Pada pabrik, industri atau sistem layanan biasanya mereka sebuah Industrial Control System atau ICS yang di dalamnya memiliki SCADA, Supervisory Control And Data Acquisition yaitu arsitektur sistem yang menggunakan komputer sebagai komunikasi data berjaringan. Sistem diketahui juga memiliki kerentanan yang dapat dengan mudah diretas.
Peretasan ICS/SCADA pernah terjadi sebelumnya di beberapa negara, karena sistem ini biasanya digunakan dalam berbagai industri dan layanan untuk kepentingan masyarakat maka begitu sistem ini berhasil diretas maka akan berdampak luas dan mempengaruhi banyak orang.
Peretasan ICS/SCADA
Serangan terhadap fasilitas pengolahan air telah terjadi beberapa kali selama dua dekade terakhir. Di antara yang tertua yang menarik perhatian publik terjadi pada tahun 2000 di fasilitas pengolahan air limbah di Australia dan merupakan pekerjaan orang dalam. Seorang karyawan yang tidak puas, Vitek Boden, menggunakan peralatan curian untuk mendapatkan akses ke pengontrol SCADA dan melepaskan 800.000 liter air limbah yang tidak diolah ke saluran air di Maroochy Shire.
Pada tahun 2011, seorang peretas yang menyebut diri mereka ‘pr0f’ bereaksi terhadap laporan DHS tentang kegagalan pompa air di Springfield Illinois. Peretas terkait dengan tangkapan layar yang menunjukkan bahwa mereka memiliki akses ke pabrik pengolahan air limbah di South Houston.
Pada tahun 2015 saat pembangkit listrik Ukraina mendapat serangan malware Black Energy yang mematikan listrik selama enam jam.
Setahun kemudian diikuti oleh serangan Industroyer di tahun 2016 yang menyebabkan kegelapan selama satu jam menunjukkan bahwa Industrial Control System/SCADA dapat dieksploitasi untuk kejahatan siber.
Pada tahun 2016, Verizon melaporkan dalam Data Breach Digest bahwa peretas dapat menembus perusahaan air yang jaringan IT-nya berjalan pada perangkat lunak dan peralatan perangkat keras yang sudah ketinggalan zaman.
Pada tahun 2020 Direktorat Siber Nasional Israel mengeluarkan peringatan tentang adanya serangan yang menargetkan Supervisory Control and Data Acquisition (SCADA) di pabrik pengolahan limbah, stasiun pompa dan fasilitas pembuangan limbah.
April 2020, Azerbaijan mengalami serangan yang ditujukan pada organisasi pemerintah dan perusahaan sektor perusahaan swasta. Serangan tersebut mengarah pada sektor energi dan khusus mengincar sistem SCADA yang terkait turbin angin.
Menurut studi Forrester, 56% organisasi yang menggunakan ICS/SCADA melaporkan pelanggaran pada paruh kedua tahun 2018 hingga paruh pertama tahun 2019. Hanya 11% yang mengindikasikan bahwa mereka tidak pernah dilanggar.
Vektor serangan SCADA
Sebelum memperkenalkan ancaman ICS/SCADA yang paling umum, mari kita pahami arsitektur sistem SCADA dan bagaimana komponen internal berinteraksi satu sama lain.
Komponen utama sistem SCADA adalah:
-
- Human Machine Interface (HMI) adalah komponen yang bertanggung jawab untuk presentasi data ke operator manusia. Ini terdiri dari konsol yang memungkinkan operator untuk memantau dan mengontrol proses
-
- Remote Terminal Unit (RTU) adalah perangkat elektronik yang dikendalikan mikroprosesor yang menghubungkan sensor ke SCADA dengan mentransmisikan data telemetri
-
- Sistem pengawasan bertanggung jawab atas perolehan data dan aktivitas pengendalian pada proses tersebut
-
- Programmable Logic Controller (PLC) adalah aktuator terakhir yang digunakan sebagai perangkat lapangan
-
- Infrastruktur komunikasi yang menghubungkan sistem pengawasan ke unit terminal jarak jauh
-
- Berbagai proses dan instrumentasi analitik
Dalam skenario serangan nyata, peretas dapat menargetkan salah satu komponen di atas dengan teknik dan cara yang berbeda.
Malware, misalnya, dapat digunakan untuk menginfeksi sistem pengawasan atau HMI dengan mengeksploitasi kerentanan yang diketahui di OS yang mendasarinya. Malware mungkin menginfeksi sistem melalui stik USB atau antarmuka jaringan.
Menghadapi serangan ICS/SCADA
Di dunia saat ini banyak sekali sektor yang menggunakan ICS/SCADA seperti pembangkit listrik, perusahaan transmisi, pengolahan minyak dan gas, pabrik-pabrik, bandara sampai layanan pengiriman.
Di saat banyak Alat pemantauan SCADA yang ada kurang memiliki visibilitas dan deteksi untuk perangkat non-SCADA, ada teknologi yang mampu menutup celah yang dimiliki oleh SCADA, yaitu GREYCORTEX.
Yang mampu membantu menjaga keamanan, keandalan, dan produktivitas jaringan SCADA dan ICS (Industrial Control Systems) dengan deteksi tingkat lanjut yang sama dan visibilitas penuh yang ditawarkan ke jaringan TI yang lebih tradisional.
GREYCORTEX juga melangkah lebih jauh, dengan menambahkan kemampuan untuk mendeteksi ancaman pada perangkat apa pun yang terhubung ke jaringan SCADA, sehingga aktor antagonis dunia siber yang biasa menyerang dengan menargetkan infrastruktur penting suatu negara dibuat tidak berkutik karena perangkat yang terinfeksi akan langsung muncul ketika mereka terhubung, bukan setelah mereka diserang.
Dasar prinsip kerjanya, perangkat akan memonitor seluruh transaksi data pada sebuah jaringan yang terhubung. Selanjutnya, seorang administrator jaringan dapat dengan mudah membuka port yang dibutuhkan, sehingga seluruh data dapat dianalisis secara real time.
Dengan menyediakan data yang jauh lebih kaya, analisis lalu lintas jaringan paket yang mendalam dapat mengidentifikasi masalah secara dini, termasuk bilamana terjadi sebaran data yang mencurigakan, termasuk malware dan ancaman serangan digital.
Selain itu, dapat pula mengukur kemacetan dalam jaringan, melihat aplikasi apa yang memonopoli sumber daya dan bandwidth, dan memperingatkan administrator untuk tren perubahan nama file yang merupakan indikator khas serangan ransomware. Lansiran dapat diatur untuk memberi tahu administrator tentang aktivitas yang tidak biasa atau anomali pada jaringan, mengurangi risiko terburuk yang mungkin terjadi.
GREYCORTEX sebagai analisis lalu lintas jaringan akan membantu dalam memantau semua kegiatan dalam jaringan, tidak hanya di perimeter, tetapi juga antara titik akhir dan server. Cara ini dapat mengidentifikasi sumber dari titik akhir apa pun yang bertanggung jawab atas serangan maya yang sedang berlangsung.
Lebih dari itu, GreyCortex Mendel dapat mendeteksi datangnya serangan sejak jauh hari, karena setiap serangan pasti membutuhkan tahapan dan komunikasi untuk mempersiapkan serangan, aktivitas-aktivitas rahasia inilah yang kemudian dapat dibaca secara detil oleh GreyCortex dan melokalisasinya.
