Incident kybernetickej bezpečnosti v entite rozvodnej siete USA spojený s neopravenými bránami firewall

Incident kybernetickej bezpečnosti, ktorý začiatkom tohto roka zasiahol entitu americkej rozvodnej siete, nebol taký nebezpečný, ako sa pôvodne predpokladalo, uviedla minulý týždeň spoločnosť North American Electric Reliability Corporation (NERC).

V správe zdôrazňujúcej „poučenia“ z minulého incidentu NERC uviedol, že hackeri 5. marca 2019 opakovane spôsobili reštartovanie firewallov na približne desať hodín.

Incident ovplyvnil firewally nasadené na viacerých miestach výroby elektrickej energie prevádzkovaných operátorom s „nízkym dopadom“ a nespôsobil žiadne prerušenie dodávky elektrickej energie.

Incident zasiahol iba sieťové obvodové firewally, ktoré sa 5. marca záhadne vypínali na dobu až piatich minút. Reštartovanie firewallu pokračovalo hodiny, čo prinútilo prevádzkovateľa elektrickej siete začať vyšetrovanie.

"Následná analýza zistila, že reštarty boli iniciované externou entitou, ktorá využívala známu zraniteľnosť brány firewall," uviedol NERC.

Prevádzkovateľ elektrickej siete nakoniec zistil, že sa im nepodarilo použiť aktualizácie firmvéru pre firewally, ktoré boli napadnuté. Reštartovanie sa zastavilo po tom, čo operátor nasadil správne záplaty.

Operátor obvinil z neaplikovania bezpečnostných aktualizácií brány firewall nedostatok riadneho procesu kontroly firmvéru na preverenie bezpečnostných aktualizácií pred ich nasadením. Pracovalo sa na štandardizácii takéhoto procesu, ale postup nebol pripravený včas, čo viedlo k tomu, že aktualizácie firmvéru neboli skontrolované a nasadené.

Incident nemal za následok veľké narušenie; však NERC zámerne zdôraznil útoky z marca 2019, aby upozornil na skutočnosť, že mnohé Spoločnosti nemusia včas nasadzovať aktualizácie firmvéru, čo má za následok otvorenie bezpečnostných dier siete.

NERC vo svojej súkromnej správe uvádza sériu odporúčaní na riešenie firewallov a záplat. Kópia tejto správy bola získaná spoločnosťou Správy E&E reportérov, ktorí ako prvý prelomili tento príbeh cez víkend.

Stručné zhrnutie týchto odporúčaní je uvedené nižšie, ale odporúčame prečítať si celý súbor v správe:

• Postupujte podľa osvedčených priemyselných postupov pre správu zraniteľností a opráv.
• Znížte a kontrolujte svoju útočnú plochu (majte čo najmenej zariadení pripojených k internetu).
• Používajte VPN (virtuálne privátne siete).
• Použite zoznamy riadenia prístupu (ACL) na filtrovanie prichádzajúcej prevádzky pred spracovaním bránou firewall; minimalizovať prenos prostredníctvom odmietnutia predvolenou konfiguráciou s bielym zoznamom povolených a očakávaných adries IP. Obmedzte odchádzajúce prenosy podobne na účely informačnej bezpečnosti.
• Vrstvené obrany. Je ťažšie preniknúť do skríningového smerovača, terminátora virtuálnej súkromnej siete a firewallu v sérii ako len cez firewall (za predpokladu, že ACL a iné konfigurácie sú vhodné).
• Segmentujte svoju sieť. Obmedzte bočnú komunikáciu na nevyhnutnú a očakávanú premávku, aby ste znížili dopad narušenia.
• Poznajte svoje zraniteľné miesta, ktoré je možné zneužiť, aby ste mohli pokračovať v opravách.
• Monitorujte svoju sieť.
• Využívajte redundantné riešenia na zabezpečenie odolnosti a možností online údržby.