Белые пятна на карте защиты АСУ ТП
Виды угроз и способы обезопасить инфраструктуру
В 2010 году был обнаружен уникальный вирус: впервые в истории кибератак он физически разрушал инфраструктуру. Это случилось в 2010 году. Именно тогда, после обнаружения червя Stuntext в 2010, об уязвимостях перед киберугрозами автоматизированных систем управления технологическим процессом (далее — АСУ ТП) заговорил весь мир. Червь работал, перехватывая и модифицируя информационный поток между программируемыми логическими контроллерами Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC от Siemens.В 2011 был обнаружен Duqu — он заражал системы через их уязвимость в ядре Windows. Уязвимость допускала выполнение вредоносного кода. После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля для сбора сведений о системе, поиска файлов, снятия скриншотов, перехвата паролей и ряда других функций.
В 2012 году был обнаружен вирус Flame, атаковавший иранские ядерные объекты, госучреждения и промышленные объекты многих стран. Большего всего пострадали Индия и Китай.
В 2014 году хакерам удалось проникнуть в компьютер сталелитейного завода, управляющего доменной печью и установить вредоносную программу, что заставила печь перегреться и расплавиться. Сумма и последствия от критического ущерба компанией не разглашается.
В августе 2017 года, после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке был обнаружен вредонос Triton, также известный как Trisis и HatMan. Triton был предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric для автоматического завершения промышленных процессов или перевода системы в небезопасный режим. Проникнув в сеть предприятия, злоумышленники выжидали почти год, незаметно изучая ее и только затем использовали доступ к автоматической системе функциональной безопасности.
Для уменьшения риска быть обнаруженными, злоумышленники проводили манипуляции с контроллерами в нерабочие часы. Кроме того, они переименовывали вредоносные файлы, имитируя легитимные приложения. Например, один из файлов назывался trilog.exe — по аналогии с официальным приложением Schneider Electric.
В связи с учащением таких атак на промышленные предприятия в СМИ появился термин “кибервойна” (cyberwarfare). Он отражает масштабы катастрофических последствий, к которым приводят пробелы в защите систем АСУ ТП на инфраструктурных объектах и опасных производствах.
Обзор состояния безопасности АСУ ТП, проведённый компанией Positive Technologies в 2012 г. подтверждает резкое увеличение числа обнаруженных уязвимостей. С 2010 по 2012 г. найдено в 20 раз больше уязвимостей, чем за предыдущие 5 лет. Каждая пятая уязвимость устраняется дольше месяца. 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35 % уязвимостей есть эксплойты. Более 40 % систем с подключением к Интернету могут взломать даже хакеры-любители.
Слабые места промышленных автоматизированных систем
Среди киберугроз, свойственных АСУ ТП, можно выделить три класса: угрозы техногенного характера, угрозы антропогенного характера и угрозы несанкционированного доступа.К угрозам техногенного характера относится физическое влияние на компоненты АСУ ТП. К антропогенным — преднамеренные и непреднамеренные действия людей, занятых обслуживанием АСУ ТП, ошибки персонала, ошибки в организации работ с компонентами АСУ ТП. Угрозы несанкционированного доступа для АСУ ТП рассматриваются при наличии взаимодействия ее компонентов с локальной вычислительной сетью предприятия. Такая связь существует для передачи информации о состоянии технологической среды и управления воздействиями на технологические объекты. Рассмотрим наиболее популярные примеры среди этих типов угроз.
Компоненты от сторонних производителей. Далеко не все владельцы АСУ ТП могут позволить себе производить собственное оборудование для сетей. Производители автоматики, конечно, прилагают все усилия для защиты от несанкционированного доступа к сетевым активам, но поставленное на поток производство не может гарантировать нулевой доступ специалистов центров разработки.
Слабая защита от несанкционированного доступа (пароли), недисциплинированность сотрудников. В отчете от Positive Technologies говорится о повсеместном использовании стандартных инженерных паролей. Но практика показывает, что для удобства пароли вообще зачастую не ставят. Ни на интерфейсы контролеров и схемы SCADA, ни на административные учетные записи АРМ-ов и серверов.
Как пример можно привести опыт аудитов безопасности предприятий Владимира Дащенко, руководителя группы исследований уязвимостей АСУ ТП и IoT в лаборатории Касперского. На одном крупном заводе, куда он прибыл с инспекцией, цеховые компьютеры не нуждались по технологическому процессу в подключении к Интернету. «Но тут мы обнаружили на двух компьютерах в разных зданиях игру Cartoon Strike. В цехе нам пояснили так: у нас технологический процесс поставлен на поток, с ним все нормально, но операторам скучно и один цех играет против другого цеха в эту компьютерную игру». Одновременно на этих компьютерах рабочие цехов проверяли свою почту, заходили в Интернет и иногда неосознанно нажимали на различные ссылки. Именно так и происходило заражение всей сети.
Отсутствии контроля управляющих воздействий, непрозрачность процессов. Часть предприятий, особенно с непрерывным технологическим циклом, используют проектные отделы или выделенных партнеров производителей DCS (распределенных систем управления) для внедрения, поддержки систем автоматики и визуального контроля, изменения технологических процессов. Так сторонние организации и все их сотрудники получают доступ к промышленной сетевой структуре.
Часто одним из условий гарантийного обслуживания автоматических компонентов, используемых в АСУ ТП, является удаленный контроль за работой механики со стороны производителя. Эти компоненты в самом предприятии особо не наблюдают, что приводит к “слепым пятнам” мониторинга безопасности сетей.
Обновление программного обеспечения сети. Разработка и эксплуатация сети АСУ ТП может составлять более десяти лет. Вследствие такой длительной эксплуатации и существенного изменения состава и качества современных угроз, необходимо проектировать и реализовывать информационную безопасность систем с учетом тенденций развития киберугроз.
На пути к этому стоит резкое снижение производительности. Довольно неповоротливые системы во время обновлений могут существенно “тормозить”. В результате, обновления привязываются только к плановым остановкам производства на ремонт. Как правило, обновления значат ручной анализ необходимых патчей и распространение их по сети АСУ ТП через единую точку входа.
Использование беспроводных коммуникаций (некриптостойкое шифрование WiFi). Беспроводные решения значительно экономят бюджет проектов благодаря отсутствию сотен метров кабелей и проводников. Но несмотря на различные меры по шифрованию данных, построить закрытую для угроз беспроводную систему нелегко. Много вопросов вызывает и доступ ко встроенным вэб-серверам промышленных устройств — к преобразователям частоты, например, по встроенному коммуникационному модулю WiFi.
Отсутствие четких границ между разными сегментами сети. Многие АСУ ТП строились по-настоящему давно. Тогда считалось, что технологические сети и системы полностью изолированы от внешнего мира. В том числе поэтому обеспечение информационной безопасности в этой сфере не выглядело актуальным, или, в лучшем случае, не было приоритетным.
Однако сейчас грань между технологическими и корпоративными сетями всё больше стирается. Кроме того, в технологических сетях всё больше используется Ethernet/IP и в целом технологии корпоративных сетей. Помимо этого, сказывается эффект развития и массового доступа к современным технологиям — мобильным устройствам и мобильному интернету, USB-модемам и т.п. Сотрудники активно используют гаджеты в собственных целях. Начиная от операторов, желающих иметь доступ в интернет на рабочем месте и заканчивая ИТ-администраторами, не желающих все время лично ездить на проверку конечного объекта.
В результате, корпоративная и технологическая сети часто связаны по одной из нехитрых схем взаимодействия между службами ИТ, Информационной безопасности и АСУ ТП. Это может быть связь с использованием межсетевого экрана, с использованием маршрутизатора с ACL (Access Control List) и прочие варианты вплоть до АРМ/сервера доступа с несколькими сетевыми картами.
На эти схемы часто накладывается большое число доступов, в том числе и доступов извне корпоративной сети — для установленных на территории производств банкоматов, удаленной работы вендоров АСУ ТП и прочих подрядных организаций. Как следствие, по факту данные схемы со временем начинают трансформироваться в следующий вариант: АСУ ТП в общей сети.
Системы контроля уязвимостей — один из эффективных методов противодействия промышленным киберугрозам. Это узкопрофильные программы, разработанные специально для промышленных систем автоматизации.
Такие системы предоставляют, например, компании Rhebo и Claroty. Rhebo Industrial Protector защищает операционные технологии от сбоев, вызванных кибер-атаками, вредоносными программами и техническими ошибками. Для этого используется технология углубленной проверки пакетов (DPI), которая позволяет провести анализ и оценку любых взаимодействий в пределах сети вплоть до уровня контента. Платформа Claroty дает контроль над соединением, выявляет аномалии, определяет уязвимости по базе данных сигнатур. Такие решения умеют работать со специализированными промышленными протоколами, составлять отчеты, автоматически определять активы.
Этот всеобъемлющий подход позволяет определить целостность внутренней среды устройства, зафиксировать все попытки изменить прикладную программу контроллера, изменения в конфигурации сетевых устройств защиты и управления в энергосетях.
Многие разработчики продуктов кибербезопасности в первую очередь указывают на необходимость видимость внутри сети. Как показывает опыт, это действительно важно. Незамеченная вовремя компрометация сети может работать месяцами с неактивированными эксплойтами. Поэтому специализированные средства обнаружения и предотвращения киберугроз позволяют не только обнаружить потенциальные уязвимости, но и выявляют угрозы нулевого дня.
Отдельно можно выделить платформы для создания распределенной инфраструктуры ложных целей, DDP (Distributed Deception Platform). Они позволяют развернуть сеть поддельных устройств-приманок, практически неотличимых от реальных, что привлекают злоумышленников.
Так, например, решение от TrapX анализирует вашу сеть и на ее основе автоматически генерирует сотни и тысячи ловушек и приманок, специально созданных под вашу среду. Ловушка маскируется под реальные IT-активы, имитирует серверы, рабочие станции, сетевые коммутаторы, банкоматы, торговые терминалы, компоненты финансовой сети.
Все эти ловушки фактически являются датчиками проникновения. Ведь использование ложной информации на ловушках — паролей, закладок, пользовательских файлов и конфигураций позволяет обнаружить злонамеренное проникновение в подавляющем большинстве случаев.
Упомянутые решения, а также комплексный подход позволяют обезопасить сети и привести их в соответствие международным нормативам — NERC CIP, NIST 800-82, IEC 62443. Правда, процесс аттестации по принятому недавно в Украине стандарту IEC 62443 все еще остается редким явлением среди предприятий. Хочется верить, что это вскоре изменится.
Обновление программного обеспечения сети. Разработка и эксплуатация сети АСУ ТП может составлять более десяти лет. Вследствие такой длительной эксплуатации и существенного изменения состава и качества современных угроз, необходимо проектировать и реализовывать информационную безопасность систем с учетом тенденций развития киберугроз.
На пути к этому стоит резкое снижение производительности. Довольно неповоротливые системы во время обновлений могут существенно “тормозить”. В результате, обновления привязываются только к плановым остановкам производства на ремонт. Как правило, обновления значат ручной анализ необходимых патчей и распространение их по сети АСУ ТП через единую точку входа.
Использование беспроводных коммуникаций (некриптостойкое шифрование WiFi). Беспроводные решения значительно экономят бюджет проектов благодаря отсутствию сотен метров кабелей и проводников. Но несмотря на различные меры по шифрованию данных, построить закрытую для угроз беспроводную систему нелегко. Много вопросов вызывает и доступ ко встроенным вэб-серверам промышленных устройств — к преобразователям частоты, например, по встроенному коммуникационному модулю WiFi.
Отсутствие четких границ между разными сегментами сети. Многие АСУ ТП строились по-настоящему давно. Тогда считалось, что технологические сети и системы полностью изолированы от внешнего мира. В том числе поэтому обеспечение информационной безопасности в этой сфере не выглядело актуальным, или, в лучшем случае, не было приоритетным.
Однако сейчас грань между технологическими и корпоративными сетями всё больше стирается. Кроме того, в технологических сетях всё больше используется Ethernet/IP и в целом технологии корпоративных сетей. Помимо этого, сказывается эффект развития и массового доступа к современным технологиям — мобильным устройствам и мобильному интернету, USB-модемам и т.п. Сотрудники активно используют гаджеты в собственных целях. Начиная от операторов, желающих иметь доступ в интернет на рабочем месте и заканчивая ИТ-администраторами, не желающих все время лично ездить на проверку конечного объекта.
В результате, корпоративная и технологическая сети часто связаны по одной из нехитрых схем взаимодействия между службами ИТ, Информационной безопасности и АСУ ТП. Это может быть связь с использованием межсетевого экрана, с использованием маршрутизатора с ACL (Access Control List) и прочие варианты вплоть до АРМ/сервера доступа с несколькими сетевыми картами.
На эти схемы часто накладывается большое число доступов, в том числе и доступов извне корпоративной сети — для установленных на территории производств банкоматов, удаленной работы вендоров АСУ ТП и прочих подрядных организаций. Как следствие, по факту данные схемы со временем начинают трансформироваться в следующий вариант: АСУ ТП в общей сети.
Обеспечение безопасности
Реализация системы Информационной Безопасности АСУ ТП представляет собой комплексную задачу. Ее решение зависит от выполнение на всех уровнях:- административный: формирование руководством программы работ по информационной безопасности;
- процедурный: определение норм и правил для персонала, обслуживающего сеть;
- программно-технический: управление доступом;
- обеспечение целостности;
- обеспечение безопасного межсетевого взаимодействия;
- антивирусная защита;
- анализ защищенности;
- обнаружение вторжений;
- непрерывный мониторинг состояния, выявление инцидентов, реагирование.
Системы контроля уязвимостей — один из эффективных методов противодействия промышленным киберугрозам. Это узкопрофильные программы, разработанные специально для промышленных систем автоматизации.
Такие системы предоставляют, например, компании Rhebo и Claroty. Rhebo Industrial Protector защищает операционные технологии от сбоев, вызванных кибер-атаками, вредоносными программами и техническими ошибками. Для этого используется технология углубленной проверки пакетов (DPI), которая позволяет провести анализ и оценку любых взаимодействий в пределах сети вплоть до уровня контента. Платформа Claroty дает контроль над соединением, выявляет аномалии, определяет уязвимости по базе данных сигнатур. Такие решения умеют работать со специализированными промышленными протоколами, составлять отчеты, автоматически определять активы.
Этот всеобъемлющий подход позволяет определить целостность внутренней среды устройства, зафиксировать все попытки изменить прикладную программу контроллера, изменения в конфигурации сетевых устройств защиты и управления в энергосетях.
Многие разработчики продуктов кибербезопасности в первую очередь указывают на необходимость видимость внутри сети. Как показывает опыт, это действительно важно. Незамеченная вовремя компрометация сети может работать месяцами с неактивированными эксплойтами. Поэтому специализированные средства обнаружения и предотвращения киберугроз позволяют не только обнаружить потенциальные уязвимости, но и выявляют угрозы нулевого дня.
Отдельно можно выделить платформы для создания распределенной инфраструктуры ложных целей, DDP (Distributed Deception Platform). Они позволяют развернуть сеть поддельных устройств-приманок, практически неотличимых от реальных, что привлекают злоумышленников.
Так, например, решение от TrapX анализирует вашу сеть и на ее основе автоматически генерирует сотни и тысячи ловушек и приманок, специально созданных под вашу среду. Ловушка маскируется под реальные IT-активы, имитирует серверы, рабочие станции, сетевые коммутаторы, банкоматы, торговые терминалы, компоненты финансовой сети.
Все эти ловушки фактически являются датчиками проникновения. Ведь использование ложной информации на ловушках — паролей, закладок, пользовательских файлов и конфигураций позволяет обнаружить злонамеренное проникновение в подавляющем большинстве случаев.
Упомянутые решения, а также комплексный подход позволяют обезопасить сети и привести их в соответствие международным нормативам — NERC CIP, NIST 800-82, IEC 62443. Правда, процесс аттестации по принятому недавно в Украине стандарту IEC 62443 все еще остается редким явлением среди предприятий. Хочется верить, что это вскоре изменится.
---
Команда ROI4CIO
Leave a Comment