Offensive Scenario — Χημική βιομηχανία. Το Safety Instrumented System
(SIS) είναι η τελευταία γραμμή άμυνας πριν από ένα επικίνδυνο συμβάν διεργασίας. Όταν το SIS
δεν είναι διαχωρισμένο από το δίκτυο ελέγχου (BPCS) και πολλοί χρήστες μπορούν να τροποποιήσουν τη
safety logic χωρίς καταγραφή, ο κυβερνοκίνδυνος γίνεται κίνδυνος ασφάλειας ανθρώπων. Το ερώτημα για
τη διοίκηση: θα ανιχνεύατε μια μη εξουσιοδοτημένη αλλαγή safety function πριν χρειαστεί;
Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.
Executive Summary
Το σενάριο εξετάζει ελεγχόμενα την πιθανότητα παρέμβασης σε Safety Instrumented System
(SIS) χημικής βιομηχανίας: μη διαχωρισμένο SIS, υπερβολικά δικαιώματα και απουσία
καταγραφής αλλαγών. Η Audax εργάζεται μόνο σε ανάγνωση / σε offline αντίγραφο,
χωρίς ποτέ να στέλνει εντολές σε ζωντανό SIS, και αποδεικνύει πού σπάει η αρχή separation και η
ανιχνευσιμότητα.
Το επιχειρησιακό ρίσκο
Η παράκαμψη ή αλλοίωση μιας safety function μπορεί να οδηγήσει σε υπερπίεση, διαρροή, πυρκαγιά ή
έκρηξη — δηλαδή απώλεια ζωών, περιβαλλοντική καταστροφή, διακοπή μονάδας και ποινική/ρυθμιστική
ευθύνη. Είναι από τα ελάχιστα σενάρια όπου η επίπτωση είναι πρωτίστως φυσική και
μη αναστρέψιμη, και αφορά άμεσα τη διοίκηση και το διοικητικό συμβούλιο.
Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης
- External Remote Services (T0822): πρόσβαση στο SIS network από μη διαχωρισμένη
ζώνη BPCS. - Valid Accounts (T0859): χρήση λογαριασμών με υπερβολικά δικαιώματα στο
engineering λογισμικό SIS. - Manipulation of Control (T0831): σε offline lab, τροποποίηση safety logic ή
setpoints. - Loss of Safety (T0880): παράκαμψη safety function — χωρίς να καταγραφεί.

Το βαθύτερο πρόβλημα είναι ποιος μπορεί να αλλάξει τη safety logic και αν αυτό αφήνει ίχνος:

Τι δοκιμάζει η Audax ελεγχόμενα
- OT/ICS network assessment: επικύρωση διαχωρισμού
SIS/BPCS, ζωνών και conduits κατά IEC 62443 & IEC 61511. - Active Directory & access assessment: έλεγχος
ποιος έχει δικαιώματα τροποποίησης safety logic (least privilege, εξωτερικοί συντηρητές). - SOC/SIEM/EDR effectiveness: επικύρωση ανίχνευσης
αλλαγών safety function, πρόσβασης SIS και καταγραφής engineering ενεργειών.
Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR
- πρόσβαση στο SIS network από μη εξουσιοδοτημένες ζώνες·
- εκκίνηση engineering λογισμικού SIS εκτός παραθύρου συντήρησης·
- τροποποίηση/μεταφόρτωση safety logic ή αλλαγή setpoint·
- χρήση λογαριασμών συντηρητών εκτός προγραμματισμένου έργου·
- απουσία ή διαγραφή logs αλλαγών (indicator removal).
| Τακτική (Tactic) | ATT&CK ID | Τεχνική | Τι σημαίνει στο σενάριο |
|---|---|---|---|
| Initial Access (ICS) | T0822 | External Remote Services | Πρόσβαση στο SIS network από μη διαχωρισμένη ζώνη. |
| Privilege/Access | T0859 | Valid Accounts | Operators/συντηρητές με υπερβολικά δικαιώματα στο SIS. |
| Impair Process Control | T0831 | Manipulation of Control | Δυνατότητα τροποποίησης safety logic/setpoints (μόνο σε lab). |
| Inhibit Response | T0880 | Loss of Safety | Απενεργοποίηση/παράκαμψη safety function — ο πυρήνας του κινδύνου. |
| Evasion | T0872 | Indicator Removal on Host | Απουσία καταγραφής αλλαγών -> μη ανιχνεύσιμη τροποποίηση. |
Τι τεχνική απόδειξη παράγεται
Επικυρωμένο μονοπάτι πρόσβασης στο SIS, χάρτης δικαιωμάτων που μπορούν να αλλάξουν safety logic,
αποδείξεις απουσίας καταγραφής, τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί, και αντιστοίχιση
με business & safety impact. Ενδεικτικοί δείκτες:
| Τύπος | Ένδειξη (anonymized) | Πλαίσιο ανίχνευσης |
|---|---|---|
| Host | 10.10.50.12 (SIS-Controller) |
Προσβάσιμος από BPCS, χωρίς ζώνη SIS. |
| Account | CORP\contractor.svc |
Εξωτερικός συντηρητής, μόνιμο μέλος SIS_Engineers. |
| Account | CORP\j.operator |
Operator με δικαιώματα τροποποίησης logic. |
| Network | SIS↔BPCS 1-hop |
Απουσία firewall/separation μεταξύ ζωνών. |
| Gap | No SIS change logging |
Τροποποιήσεις safety logic χωρίς ανίχνευση. |
Τι παραδίδεται στη διοίκηση
Executive risk summary με ρητή αναφορά στον κίνδυνο ασφάλειας ανθρώπων, ιεραρχημένο remediation
roadmap (separation SIS/BPCS, least privilege, change control & logging, MFA συντηρητών),
παρατηρήσεις ωριμότητας ανίχνευσης OT, συσχέτιση με NIS2, IEC 62443 και IEC 61511,
και πλάνο retesting.
Πώς μειώνεται ο κίνδυνος
- πλήρης διαχωρισμός SIS από BPCS (ανεξάρτητες ζώνες, μονόδρομα conduits)·
- αυστηρό least privilege σε όποιον αγγίζει safety logic, με MFA για συντηρητές·
- change control και αμετάβλητη καταγραφή αλλαγών safety function στο SIEM·
- monitoring engineering σταθμών και OT-aware detections·
- purple teaming για επικύρωση ανίχνευσης αλλαγών SIS, και retesting.
Κλείστε Offensive Assessment
Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.
Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;
Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.
Ζητήστε δωρεάν αξιολόγηση →