Holistic Security

วันนี้มีโอกาสได้ไปร่วมสัมมนา Roundtable เรื่อง “The Future of Cybersecurity is Physical” ที่จัดโดยบริษัท Accenture ในงาน Asian Utility Week 2018 ที่ Impact Exhibition Hall 1–2 ฟังโดยรวมแล้วก็เหมือนเป็นแนวคิด/Solution ที่ดี แต่ยังรู้สึกตะหงิดๆ อยู่ เลยขอจดไว้ก่อน เผื่อนึกอะไรออกวันหลัง 😑

ก่อนเริ่มการนำเสนอ เค้าเปิดวิดีโอนี้ให้ดู

TL;DW ประมาณว่าเป็นวิดีโอของกลุ่มแฮ็กเกอร์ที่ได้รับการว่าจ้างให้ลองโจมตีหน่วยงานด้านพลังงานแห่งหนึ่งในอเมริกา โดยเริ่มตั้งแต่การพยายามบุกรุกเข้าไปในตัวอาคาร ผ่านล็อก รั้ว ประตู ลองเปิดรถที่จอดทิ้งไว้อยู่เพื่อหาบัตร ฯลฯ จนสามารถเข้าไปวางอุปกรณ์/มัลแวร์ในเครื่องพีซีของบริษัทได้ มีการใช้โดรนบินสำรวจเพื่อหาจุดบอดของกล้อง Infrared CCTV อะไรทำนองนี้

เข้าใจว่าวัตถุประสงค์ของเค้าคือพยายามชี้ให้เห็นว่า Physical Security นั้นสำคัญมาก จากนั้นก็เข้าสู่การนำเสนอ โดยเค้ามองว่าเราสามารถแบ่ง Security ออกเป็น 3 ส่วน คือ

  • Cyber Security (เข้าใจว่าหมายถึง IT)
  • OT Security (หรือ ICS Security)
  • Physical Security

และมีการ coined term ใหม่ขึ้นมาคือ “Holistic Security” ที่มีจุดมุ่งหมายในการรวมทั้ง 3 ส่วนนี้เข้าด้วยกัน ผ่านระบบที่เรียกว่า Fusion Center

จากนั้นก็เป็นการ Demo ระบบให้ดู โดยแสดง Live Feed จากสิงคโปร์ เป็นโรงงานอะไรซักอย่าง พอ CCTV จับภาพได้ว่ามีคนเดินผ่านอุปกรณ์สำคัญในโรงงาน โดยไม่สวมชุดฟอร์มให้ถูกต้อง ก็จะมี Alert เด้งขึ้นมาเตือนในระบบ แต่ถ้าแต่งตัวถูกต้องก็จะไม่มีการแจ้งเตือน หลังจากนั้นก็โชว์ Scenario ประมาณว่า คนที่มาทำงานกับอุปกรณ์ดังกล่าวใช้บัตรผิดใบในการ Swipe และล็อกอินเข้าไปที่ HMI ก็จะมีการแจ้งเตือนอีกเช่นกัน หรือยิ่งกว่านั้นก็สามารถกำหนดให้ชัตดาวน์เครื่อง HMI โดยอัตโนมัติ ถ้ามีการเข้าถึงที่ไม่ถูกต้อง หรือเมื่อมีการใช้งาน USB Drive ได้ด้วย

อีกส่วนหนึ่งก็เป็นการโชว์ว่าระบบสามารถแจ้งเตือนการทำงานผิดปกติของอุปกรณ์ในระบบไฟฟ้า เช่น หม้อแปลง เมื่อมีอุณหภูมิหรือ % Utilization ผิดปกติ รวมถึงสามารถทำนายช่วงเวลาที่อุปกรณ์จะชำรุดได้ด้วย โดยอาศัย Insights จากการทำ Data Analytics ในเบื้องหลัง

โดยสรุป (ตามความเข้าใจของผม) คือ เค้าพยายามจะชี้ให้เห็นว่าการนำระบบนี้มาใช้ จะช่วยให้ระบบ OT/ICS ปลอดภัยจากภัยคุกคามมากขึ้น โดยแลกกับการที่ระบบ OT/ICS ต้องส่งข้อมูลด้าน Operation ต่างๆ ไปให้ Fusion Center เพื่อให้สามารถวิเคราะห์สถานการณ์และแจ้งเตือนเวลาเกิด Anomalies ขึ้นในระบบได้

Personal notes/questions: ตรงนี้เป็นรายการส่วนที่รู้สึกตะหงิดๆ หรือคำถาม/สิ่งที่คิดว่ายังไม่เคลียร์เกี่ยวกับแนวคิดนี้

  1. ยังไม่เข้าใจว่าทำไมต้องแยก Physical Security ออกมาเป็นอีกเรื่องหนึ่ง ทั้งๆ ที่ปกติมันก็รวมอยู่ในมาตรฐาน/คำแนะนำด้าน Cybercurity ทุกเล่มอยู่แล้ว 😗
  2. Behavior Analytics น่าจะเป็นฟีเจอร์พื้นฐานของระบบ Cybersecurity สมัยใหม่อยู่แล้ว ยังไม่เห็นความ Wow ของระบบนี้ ที่แตกต่างจากระบบอื่น
  3. สงสัยว่าระบบนี้มันจะช่วยเพิ่ม Physical Security ได้ยังไง ถ้า Perimeter, Access Control, หรือ CCTV ยังเหมือนเดิม
  4. เลยสงสัยต่อจากข้อ 3 ว่า Fusion Center จะช่วยป้องกัน/แจ้งเตือน การโจมตีแบบที่เปิดให้ดูในวิดีโอตอนแรกได้ไหม หรือได้ดีแค่ไหน
  5. เท่าที่ดูมันคล้ายๆ เป็นการรวมระบบ Asset Management/Maintenance กับ Cybersecurity เข้าด้วยกัน ทำให้รู้สึกงงๆ ว่าขอบเขตของแต่ละระบบมันอยู่ตรงไหนแน่ 🤔
  6. จาก Demo แสดงให้เห็นว่า Fusion Center สามารถควบคุมเครื่อง HMI ได้ แปลว่าจริงๆ แล้วเป็นการเพิ่ม Attack Surface ให้กับระบบ OT/ICS หรือไม่ เพราะถ้า Fusion Center โดนควบคุม ผู้โจมตีก็อาจสามารถควบคุม HMI ได้โดยตรง
  7. การจะทำตามข้อ 6 ได้ แสดงว่าต้องมีการติดตั้ง Agent บนทุกเครื่องที่ต้องการ Monitor/ควบคุม ซึ่งไม่แน่ใจว่าจะเป็นผลดีไหม เพราะปกติแม้แต่ Antivirus หรือ Log Collector Agent เราก็ไม่อยากให้มีการติดตั้งในระบบ OT/ICS
  8. ยังคิดไม่ออก ไว้เดี๋ยวมาเพิ่มใหม่… 😁 つづく