0 đối với cácphần mềm mà chúng kiểm soát các hệ thống công nghiệp- nhiều theo cách thức mà các chỗ bị tổn thương hoàntoàn được phát hiện đối với các ứng dụng của cácdoanh nghiệp và những người tiêu dùng - một số bây giờđang hỏi liệu an ninh các hệ thống SCADA có đang nhanhchóng bắt đầu giống với an ninh của các hệ điềuhành và phần mềm hay không.

“Có một số sựtương đồng giữa các vấn đề về an ninh của SCADA vàcác máy tính cá nhân PC/máy chủ truyền thống”, nhàphân tích John Pescatore của Gartner, nói. “Windows và cáchệ điều hành thương mại khác đầu tiên đã đượcviết với giả thiết là chúng chỉ có thể được kếtnối tới các mạng cục bộ LAN tin cậy, và khi chúng đượckết nối với Internet thì tất cả đã long hết ra”, ôngnói. “Hầu hết SCADA, kiểm soát qui trình, và máy y tếđã được viết với giả thiết là nó chỉ có thểtrong một mạng tin cậy, được cách li độc lập. Nhưngnhững thứ đó thường là trong mạng mà ngày càng cónhững con đường đi tới Internet - thậm chí nếu conđường này chỉ thông qua các đầu USB”, Pescatore nói.

Whilethe race between industrial control system attackers and defendersdidn't start with the Stuxnetworm, it certainly acted as a catalyst to a new arms race andmore researchers taking a closer look at the quality of SCADAsoftware.

Forinstance, just days ago, the three-person Moscow-based securityconsultancy Gleg announced it would up-date its Agora exploit pack(used in security testing applications) with scores of zero-daySCADA system vulnerabilities that had just been released. Some ofthose vulnerabilities were released with exploit code.

Thatrelease of SCADA exploits prompted a flurry of activity among some inthe security community. Security and SIEM vendor Nitrosecurity, forinstance, along with the Emerging Threats open source community, theOpen Information Security Foundation, and control system securityconsultancy Digital Bond and others, worked together to deliverintrusion detection signatures for SCADAvulnerabilities released by security researcher Luigi Auriemma.

Now,with the release of zero-day vulnerabilities for the software thatcontrols industrial systems -- much in the way vulnerabilities arefully disclosed for enterprise and consumer applications -- some arenow asking if SCADA system security is going to quickly begin toresemble the security of traditional software and operating systems.

"Thereare some parallels between SCADA and traditional PC/server securityproblems," says Gartner analyst John Pescatore. "Windowsand other commercial operating systems were first written assumingthey would only be connected to trusted LANs, and when they wereconnected to the Internet all hell broke loose," he says. "MostSCADA, process control, and medical machinery was written assuming itwould only be on an isolated, trusted network. But often those thingsare on networks that increasingly do have paths to the Internet --even if the path is only via USB drives," Pescatore says.

Adds Scott Crawford, giámđốc quản lý nghiên cứu của Enterprise ManagementAssociates nói: “Từ lâu có một giả thiết về an ninhcủa SCADA có trong một vài nghiên cứu”, ông nói. “Giảthiết lớn nhất trong đầu tôi là việc những hệ thốngnày hầu hết không được kết nối mạng hoặc các mạngcủa chúng 'bị lọt khí' một cách đầy đủ ý nghĩa”đối với các môi trường công cộng hơn. Trong khi điềuđó có thể là đúng trong một số triển khai cài đặt,thì nó xin tha đối với việc nó khó khăn làm sao có thểđối với một đám độc hại để chuyển từ một mụctiêu truy cập được một cách rộng rãi tới một mụctiêu được bảo vệ nhiều hơn như là một hệ thốngSCADA. Nó cũng xin tha về việc các môi trường này đượctrang bị tốt như thế nào để dò tìm ra chỗ bị tổnthương tiềm tàng, Crawford nói.

Nếu sự náo nhiệtgần đầy đối với những chỗ bị tổn thương củaSCADA và sự thành công của Stuxnet là bất kỳ chỉ sốnào, thì không quá xa mà một bước nhảy được mong đợicho các nhà vận hành các hệ thống công nghiệp để bắtđầu tìm kiếm một cách tỉ mỉ hươn về các cuộc tấncông khai thác và phần mềm độc hại. Và ở một mứcđộ nào đó thì điều đó đang được thực hiện rấtđa dạng từ một công ty này sang công ty khác, MohanRamanathan, nhà kiến trúc về hạ tầng sống còn các giảipháp tại Nitrosecurity, nói. “Một số cho điều đó làrất nghiêm túc, và họ đang triển khai các hệ thốnggiám sát và ngăn chặn thâm nhập trái phép để bảo vệcác mạng này, trong khi những người khác lại chẳng quantâm gì tới cả”, Ramanathan nói.

Tuy nhiên, Pescatore củaGartner không xem an ninh của SCADA và các hệ thống kiểmsoát qui trình là hoàn toàn tương tự như đối với cácnỗ lực về an ninh IT truyền thống. “Những hệ thốngnày hầu hết bị hạn chế đối với các máy chủ vàcác thiết bị hoạt động độc lập, khác với các máytính cá nhân PC của những người sử dụng. Các chiếnlược đơn giản như danh sách trắng đã chứng minh rấthiệu quả đối với những thứ như các máy ATM, các kiosvà các máy chủ hoặc thiết bị khác nơi mà những ngườisử dụng không được phép cài đặt các phần mềm mộtcách tùy ý”, ông nói. Ông cũng tranh luận rằng múc độnhư nhau về động cơ lợi nhuận không tồn tại để tấncông những hệ thống này. “Đại đa số các mã nguồntấn công thông minh được viết bởi những người tìmkiếm lợi ích tài chính - thậm chí Stuxnet hầu như đãsử dụng các kỹ thuật nổi tiếng một cách tổng hợpvới nhau, và hầu hết đa số các cuộc tấn công đichống lại các hệ thống kiểm soát qui trình là ở đâuđó gần như cũng tinh vi phức tạp như Stuxnet vậy”, ôngnói.

Có thể thế, nhưngnếu Ramanathan đúng, thì có lẽ không trơn tru dễ dàngđối với các nhà vận hành các hệ thống SCADA trongtương lai như đã từng trong quá khứ. “Về bức tranhcác mối đe dọa chung, thì qua 5-10 năm vừa qua, sự pháttriển các khai thác và các cuộc tấn công đã từng làkhá chậm. Tuy nhiên, chúng ta đã thấy một sự gia tăngnhanh chóng trong sự phát triển các phần mềm tấn côngđể thâm nhập được vào các hệ thống này cũng nhưcác cuộc tấn công thường xuyên hơn”, ông nói. “Đâychắc chắn là một khu vực mà đang nóng lên”.

AddsScott Crawford, managing research director Enterprise ManagementAssociates, "That has been a longstanding assumption about SCADAsecurity that bears some investigation," he says. "Thebiggest assumption in my mind is that these are mostly non-networkedsystems or their networks are meaningfully 'air gapped' f-rom morepublic environments. While that may be true in some deployments, itbegs the question of how difficult it would be for a malicious partyto move f-rom a widely accessible target to a more protected one suchas a SCADA system. It also begs the question of how well theseenvironments are instrumented to detect potential compromise,"Crawford says.

Ifthe recent flurry of SCADA vulnerabilities and the success of Stuxnetare any indication, than it's not too far a leap to expect industrialsystem operators to start to more carefully look for exploit andmalware attacks. And the extent that is being done varies greatlyf-rom one company to the next, says Mohan Ramanathan, solutionsarchitect for critical infrastructure at Nitrosecurity. "Someare taking it very seriously, and they're deploying the appropriatemonitoring and intrusion prevention systems to protect thesenetworks, while others are nowhe-re near that mature," Ramanathansays.

However,Gartner's Pescatore does not see SCADA and process control systemssecurity as entirely similar to traditional IT security efforts."These systems are mostly limited to single-function servers orappliances, vs. user PCs. Simple strategies like whitelisting haveproven very effective on things like ATM machines, kiosks and otherservers or appliances whe-re users don't have to be allowed to installarbitrary software," he says. He also contends that the samelevel of profit motive doesn't exist to attack these systems. "Thevast majority of clever attack code is written by those looking forfinancial gain -- even Stuxnet mostly used known techniques bundledtogether, and the vast majority of attacks going against processcontrol systems are nowhe-re near as sophisticated as Stuxnet,"he says.

Maybeso, but if Ramanathan is correct, it may not be as smooth a ride forSCADA system operators in the future as it was in the past. "Interms of the general threat landscape, over the last five or 10years, the development of exploits and attacks have been relativelylow. However, we've seen a rapid increase in the development ofattack software to get into these systems as well as more attacktraffic," he says. "It's definitely an area that is heatingup."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com