Οι σελίδες SCADA είναι από τις πιο ευάλωτες σελίδες που υπάρχουν. Οι σελίδες αυτές περιλαμβάνουν βιομηχανικά συστήματα ελέγχου, εγκαταστάσεις επεξεργασίας νερού, πυρηνικούς σταθμούς παραγωγής ενέργειας, το ηλεκτρικό δίκτυο και σχεδόν κάθε άλλη βιομηχανική εγκατάσταση. Αυτές οι σελίδες είναι πιθανό να αποτελέσουν στόχους σε οποιονδήποτε πόλεμο στον κυβερνοχώρο, ή ακόμη χειρότερα, στόχους μιας τρομοκρατικής επίθεσης.
Αν και τα τελευταία χρόνια είδαμε μερικές τρομοκρατικές επιθέσεις, η κλίμακα μιας τρομοκρατικής επίθεσης στον κυβερνοχώρο εναντίον ενός δικτυακού ιστότοπου SCADA επισκιάζει αυτές τις επιθέσεις από την άποψη της δυνητικής σημασίας τους. Θυμάστε την καταστροφή του Bhopal το 1982 στην Ινδία; Εκείνο το βιομηχανικό ατύχημα φέρεται να σκότωσε πάνω από 16.000 ανθρώπους και να τραυμάτισε πάνω από 500.000 άλλους. Εάν οι τρομοκράτες του κυβερνοχώρου μπορέσουν να επιτεθούν, να απενεργοποιήσουν, να κάνουν DoS, να χειραγωγήσουν ένα τέτοιο εργοστάσιο, ο αριθμός των νεκρών θα μπορούσε να είναι συγκλονιστικός.
Ασφάλεια SCADA σελίδων
Υπάρχουν πολλοί τρόποι για να ασφαλίσετε μια σελίδα SCADA. Οι δύο βασικοί κανόνες για την εξασφάλιση μιας τέτοιας τοποθεσίας είναι οι εξής,
(1) απομονώστε το σύστημα SCADA από το εταιρικό ή οποιοδήποτε άλλο δίκτυο
(2) επιδιόρθωση (patch) όλων των συστημάτων
Όσο απλοί και αν φαίνονται αυτοί οι δύο κανόνες, είναι πολύ πιο δύσκολο να τους κάνεις παρά να τους λες.
Χρήση του Splunk στο SCADA
Το Splunk είναι ένα εξαιρετικό εργαλείο για την παρακολούθηση του δικτύου πληροφορικής σας, καθώς συγκεντρώνει όλα τα δεδομένα των μηχανημάτων σας σε ένα ενιαίο αποθετήριο, το οποίο μπορείτε να αναζητήσετε και να παρακολουθήσετε. Δυστυχώς, δεν θα κάνει το ίδιο για το σύστημα SCADA σας. Το πρόβλημα είναι ότι τα πρωτόκολλα στο SCADA είναι μοναδικά και σε ορισμένες περιπτώσεις ιδιόκτητα και το Splunk δεν έχει κατασκευαστεί για να έχει πρόσβαση σε αυτά τα δεδομένα μηχανών. Αυτά τα πρωτόκολλα περιλαμβάνουν τα modbus, Profinet, DNP3 και πολλά άλλα
Ευτυχώς, μια εταιρεία με το όνομα Kepware έχει αναπτύξει ένα plug-in για το Splunk που μας επιτρέπει να χρησιμοποιούμε το Splunk σε περιβάλλον SCADA. Ένα από τα πρωτόκολλα που είναι κοινά στο SCADA είναι το OPC. Ο διακομιστής της Kepware, το plug-in στο Splunk είναι σε θέση να αντλεί τα δεδομένα από το περιβάλλον SCADA/ICS, να τα μετατρέπει σε ζεύγη δεδομένων ASCII και να τα τροφοδοτεί στο Splunk.
Σύμφωνα με την ορολογία OPC, ο διακομιστής/προσάρτημα της Kepware είναι ένας πελάτης OPC, καθώς ζητά δεδομένα από τις συσκευές SCADA. Δεδομένου ότι περιέχουν τα δεδομένα, αναφέρονται ως “διακομιστές”.
Το κλειδί για τη χρήση του Splunk με SCADA/ICS είναι η συλλογή δεδομένων. Πριν προχωρήσουμε σε μια περαιτέρω διαδικασία πρέπει να ρυθμίσουμε το Splunk ώστε να λαμβάνει δεδομένα από μια θύρα TCP. Ξεκινήστε το Splunk και πηγαίνετε στο AddData -> Monitor και στη συνέχεια κάντε κλικ στο TCP/UDP στο αριστερό μενού και ανοίγει μια οθόνη όπως η παρακάτω.
Επιλέξτε μια θύρα στην οποία θα ακούει το Splunk. Το ποια θύρα δεν έχει σημασία, αλλά αποφύγετε τις συχνά χρησιμοποιούμενες θύρες. Από εκεί θα λαμβάνει το Splunk τα δεδομένα SCADA/ICS από το πρόσθετο της Kepware.
Τώρα, για να κάνουμε τη συλλογή δεδομένων θα χρειαστούμε ένα plug-in για το Splunk που ονομάζεται IDF ή Industrial Data Forwarded by Kepware. Μπορούμε να αποκτήσουμε το πρόσθετο στη διεύθυνση
https://info.kepware.com/opc-foundation-kepserverex-download όπως φαίνεται παρακάτω.
Αφού εγγραφείτε, κατεβάστε το IDF for Splunk.
Ακολουθήστε τα βήματα του οδηγού της Kepware.
Για σκοπούς επίδειξης, ας επιλέξουμε την σουίτα “Oil and Gas“. Με την επιλογή αυτής της σουίτας, η Kepware θα φορτώσει τα κατάλληλα προγράμματα οδήγησης για συσκευές που χρησιμοποιούνται συνήθως σε αυτόν τον κλάδο.
Στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο.
Στη συνέχεια, κάντε κλικ στο Επόμενο και Επόμενο και Εγκατάσταση.
Και τέλος, κάντε κλικ στο κουμπί Τέλος.
Για να εκκινήσετε τον Kepware Server, κάντε κλικ στο εικονίδιο Kepware Server ή κάντε κλικ στο εικονίδιο Kepware στο κουμπί Έναρξη και προγράμματα και θα ανοίξει ο Kepware Server όπως παρακάτω.
Τώρα, κάντε κλικ στο Βοήθεια –> Πληροφορίες υποστήριξης –> Εκδόσεις. Όταν το κάνετε αυτό, θα δείτε όλα τα εγκατεστημένα προγράμματα οδήγησης και πρόσθετα με τον αριθμό έκδοσης τους.
Η Kepware χρησιμοποιεί το OPC ή Open Productivity and Connectivity (πρόκειται για ένα πρωτόκολλο που αναπτύχθηκε από τη Microsoft τη δεκαετία του 1990 με βάση το DCOM και είναι πλέον ανοικτού κώδικα) για τη συλλογή πληροφοριών συσκευών. Πρόκειται για μια τεχνολογία πελάτη/εξυπηρετητή, όπου μια εφαρμογή λειτουργεί ως διακομιστής και μια άλλη ως πελάτης.
Ένας διακομιστής OPC μπορεί να επικοινωνεί δεδομένα συνεχώς μεταξύ των PLC στο χώρο του εργοστασίου, των RTU στο πεδίο, των σταθμών εργασίας HMI και των εφαρμογών λογισμικού σε επιτραπέζιους υπολογιστές. Αυτή η διαμόρφωση επιτρέπει τη συνεχή επικοινωνία σε πραγματικό χρόνο, ακόμη και όταν το υλικό και το λογισμικό προέρχονται από διαφορετικούς προμηθευτές.
Μπορούμε να ανοίξουμε το OPC Quick Client στο Kepware πηγαίνοντας στο Tools –> Launch OPC Quick Client.
Ανοίγει το “πρόγραμμα-πελάτη” OPC όπως παρακάτω.
Με αυτόν τον τρόπο το Kepware συλλέγει τις πληροφορίες που μπορούν στη συνέχεια να χρησιμοποιηθούν με το Splunk για ανάλυση. Μόλις ο Kepware Server συλλέξει τις πληροφορίες και τις μετατρέψει σε ζεύγη ASCII, τα δεδομένα αυτά μπορούν στη συνέχεια να εισαχθούν απευθείας στο Splunk και να αναλυθούν όπως οποιαδήποτε άλλα, συμπεριλαμβανομένης της γλώσσας επεξεργασίας Splunk.
