Jednokierunkowe bramy bezpieczeństwa Waterfall: 100% bezpieczeństwa OT, 100% widoczności

№1. ICS Insider
Niezadowolony technik systemu sterowania kradnie hasła, podszywając się pod innych techników, loguje się do sprzętu kontrolującego proces fizyczny przy użyciu skradzionych haseł i wydaje instrukcje wyłączenia części procesu fizycznego, powodując w ten sposób częściowe zamknięcie zakładu.

№2. IT Insider
Niezadowolony informatyk „przegląda” poświadczenia zdalnego dostępu wprowadzone przez technika pomocy technicznej ICS, który odwiedza zdalne biuro. Niezadowolony wtajemniczony później wykorzystuje te dane, aby zalogować się do tej samej odległej stacji roboczej inżynierii ICS, do której zalogował się technik. Wtajemniczony rozgląda się po stacji roboczej iw końcu znajduje i uruchamia kopię rozwojową zakładowego HMI. Wtajemniczony wyświetla losowo ekrany i naciska przyciski, które mogą spowodować największe szkody lub zamieszanie. Działania te powodują częściowe zamknięcie zakładu.

№3. Common Ransomware
Inżynier wyszukujący informacje techniczne z inżynieryjnej stacji roboczej połączonej z systemem ICS przypadkowo pobiera oprogramowanie ransomware. Szkodnik wykorzystuje znane luki w zabezpieczeniach, które nie zostały jeszcze załatane w sieci przemysłowej, szyfruje inżynieryjną stację roboczą i rozprzestrzenia się na większość hostów Windows w ICS. Większość hostów Windows w sieci przemysłowej jest w ten sposób szyfrowana przez atak, zamykając system kontroli. Uszkodzony system sterowania nie jest w stanie doprowadzić do prawidłowego zamknięcia. W ciągu kilku minut operator instalacji uruchamia awaryjne wyłączenie bezpieczeństwa.

№4. Targeted Ransomware
Atakujący z dobrą wiedzą komputerową atakuje osoby z wewnątrz IT za pomocą ataków phishingowych i złośliwych załączników, zyskując przyczółek w sieci IT za pomocą złośliwego oprogramowania Remote Access Tool (RAT). Atakujący używa RAT do kradzieży dodatkowych danych uwierzytelniających, ostatecznie uzyskując zdalny dostęp do przemysłowego systemu sterowania. Atakujący umieszcza ransomware w całym systemie ICS i żąda okupu. Witryna szybko wyłącza wszystkie połączenia elektroniczne między zaatakowaną instalacją a sieciami zewnętrznymi i próbuje zapłacić okup. Mechanizm płatności zawodzi, a oprogramowanie ransomware aktywuje się automatycznie, nie otrzymując od atakującego żadnego sygnału, że okup został zapłacony. Oprogramowanie ransomware wymazuje dyski twarde i oprogramowanie układowe BIOS we wszystkich zainfekowanych urządzeniach. Zakład przechodzi awaryjne wyłączenie.

№5. Zero-Day Ransomware
Agencja wywiadowcza omyłkowo pozostawia listę luk dnia zerowego w systemach operacyjnych, aplikacjach i piaskownicach zapory sieciowej w internetowym centrum dowodzenia i kontroli. Grupa atakująca, podobna do „brokerów cieni”, którzy odkryli zero dni Agencji Bezpieczeństwa Narodowego USA (NSA), odkrywa listę i sprzedaje ją zorganizowanej grupie przestępczej. Ta ostatnia grupa tworzy autonomiczne oprogramowanie ransomware, które rozprzestrzenia się, wykorzystując luki dnia zerowego w oprogramowaniu do udostępniania plików w systemie operacyjnym Windows. Złośliwe oprogramowanie jest publikowane jednocześnie na dziesiątkach zaatakowanych stron internetowych na całym świecie i natychmiast zaczyna się rozprzestrzeniać. W zakładach przemysłowych, które mogą udostępniać pliki bezpośrednio lub pośrednio z sieciami IT, złośliwe oprogramowanie przeskakuje przez zapory ogniowe poprzez szyfrowane połączenia z udostępnianymi plikami. Zaatakowane udziały plików infekują i szyfrują teren przemysłowy, powodując awaryjne wyłączenie i uszkadzając sprzęt fizyczny.

№6. Ukrainian Attack
Duża grupa hakerów kradnie hasła dostępu zdalnego do IT poprzez ataki phishingowe. Ci atakujący ostatecznie narażają kontroler domeny systemu Windows, tworzą dla siebie nowe konta i nadają nowym kontom uniwersalne uprawnienia administracyjne, w tym dostęp do sprzętu ICS. Osoby atakujące logują się do sprzętu ICS i obserwują działanie interfejsu HMI ICS, dopóki nie dowiedzą się, co robi wiele ekranów i kontrolek. Gdy grupa atakuje, napastnicy przejmują kontrolę nad interfejsem HMI i wykorzystują go do nieprawidłowego działania procesu fizycznego. Jednocześnie osoby współatakujące wykorzystują swoje poświadczenia administracyjne, aby zalogować się do sprzętu ICS, wymazać dyski twarde i tam, gdzie to możliwe, usunąć oprogramowanie sprzętowe.

№7. Zaawansowany Ukrainian Attack
Grupa napastników jest bardziej wyrafinowana pod względem narzędzi do cyberataków i szczegółów technicznych systemów elektrycznych. Grupa atakująca wyłudza do sieci informatycznej niewielkiego trojana zdalnego dostępu (RAT), takiego jak trojan BlackEnergy, który podobno został znaleziony w sieciach informatycznych narzędzi objętych atakiem ukraińskim, ale nie był w niego zaangażowany. Za pomocą RAT atakujący szukają i znajdują dodatkowe poświadczenia, ostatecznie narażając kontroler domeny przedsiębiorstwa. Grupa atakująca tworzy dla siebie dane uwierzytelniające i loguje się do serwerów ICS, ponownie umieszczając swój RAT w sieci ICS i ostatecznie przejmując sprzęt w sieci ICS. Po wejściu do sieci ICS grupa atakująca łączy się z przekaźnikami ochronnymi i rekonfiguruje je, skutecznie wyłączając przekaźniki. Grupa wysyła teraz polecenia sterujące, aby bardzo szybko podłączać i odłączać przepływy energii do części sieci, uszkadzając duże urządzenia wirujące, takie jak pompy używane w systemach dystrybucji wody. Atakujący przekierowują również przepływy mocy w niewielkiej liczbie podstacji przesyłowych wysokiego napięcia zarządzanych przez przedsiębiorstwa dystrybucyjne, niszcząc transformatory wysokiego napięcia poprzez ich przeciążenie i przegrzanie.

№8. Manipulacja rynku
Zorganizowany syndykat przestępczy atakuje znane luki w usługach narażonych na działanie Internetu i zdobywa przyczółek w sieciach IT. Zaszczepiają narzędzia RAT w zaatakowanym systemie, ostatecznie uzyskując uprawnienia administratora domeny systemu Windows. Atakujący sięgają do komputerów ICS, które ufają domenie IT Windows i propagują technologię RAT na te komputery. Ponieważ komputery ICS nie są w stanie kierować ruchu do Internetu, osoby atakujące kierują ruch za pośrednictwem połączeń równorzędnych przy użyciu zhakowanego sprzętu IT. W sieci ICS atakujący pobierają i analizują pliki konfiguracyjne systemu kontroli. Następnie przeprogramowują pojedynczy sterownik PLC, powodując nieprawidłowe działanie ważnego elementu fizycznego sprzętu, jednocześnie informując zakładowy interfejs HMI, że sprzęt działa normalnie. Sprzęt zużywa się przedwcześnie w okresie dużego zapotrzebowania na towarową produkcję zakładu. Zakład wyłącza się z powodu awaryjnej naprawy tej pozornie przypadkowej awarii sprzętu. Ten sam atak występuje w dwóch pobliskich zakładach. Gdy sprzęt ulegnie awarii, sprawcy usuwają wszystkie dowody ich obecności z sieci ICS dotkniętych nimi zakładów. Ceny towaru produkowanego w dotkniętych elektrowniach gwałtownie rosną na rynkach towarowych. Kiedy produkcja we wszystkich zakładach wraca do normy, ceny towarów wracają do normy. Przed atakiem i po nim napastnicy rutynowo spekulują na rynkach kontraktów terminowych na dany towar. To, że ci napastnicy osiągają duże zyski, gdy ceny towarów niespodziewanie rosną, są postrzegane przez potencjalnych śledczych jako normalne i legalne. Atak powtarza się w kolejnym sezonie dużego popytu.

№9. Zaawansowana manipulacja rynku
Wyrafinowani napastnicy przeprowadzają atak manipulacji na rynku, ale w sposób, który jest trudniejszy do pokonania. Wykorzystują znane luki w systemach połączonych z Internetem, aby włamać się do sieci informatycznej firmy usługowej, o której wiadomo, że dostarcza usługi swoim rzeczywistym celom. Atakujący piszą własne złośliwe oprogramowanie RAT i wdrażają je tylko w firmie usługowej, aby narzędzia antywirusowe firmy usługowej nie mogły wykryć RAT. Osoby atakujące wykorzystują RAT do skompromitowania laptopów personelu, który rutynowo odwiedza prawdziwy cel. Gdy atakujący wykryją, że zhakowane laptopy są podłączone do sieci informatycznej rzeczywistego celu, atakujący zdalnie sterują RAT i propagują go do sieci informatycznej celu. Wewnątrz sieci informatycznej celu atakujący nadal obsługują RAT. Systemy wykrywania włamań są ślepe na aktywność RAT, ponieważ atak ma niewielką skalę i wykorzystuje wiersze poleceń, a nie komunikację w stylu zdalnego pulpitu. Komunikacja dowodzenia i kontroli RAT jest zakodowana steganograficznie w pozornie łagodnej komunikacji z zainfekowanymi stronami internetowymi. Atak ostatecznie rozprzestrzenia się na sieć ICS, z takimi samymi konsekwencjami jak atak typu Market Manipulation.

№10. WIFI telefonu komórkowego
Wyrafinowani napastnicy starają się wyrządzić szkody na obszarze geograficznym, z którego z jakiegoś powodu są niezadowoleni. Osoby atakujące tworzą użyteczną, atrakcyjną, bezpłatną aplikację na telefon komórkowy. Osoby atakujące wykorzystują ukierunkowane ataki w mediach społecznościowych, aby przekonać pracowników biurowych w miejscach infrastruktury krytycznej w obraźliwym obszarze geograficznym do pobrania bezpłatnej aplikacji. Aplikacja działa nieprzerwanie w tle telefonu komórkowego. W miejscach pracy infrastruktury krytycznej aplikacja instruuje telefon, aby okresowo skanował sieci Wi-Fi i zgłaszał je do centrum dowodzenia i kontroli. Osoby atakujące ponownie wykorzystują media społecznościowe, socjotechnikę i ataki phishingowe, aby podszywać się pod osoby z wewnątrz organizacji docelowych i wydobywać hasła do sieci Wi-Fi. Kilka z tych sieci chronionych hasłem stanowi część przemysłowych systemów sterowania infrastruktury krytycznej. Atakujący logują się do tych sieci przy użyciu zhakowanych telefonów komórkowych i przeprowadzają zdalnie rozpoznanie, aż znajdą komponenty komputera podatne na proste ataki typu „odmowa usługi”, takie jak wymazywanie dysków twardych lub zalanie SYN. Osoby atakujące narażają działanie elektrowni, powodując nieplanowane zamknięcie. Następnie rozłączają się z sieciami Wi-Fi, a następnie okresowo powtarzają ten atak. Odmiana: zamiast aplikacji na telefon komórkowy osoby atakujące wykorzystują ataki phishingowe, aby umieszczać złośliwe oprogramowanie na komputerach biurowych pracowników biurowych, którzy pracują w docelowych zakładach przemysłowych, w fizycznym zasięgu sieci Wi-Fi ICS.

№11. Dwuskładnikowy “na porwanie”
Wyrafinowani napastnicy próbują naruszyć operacje w obiekcie przemysłowym chronionym najlepszymi praktykami bezpieczeństwa przemysłowego. Piszą niestandardowe złośliwe oprogramowanie RAT, aby obejść systemy antywirusowe i celują w techników wsparcia w zakładzie przemysłowym, wykorzystując badania w mediach społecznościowych i ukierunkowane wiadomości phishingowe. Technicy pomocy technicznej aktywują załączniki do złośliwego oprogramowania i autoryzują uprawnienia administracyjne do złośliwego oprogramowania, ponieważ uważają, że złośliwe oprogramowanie to kodek wideo lub inna, pozornie legalna technologia. Zamiast aktywować RAT w obiekcie przemysłowym, gdzie zaawansowane systemy wykrywania włamań mogą wykryć jego działanie, atakujący czekają, aż ofiara technik znajdzie się w ich sieci domowej, ale musi zalogować się zdalnie do obiektu przemysłowego, aby rozwiązać jakiś problem. Technik aktywuje VPN i loguje się przy użyciu uwierzytelniania dwuskładnikowego. W tym momencie złośliwe oprogramowanie aktywuje się, przesuwając okno Pulpitu zdalnego na niewidoczne rozszerzenie ekranu laptopa i wyświetlając technikowi zwodniczy komunikat o błędzie, taki jak „Pulpit zdalny przestał odpowiadać. Kliknij tutaj, aby spróbować rozwiązać problem”. Szkodnik zapewnia atakującym zdalną kontrolę nad niewidocznym oknem Pulpitu Zdalnego. Technik rozpoczyna kolejną sesję zdalnego pulpitu w zakładzie przemysłowym, nie myśląc o przerwie. W ten sposób wyrafinowani napastnicy mają dostęp do operacji przemysłowych tak długo, jak włączony jest laptop technika i VPN. Jedyną wskazówką problemu, którą widzi ICS IDS, jest to, że technik logował się dwukrotnie. Atakujący w końcu dowiadują się o systemie wystarczająco dużo, aby niewłaściwie obsługiwać fizyczny proces i spowodować poważne uszkodzenie sprzętu lub spowodować katastrofę ekologiczną poprzez uwolnienie materiałów toksycznych.

№12. IIoT Pivot
Haktywiści niezadowoleni z praktyk środowiskowych stosowanych przez zakład przemysłowy dowiadują się z popularnej prasy, że strona zaczyna korzystać z nowych, najnowocześniejszych urządzeń brzegowych Przemysłowego Internetu Rzeczy od danego dostawcy. Osoby atakujące przeszukują media, aby znaleźć innych użytkowników tych samych komponentów w mniejszych i prawdopodobnie gorzej chronionych witrynach. Haktywiści atakują te mniejsze witryny za pomocą wiadomości phishingowych i zdobywają przyczółek w sieciach IT i ICS najsłabiej chronionych z tych witryn klienckich IIoT. Haktywiści uzyskują dostęp do sprzętu IIoT w tych słabo bronionych witrynach i odkrywają, że sprzęt działa pod kontrolą starszej wersji Linuksa z wieloma znanymi lukami, ponieważ słabo broniona witryna od jakiegoś czasu nie aktualizowała oprogramowania sprzętowego. Atakujący przejmują jedno z urządzeń IIoT. Po obejrzeniu oprogramowania zainstalowanego na urządzeniu dochodzą do wniosku, że urządzenie komunikuje się przez Internet z bazą danych w chmurze od znanego dostawcy baz danych. Osoby atakujące pobierają Metasploit na urządzenie IIoT i atakują połączenie z bazą danych w chmurze za pomocą ostatnio wydanych exploitów dla tego dostawcy bazy danych. Odkrywają, że dostawca chmury nie zastosował jeszcze jednej z aktualizacji zabezpieczeń bazy danych, a atakujący przejmują serwery bazy danych dostawcy chmury. Badając relacyjną bazę danych i oprogramowanie na zhakowanych urządzeniach brzegowych, haktywiści dowiadują się, że baza danych może nakazać urządzeniom brzegowym wykonywanie dowolnych poleceń. Jest to „funkcja wsparcia”, która pozwala centralnej witrynie w chmurze aktualizować oprogramowanie, rekonfigurować urządzenie i w inny sposób zarządzać złożonością szybko rozwijającej się bazy kodu dla urządzeń brzegowych IIoT dostawcy chmury. Haktywiści wykorzystują tę funkcję do wysyłania poleceń, standardowych narzędzi ataku i innego oprogramowania do systemu operacyjnego Linux na urządzeniach brzegowych w sieciach ICS, które haktywiści uważają za swoje uzasadnione, nieodpowiedzialne dla środowiska cele. Wewnątrz tych sieci atakujący używają tych narzędzi i urządzeń do zdalnego sterowania, aby przez pewien czas przeprowadzić rozpoznanie i ostatecznie usunąć dyski twarde lub spowodować inne możliwe szkody, powodując nieplanowane wyłączenia. Krótko mówiąc, haktywiści zaatakowali mocno bronionego klienta usług w chmurze, przechodząc od słabo bronionego klienta do słabo bronionej chmury.

№13. Złośliwy outsourcing
Zakład przemysłowy zlecił zdalne wsparcie dostawcy komponentów systemu sterowania – na przykład: utrzymanie historii zakładu. Dostawca umieścił swoje ogólnoświatowe centrum zdalnego wsparcia w kraju o odpowiedniej podaży odpowiednio wykształconego personelu i niskich kosztach pracy. Słabo opłacany technik w tym centrum wsparcia znajduje lepiej płatną pracę gdzie indziej. Technik ostatniego dnia zatrudnienia postanawia zemścić się na personelu konkretnego klienta przemysłowego – tym samym, który ostatnio skarżył się przełożonemu technika na jego pracę. Technik loguje się do witryny klienta przy użyciu legalnie uzyskanych danych uwierzytelniających zdalnego dostępu, dwuskładnikowych danych uwierzytelniających i stałego połączenia VPN z docelową witryną. Technik loguje się do wszystkich komputerów systemu sterowania w witrynie, do których dostęp zapewniają dane uwierzytelniające, i pozostawia na każdym uruchomiony mały skrypt, który tydzień później wymazuje dyski twarde na każdym komputerze.

№14. Zaatakowana witryna dostawcy
Większość witryn ufa swoim dostawcom ICS — ale czy należy ufać witrynom tych dostawców? Haktywiści znajdują słabo chronioną witrynę internetową dostawcy ICS i kompromitują ją. Pobierają najnowsze kopie oprogramowania dostawcy i studiują je. Uczą się, gdzie w systemie przechowywana jest nazwa lub inny identyfikator obiektu przemysłowego. Osoby atakujące są niezadowolone z wielu przedsiębiorstw przemysłowych za wymyślone przestępstwa środowiskowe lub inne i przeszukują media publiczne, aby ustalić, które z tych przedsiębiorstw korzystają z oprogramowania zaatakowanego dostawcy. Osoby atakujące wykorzystują zaatakowaną witrynę internetową, aby rozpakować najnowszą aktualizację zabezpieczeń oprogramowania ICS i wstawić niewielki skrypt. Osoby atakujące przepakowują aktualizację zabezpieczeń, podpisują zmodyfikowaną aktualizację kluczem prywatnym na serwerze sieciowym i publikują zhakowaną aktualizację oraz nowy skrót MD5 aktualizacji. Z biegiem czasu wiele witryn pobiera i instaluje zhakowaną aktualizację. Przy każdym celu skrypt aktywuje się. Jeżeli skrypt nie znajdzie nazwy docelowego przedsiębiorstwa w aktualizowanym systemie sterowania 14 16, skrypt nic nie robi. Gdy skrypt znajdzie nazwę, instaluje kolejny mały skrypt, który zostaje uruchomiony tydzień później, wymazując dysk twardy i powodując nieplanowane i prawdopodobnie niekontrolowane zamknięcie. Jednotygodniowe opóźnienie w konsekwencjach sprawia, że ​​śledzenie ataku z powrotem do aktualizacji oprogramowania jest nieco trudniejsze.

№15. Zaatakowana zdalna witryna
W systemie SCADA, który może kontrolować system dystrybucji energii elektrycznej lub system dystrybucji wody, atakujący atakuje podstację lub pompownię, która jest fizycznie oddalona od potencjalnych świadków. Atakujący fizycznie przecina kłódkę na drucianym ogrodzeniu wokół odległej stacji i wchodzi do fizycznej lokalizacji. Napastnik lokalizuje szopę ze sprzętem kontrolnym – zazwyczaj jedyny zadaszony budynek na tym terenie – i ponownie zmusza drzwi do wejścia do szopy. Atakujący znajduje jedyny stojak w małej witrynie, podłącza laptopa do przełącznika Ethernet w stojaku i przykleja go taśmą do dolnej części sprzętu komputerowego znajdującego się nisko w stojaku, gdzie jest mało prawdopodobne, aby został wykryty. Atakujący opuszcza witrynę. Rozpoczyna się śledztwo, ale śledczy znajdują tylko obrażenia fizyczne i najwyraźniej niczego nie brakuje. Dodatkowy laptop nisko w stelażu nie został zauważony. Miesiąc później atakujący parkuje samochód w pobliżu zdalnej lokalizacji i wchodzi w interakcję z laptopem za pośrednictwem Wi-Fi, wyliczając sieć i wykrywając połączenia z powrotem do centralnej lokalizacji SCADA. Atakujący używa laptopa, aby włamać się do sprzętu w zdalnej lokalizacji, a stamtąd do centralnego systemu SCADA. Atakujący używa następnie technik ukraińskich do powodowania fizycznych wyłączeń.

№16. Tylne drzwi dostawcy
Zakład przemysłowy zlecił zdalne wsparcie komponentowi systemu sterowania. Twórca oprogramowania u dostawcy oprogramowania wstawia tylne drzwi do oprogramowania używanego w sieciach przemysłowych systemów sterowania. Oprogramowanie może być oprogramowaniem ICS lub może być sterownikiem, systemem zarządzania, systemem operacyjnym, siecią lub innym oprogramowaniem używanym przez składniki ICS. Tylne drzwi mogły zostać zainstalowane za zgodą dostawcy oprogramowania jako „mechanizm wsparcia” lub mogły zostać potajemnie zainstalowane przez programistę w złośliwych zamiarach. Oprogramowanie sprawdza co tydzień witrynę dostawcy pod kątem aktualizacji oprogramowania i powiadamia użytkownika za pomocą komunikatu na ekranie, gdy aktualizacja jest dostępna. Oprogramowanie, nieznane użytkownikowi końcowemu, tworzy również trwałe połączenie z witryną powiadamiającą o aktualizacjach, gdy witryna tak poleci, i umożliwia personelowi mającemu dostęp do witryny zdalnej obsługi urządzenia w sieci ICS. Atakujący klasy haktywistów odkrywają te tylne drzwi i atakują witrynę internetową dostawcy z aktualizacją oprogramowania, przeprowadzając atak polegający na wyłudzaniu hasła. Atakujący następnie wykorzystują tylne drzwi, aby zakłócić działanie zakładów przemysłowych powiązanych z firmami, na które haktywiści wyobrażali sobie, że mogą złożyć skargę. Należy zauważyć, że systemy antywirusowe raczej nie wykryją tych tylnych drzwi, ponieważ nie jest to rodzaj złośliwego oprogramowania rozprzestrzeniającego się autonomicznie, do którego wykrywania zostały zaprojektowane systemy antywirusowe. Systemy piaskownicy również raczej tego nie wykryją, ponieważ jedynym zachowaniem sieciowym obserwowanym przez te systemy jest okresowe dzwonienie do witryny aktualizacji oprogramowania legalnego dostawcy z prośbą o instrukcje dotyczące aktualizacji.

№17. Stuxnet
Wyrafinowani napastnicy atakują konkretną i silnie chronioną witrynę przemysłową. Najpierw kompromitują nieco gorzej bronionego dostawcę usług, wydobywając szczegóły dotyczące sposobu projektowania i ochrony silnie chronionej witryny. Przeciwnicy opracowują niestandardowe, autonomiczne złośliwe oprogramowanie, które atakuje w szczególności silnie chronioną witrynę i powoduje fizyczne uszkodzenia sprzętu w witrynie. Autonomiczne złośliwe oprogramowanie wykorzystuje luki dnia zerowego. Dostawcy usług przenoszą złośliwe oprogramowanie do witryny na nośnikach wymiennych. Skanery antywirusowe są ślepe na niestandardowe złośliwe oprogramowanie, które wykorzystuje zero-day.

№18. Łańcuch dostaw sprzętu
Zaawansowany napastnik naraża sieć informatyczną przedsiębiorstwa z silnie strzeżoną placówką przemysłową. Atakujący kradnie informacje o tym, którzy dostawcy zaopatrują zakład przemysłowy w serwery i stacje robocze, a także którzy dostawcy rutynowo wysyłają taki sprzęt do witryny. Atakujący następnie nawiązuje relację z kierowcami dostawczymi w organizacji logistycznej, rutynowo płacąc kierowcom skromne sumy pieniędzy za zrobienie dwugodzinnych przerw na lunch zamiast godzinnych. Kiedy inteligencja informatyczna wskazuje, że nowa dostawa komputerów jest w drodze do zakładu przemysłowego, agencja wykorzystuje dwugodzinne okno, aby włamać się do furgonetki dostawczej, otworzyć paczki przeznaczone do zakładu przemysłowego, wstawić jednopłytkę dostępną bezprzewodowo komputery do nowego sprzętu i przepakować nowy sprzęt tak, aby manipulacja była niewykrywalna. Jakiś czas po tym, jak dane informatyczne wskazują, że sprzęt jest w produkcji, osoby atakujące uzyskują dostęp do wbudowanych komputerów bezprzewodowo, aby manipulować fizycznym procesem. Atakujący ostatecznie osłabiają środki ochrony sprzętu, paraliżując produkcję w zakładzie przez coś, co wydaje się być długą sekwencją bardzo niefortunnych, przypadkowych awarii sprzętu.

№19. Kompromis krypto-państwowy
Atakujący klasy państwowej narusza system szyfrowania PKI, kradnąc certyfikaty z dobrze znanego urzędu certyfikacji lub łamiąc popularny system kryptograficzny i w ten sposób fałszując certyfikaty. Atakujący narusza infrastrukturę internetową w celu przechwytywania połączeń z docelowej witryny przemysłowej do dostawców oprogramowania. Atakujący oszukuje witrynę, aby pobrać złośliwe oprogramowanie z sygnaturą, która wydaje się być legalną sygnaturą dostawcy. Złośliwe oprogramowanie nawiązuje komunikację peer-to-peer, która jest tunelowana steganograficznie przez zapory sieciowe ICS i strefy DMZ na pozornie legalnych kanałach komunikacyjnych sankcjonowanych przez dostawców. Przeciwnik z państwa narodowego operuje złośliwym oprogramowaniem zdalnie, poznając zaatakowaną witrynę. Przeciwnik tworzy niestandardowe narzędzia ataku, które po aktywacji powodują uwolnienie toksyn do środowiska, poważne uszkodzenie sprzętu i zamknięcie zakładu.

№20. Zaawansowany, poświadczony Insider ICS
Wyrafinowany napastnik przekupuje lub szantażuje osobę z ICS w zakładzie przemysłowym. Insider systematycznie ujawnia atakującym informacje na temat projektu fizycznego procesu witryny, systemów kontroli i konfiguracji zabezpieczeń. Atakujący tworzy niestandardowe, autonomiczne złośliwe oprogramowanie zaprojektowane w celu pokonania wdrożonych konfiguracji zabezpieczeń. Wtajemniczony celowo umieszcza złośliwe oprogramowanie w systemie z danymi uwierzytelniającymi niejawnego użytkownika. Kilka godzin później złośliwe oprogramowanie aktywuje się. Dzień później następuje eksplozja, która zabija kilku pracowników, powoduje miliardowe szkody w zakładzie i zamyka zakład na 12-18 miesięcy.

Głównym celem programu bezpieczeństwa OT, którego celem jest przetrwanie cyberincydentu, jest nieprzerwane i niezawodne działanie przez cały czas trwania incydentu. Sieci IT są znacznie bardziej narażone na ataki ransomware niż powinny być sieci OT, więc można się spodziewać, że sieci IT będą atakowane znacznie częściej niż sieci OT. Dlatego w wielu branżach automatyzacja musi być zaprojektowana tak, aby operacje mogły być kontynuowane bezpiecznie i nieprzerwanie, nawet gdy bardziej narażona sieć IT jest zagrożona. 

Secure Operations Technology (SEC-OT) to metodologia stosowana przez najbezpieczniejsze witryny, aby osiągnąć ten cel, jakim jest bezpieczne, ciągłe i prawidłowe działanie. Witryny SEC-OT zarządzają przepływem informacji o atakach tak dokładnie, że przeniesienie informacji o ataku do sieci operacyjnych, celowo lub przypadkowo, jest praktycznie niemożliwe. Dzięki silnym zabezpieczeniom SEC-OT, takim jak kontrola nośników wymiennych, kontrola urządzeń wymiennych i technologia bram jednokierunkowych, ataki ransomware nie mogą dotrzeć do przemysłowych systemów kontroli obsługujących infrastrukturę fizyczną i procesy produkcyjne, a zatem nie mogą spowodować nieprawidłowego działania tych procesów.

Na szczególną uwagę zasługuje kontrolowanie zależności od usług w chmurze. Oprogramowanie ransomware dostarczane za pośrednictwem usług w chmurze może sparaliżować nie tylko jedną fabrykę lub fizyczną operację, ale wszystkie operacje korzystające z zagrożonej usługi w chmurze. Zapobieganie takim kompromisom jest proste — bezpieczne witryny mogą bezpiecznie korzystać z usług chmury przemysłowej, łącząc się z tymi usługami tylko za pośrednictwem technologii jednokierunkowej bramy wymuszanej sprzętowo.