Опасно! Не Приближайтесь! Или Вся Правда О Безопасности Асу Тп

Обновлено: 2024-10-19 21:10:22 Роман Иванов Вебмастеру 1

Большинство наших клиентов — промышленные и производственные компании.

Каким бы большим и значимым ни был фронт-офис и корпоративная сеть таких компаний, их основным бизнесом является само производство, а также связанные с ним задачи и процессы.

И зачастую, решая задачи мониторинга и реагирования на кибератаки с клиентами, мы начинаем с корпоративной сети и периметра и в конечном итоге приходим к закрытым сетям и сегментам индустриально-технологических сетей.

Мы решили собрать наш опыт защиты АСУ ТП и рассказать о наиболее распространенных проблемах и популярных мифах о безопасности в этой области.





АСУ ТП – это комплекс технических и программных средств, предназначенный для автоматизации управления технологическим оборудованием промышленных предприятий.

АСУ ТП, как правило, имеет многоуровневую структуру:

  • Уровень управления оператором/диспетчером (верхний уровень).

  • Уровень автоматического управления (средний уровень).

  • Уровень ввода/вывода данных привода (нижний/полевой уровень).

Количество уровней АСУ ТП, а также ее состав на каждом уровне, безусловно, зависит от ее назначения и выполняемых целевых функций.

При этом на каждом уровне автоматизированной системы управления могут быть выделены другие дополнительные сегменты по функциональным, территориальным или другим характеристикам.

Однако на данном этапе мы ограничимся общим изложением ниже.







Проблема 1: Миф о воздушном зазоре

Многие автоматизированные системы управления технологическими процессами были построены уже давно.

В то время считалось, что технологические сети и системы полностью изолированы от внешнего мира, а потому обеспечение информационной безопасности в этой сфере не считалось актуальным или, в лучшем случае, не являлось приоритетом.

Однако сейчас грань между технологическими и корпоративными сетями все больше стирается, и, кроме того, в технологических сетях все чаще используются технологии Ethernet/IP и корпоративных сетей в целом.

Эти процессы определяются потребностями бизнеса и, как следствие необходимости подключения к сети, мы обычно видим со стороны Заказчика один из следующих сценариев:

  1. Заказчиком реализован проект сопряжения и сегментирования корпоративных и технологических сетей, предусматривающий комплексный подход к обеспечению информационной безопасности при связности сегментов.

    На данный момент это самый редкий вариант, но мы видели его у нескольких клиентов.

  2. Корпоративные и технологические сети заказчика подключаются по одной из схем, доступных и кажущихся достаточно безопасными для служб ИТ, ИБ и АСУ ТП.

    Это может быть подключение через межсетевой экран, через роутер с ACL (списком управления доступом) и другие варианты, вплоть до рабочих станций/серверов доступа с несколькими сетевыми картами (кстати, один из очень частых случаев).

    На эти схемы зачастую накладывается большое количество доступов, в том числе доступ извне корпоративной сети – для банкоматов, установленных на производственных площадках, удаленной работы поставщиков АСУ ТП и других задействованных подрядных организаций.

    В результате, по сути, эти схемы со временем начинают трансформироваться в следующий вариант:

  3. Просто автоматизированная система управления технологическими процессами в общей сети.

    Кажется невероятным, но, к сожалению, этот вариант тоже широко распространен.

Кроме того, сказывается также развитие и массовая доступность современных технологий (мобильных устройств и мобильного Интернета, USB-модемов и т. д.), которые сотрудники активно используют в своих целях.

Начиная от операторов, желающих иметь доступ в Интернет на своем рабочем месте, и заканчивая ИТ-администраторами, желающими сэкономить время на дорогу до конечного объекта, расположенного, например, в 20 км от офиса.

Результаты пентеста АСУ ТП компании А (фрагмент отчета) В процессе проведения работы аудитор получил доступ к удаленному рабочему столу рабочей станции пользователя с IP-адресом 172.28.XX.YY, на котором были обнаружены:

  • Сохранены настройки VPN-подключений к сегментам технологической инфраструктуры, считающимся изолированными (см.

    рисунок).





  • Файл, содержащий учетные данные доступа к узлам технологической инфраструктуры, в том числе учетные данные доступа и управления для используемых SCADA-систем различных производителей.

    Файл был доступен в общей сетевой директории всем пользователям корпоративной сети без аутентификации (см.

    рисунок).





Использование VPN-подключений с сохраненными реквизитами позволило аудитору непосредственно с идентифицированной рабочей станции получить доступ к управлению сетевым оборудованием технологической инфраструктуры, а также оборудованием на конечных площадках с использованием интерфейсов управления соответствующих SCADA-систем.

Дополним картину вышеперечисленными проблемами использования USB-модемов в полевых условиях.

Телефоны похожи на USB-модемы.

Домашние роутеры, домашние серверы хранения и другие «возможности» современной жизни.

И даже если корпоративные и технологические сети соединены по лучшему - первый из сценариев, к сожалению, на самом деле это не означает, что ситуация действительно такая, какой должна быть, и в конкретных местах нет, например, своих собственное подключение к Интернету или неконтролируемый доступ к корпоративной сети и обратно.

В результате мы получаем безрадостную картину возможности легкого проникновения злоумышленника или вредоносного ПО с подключением к C&C внутрь системы управления технологическими процессами.

В целом это можно сформулировать следующим образом: все, что угрожает корпоративной сети, на самом деле угрожает технологическим сегментам .

Это ни в коем случае не означает, что технологии защиты корпоративных сетей необходимо переносить в технологическую инфраструктуру и АСУ ТП, но необходимо осознавать, что риски информационной безопасности технологических сегментов определенно не меньше, чем корпоративных.



Проблема 2. Информационная безопасность в АСУ ТП и гигиена информационной безопасности.

Технологические сети и сегменты при этом существенно отличаются от корпоративных сетей и систем.

Итак, в отличие от типовой ИТ-системы, типовая АСУ ТП:

  • Это система реального времени, в которой время отклика имеет решающее значение, а задержки и потеря данных недопустимы.

  • Наряду с широко используемыми операционными системами и протоколами широко используются специализированные и специально разработанные (патентованные).

  • Продолжительность жизненного цикла составляет 10-15-20 лет, а для некоторых объектов - до 30 лет.
  • Компоненты могут быть изолированы, географически удалены и физически труднодоступны.

  • Перезагрузка в АСУ ТП может быть недопустима, в т.ч.

    Часто невозможно установить какие-либо обновления и т.п.

В результате на конечных площадках заказчика мы часто наблюдаем ситуацию, когда используется некая собственная разработка (ни производителя, ни поддержка которой не оставлена), с общей сменной учетной записью, пароль к которой нельзя изменить и которая совпадает с логином (аналог известного admin/admin).

Если пароль вообще можно установить, напомним, что многим АСУ ТП уже более 10-15 лет. Результаты пентеста АСУ ТП компании Б (фрагмент отчета) Исследование выявленных аудитором схем технологических сетей и методов их сопряжения с пользовательскими сегментами показало, что узлы с IP-адресами 10.65.XX.YY, 10.65.XX.ZZ выполняют роль маршрутизатора между пользователем и технологическими сетями.

Доступ к этим устройствам возможен через протокол SSH с использованием данных учетной записи пользователя root и легко угадываемого пароля root. Узлы с указанными выше IP-адресами после получения к ним доступа были идентифицированы и оказались контроллерами системы PSI (см.

рисунок).





Работа на этих устройствах с сервисом SSH с возможностью передачи графических сессий и поддержкой SSH-туннелей позволила аудитору организовать туннелирование трафика и провести выборочное сканирование узлов технологической сети через контроллеры системы PSI, последующую атаку на подсистему парольной защиты.

технологической сети и получить доступ к устройствам, изолированным от пользовательского сегмента.

В частности, аудитор получил доступ к технологической сети на базе оборудования МИКРОНИКА, для чего использовался доступ по протоколу Telnet с использованием реквизитов учетной записи root, не имеющей установленного пароля для удаленного привилегированного доступа к устройствам (см.

рисунок).

.





Кроме того, хотя технологические системы в основном распространяют информацию о процессах и управлении, упор, как правило, делается на доступность и целостность, а конфиденциальности, как правило, уделяется меньше внимания.

И это одна из дополнительных причин, объясняющих «задержку» движения в сторону обеспечения информационной безопасности в области АСУ ТП.

Итак, мы имеем практически незащищенную систему, работающую на устаревшем и неподдерживаемом программном обеспечении с целым набором уязвимостей.

Установка обновлений на такую систему в большинстве случаев невозможна - по причине их отсутствия, невозможности установки, невозможности перезагрузки и других многочисленных причин).

Это приводит к следующему выводу: проблем и уязвимостей в технологических сетях и системах даже выше, чем в средней корпоративной сети.

Однако даже в случае использования систем и программного обеспечения, поддерживаемых производителем, обычно наблюдается стойкое сопротивление со стороны производства любым обновлениям, направленным на устранение проблем с безопасностью.

И почти всегда это неприятие распространяется на любые навязанные меры безопасности (кстати, возможно, вполне оправданное, если в таких средствах каким-то образом декларируются и реализуются механизмы блокировки, даже если их не предполагается использовать при внедрении и дальнейшей эксплуатации).

Важно отметить, что клиенты осведомлены о большинстве этих проблем, включая возможные действия полевого персонала.

Связанные с ними риски информационной безопасности покрываются очень строгими организационными и физическими мерами безопасности: запрет на внесение на территорию и использование различных устройств и внешних носителей, физические ограничения возможности использования портов оборудования и др.

меры).

Однако эти меры не способны в полной мере обеспечить надежную защиту АСУ ТП.

Обобщая описанные выше ситуации и проблемы, можно отметить следующие основные моменты: относительно текущей ситуации с информационной безопасностью в АСУ ТП:

  1. В АСУ ТП можно «сломать все» без сложных атак на системы, протоколы и контроллеры.

  2. Первоначальные риски информационной безопасности в технологической сети не только не меньше, но и существенно выше, чем в корпоративной сети.

  3. Эти риски требуют своего ряда действий и мер, по крайней мере, с учетом:
    • огромная критичность и непрерывность бизнес-процессов;
    • практическая невозможность обновлений;
    • практическая неприменимость или неприменимость традиционных систем защиты информации и, в частности, механизмов блокировки.

Но сколько бы ограничивающих факторов ни было, защищать систему управления технологическими процессами все равно необходимо.

Во второй части статьи мы поговорим о том, как с учетом этих проблем полноценно отслеживать и реагировать на кибератаки.

Опять же на живых примерах и кейсах от клиентов.

Не пропусти! Теги: #информационная безопасность #кибербезопасность #Промышленное программирование #промышленность #ICS #soc #кибератаки #ICS #солнечная jsoc #центр мониторинга #центр мониторинга #центр мониторинга

Последнее изменение: 2024-10-19 21:10:22
Вместе с данным постом часто просматривают:

Автор Статьи

Роман Иванов

Роман Иванов
Эксперт
Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0

Интересно

Dima Manisha

Dima Manisha

 Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.