מיומנה של חוקרת סייבר: כך נשאבתי לניתוח חולשות של תשתיות קריטיות

עברו שלוש שנים מאז שהתחלתי לבחון חולשות אבטחה במערכות סייבר-פיזיות בתשתיות קריטיות. דבר שהתחיל בכך שהבוס שלי אמר: "אספו קצת נתונים ובואו נראה מה אנחנו מוצאים", הלך ונבנה לכדי תשתית מקיפה ואוטומטית, המאפשרת לי ולצוות מחקר הסייבר שלנו לבחון את התמונה הרחבה של חולשות בהתקנים מחוברים.

למה זה חשוב? תארו לעצמכם מצב שבו בבת אחת ייפסקו השירותים הבסיסיים ביותר שהתרגלתם אליהם. המים לא יזרמו מהברזים, החשמל והגז ייפסיקו לפעול, האינטרנט יתנתק ובתי החולים יושבתו. התשתיות הקריטיות הללו, שמאפשרות לנו שגרת חיים נורמלית, נמצאות על הכוונת של פושעי סייבר. התוקפים מחפשים חולשות אבטחה ופרצות שיאפשרו להם לחדור עמוק לתוך הרשת התפעולית, והם מוצאים אותן בנקודות התורפה החלשות ביותר – במערכות סייבר-פיזיות, אותן מערכות בקרה תעשייתיות והתקנים המחוברים לרשתות התפעוליות (התקני XIoT).

למרות שכל הנתונים שציינתי נגישים לציבור, הם לא תמיד זמינים לשימוש על ידי כולם. לא לכולם יש את המשאבים, היכולת או הזמן לאסוף, לבדוק ולנתח אותם. אנשי אבטחה רבים עוברים על רשימות של גילויי חולשות ללא יכולת להפיק מהן תועלת. שאפנו לגשר על הפער הזה ולהפוך את הנתונים הזמינים לידע שניתן ליישם בפועל

שיתוף המחקר והידע שלנו היה תמיד המטרה, ופעלנו כדי לאסוף מספיק נתונים ולהגיע למסקנות שניתן ליישם בעולם האמתי. לדוגמה, במחקר הדו-שנתי האחרון שלנו, גילינו שכמעט שלושה רבעים מסך מחולשות האבטחה הם בעלי השפעה על זמינות המערכת וההתקן, כאשר פוטנציאל הנזק כולל ביצוע לא מורשה מרחוק של קוד או פקודה, ואחריה מניעת שירות. המלצנו על פילוח רשת, גישה מאובטחת מרחוק והגנה מפני תוכנות כופר, פישינג וספאם.

למדתי הרבה בתהליך הזה, ועכשיו, אחרי שכתבתי ארבעה דו"חות מחקר דו-שנתיים, הבנתי שהגיע הזמן לשתף קצת ידע שצברנו בתקווה שהוא יסייע לאחרים בקהילה.

איך מתחילים?

השאלה הראשונה ששאלתי את עצמי הייתה: מה ירצה מנהל אבטחת המידע ללמוד מהנתונים שאני אוספת ומנתחת? החלטתי שיש לצייר תמונה מלאה ככל האפשר של נוף החולשות בעולם מערכות הבקרה התעשייתיות, ולספק המלצות. זאת, על מנת לסייע בהבנת הסיכון וחומרתו ולספק צעדים לניהול החולשות, צמצום הסיכון, תיקונים ועוד.

התמקדתי בשאלות הליבה – אילו מסקנות ניתן להסיק מנתונים זמינים לציבור על חולשות שנחשפו בפרק זמן מסוים, אילו אתגרים חולשות אלו מציבות, ולבסוף, מה ניתן לעשות כדי לנהל טוב יותר סיכוני אבטחה וחולשות ברשתות של מערכות בקרה.

איסוף נתונים

חיפשתי נתונים שאוכל להשתמש בהם משני מקורות ציבוריים – NVD (ר"ת National Vulnerability Database) ו-ICS-CERT. פיתחתי סורקים שאיתרו כל CVE הקשור ל-ICS ואת הפרטים הרלוונטיים שלו, כולל ציון חומרת CVSS ו-CWE (ר"ת Common Weakness Enumerations), וכולל פרטי החוקרים שחשפו את החולשות. בדו"חות מתקדמים הוספנו מקורות נתונים חדשים, והסורקים אספו נתונים נוספים כגון מוצרים מושפעים, זמינות של תיקון וצמצום הסיכון, ועוד.

למרות שכל הנתונים שציינתי נגישים לציבור, הם לא תמיד זמינים לשימוש על ידי כולם. לא לכולם יש את המשאבים, היכולת או הזמן לאסוף, לבדוק ולנתח אותם. אנשי אבטחה רבים עוברים על רשימות של גילויי חולשות ללא יכולת להפיק מהן תועלת. שאפנו לגשר על הפער הזה ולהפוך את הנתונים הזמינים לידע שניתן ליישם בפועל.

קונטקסט, קונטקסט וקונטקסט

על מנת לייצר ידע משמעותי ותובנות הניתנות ליישום, לא מספיק רק לספור חולשות ולזהות מגמות. הקונטקסט חשוב, כדי לספק הבנה מעמיקה על הסיכונים ועצות מעשיות בנוגע לתיקון החולשות ולצמצום הסיכון.

טיפול בחולשות רק על ידי ניקוד CVSS הוא לא מספיק טוב. מודל הניקוד של CVSS נוצר מתוך מחשבה על רשתות של מערכות מידע ולא על רשתות תפעוליות, שבהן סדרי העדיפויות שונים (למשל, שלמות הנתונים אינה חשובה כמו זמינות או בטיחות). מסיבה זו, פירקנו את ציוני ה-CVSS למרכיבים שונים והוספנו מידע על CWE, מתוך ידיעה שחולשות, המובילות להתקפות מניעת שירות, או ביצוע קוד מרחוק, חשובות יותר מאחרות, ויש להדגיש אותן ללא קשר לציון הקריטיות.

סביבות של רשתות תפעוליות הם חיה שונה

עדכוני אבטחה בסביבות של רשתות תפעוליות שונים במהותם מאלו הקיימים ברשתות של מערכות מידע. עדכוני תוכנה וקושחה לא תמיד מיושמים באופן מיידי. על התיקונים לעבור בדיקת רגרסיה, כדי להבין אם יש בעיות של התאמה עם יישומים קיימים, על מנת להימנע ממצב של עדכון אבטחה שיקלקל תהליך שפועל בצורה חלקה. פיתוח עדכוני הקושחה אורך זמן רב, וברגע שהם זמינים, הם אינם טריוויאליים ליישום באתרים, שעשויים להיות במקומות שונים ובמקומות שקשה להגיע אליהם.

לעתים מפעילים מעדיפים לצמצם סוגים מסוימים של חולשות, עד שייפתח חלון לעדכון אבטחה רוחבי בארגון, או עד שעדכון קושחה יהיה זמין על ידי הספק. ניהול חולשות מושפע גם על ידי מידע חלקי בהודעה מהספק או מה-CERT. לכן, אנחנו מנסים להראות הצלחות של חברות מסוימות עם צמצום החולשות, וכיצד ניתן ליישם זאת בסביבות שונות.

המסקנה החשובה ביותר שהגענו אליה היא שלא כל מי שקורא את הדו"ח שלנו הוא אדם טכני. הדו"חות שלנו מספקים שילוב חשוב של תובנות טכניות ואסטרטגיות, שמעצבות לא רק החלטות תפעוליות יומיומיות אלא גם אסטרטגיות לטווח ארוך.

הכותבת היא חוקרת סייבר בצוות Team82 של חברת קלארוטי (Claroty)