Comments 4
Работая в ИБ для АСУ ТП не могу не вставить пару (на самом деле их несколько сотен) после прочтения вашей статьи.
Начнем с упрощенной схемы сети АСУ ТП.
Первое. Приведенная вами схема никак не соответствует модели Purdue. Cогласно данной модели (Purdue), сеть АСУ ТП состоит из следующих сегментов:
Level 4 и 5. Enterprise. На вашей схеме это КСПД
Level 3.5 DMZ. На приведенной упрощенной схеме в ней находиться КСПД (что не соответствует назначению зоны DMZ)
Данная зона согласно модели Purdue предназначена для разделения ИТ от ОТ (опять же упрощенно).
Level 3. Operation and Control. На этом уровне расположены обычно серверы, собирающие данные о продукции, так называемые Historian и управление производством (не технологическими устройствами, а процессами)
Level 2. Control systems (SCADA). На этом уровне сидят те самые операторы.
Level 1. На этом уровне находяться ПЛК, сенсоры, датчики, исполнительные механизмы, которые непосредственно управляют процессом производства.
Level 0. Производственные процессы. Сжигание, подогревание, нагнетание и т.п.
В ИБ АСУ ТП вышеупомянутая модель как "Отче наш". Ее обязан знать каждый, который так или иначе соприкасается с обеспечением информационной безопасности АСУ ТП.
Корпоративную и технологические сети разделяет шлюз.
В моей практике данные сети разделяют межсетевые экраны (firewalls) и замечательные устройства, которые называются data-diod.
Также межсетевые экраны расположены между каждыми уровнями модели Purdue
Как правило, любая атака на корпоративную сеть включает две основные стадии:
Как правило, IT и ОТ (cеть enterprise и сеть АСУ ТП) разделены. Хотя, возможно в вашей практике встречались и другие, более упрощенные сети, типа 192.168.x.x на все предприятие и никаких firewall, vlan, access-lists и прочих мер безопасности.
использовать штатный удаленный доступ (через jump host по RDP подключиться к АРМ оператора
Такое впечатление, что рассказываете вы не о сети технологического предприятия, а о каком-то цехе по производству вареников, расположенном в селе Жердынбержерово
С сервера SCADA у атакующего есть возможность подменить информацию о технологическом процессе большим количеством способов. Например, он может заменить мнемосхему на всех автоматизированных рабочих местах
Для того, чтобы разобраться в технологическом процессе нужно немало времени. Это что-то из разряда фантастики.
Затем атакующий может переместиться на средний уровень технологической сети, где расположены ПЛК. У SCADA-сервера есть множество встроенных утилит, которые позволяют управлять ПЛК: передавать им команды, такие как «Стоп» и «Старт», или иным образом влиять на их работу.
Опять же, с тем, как работает ПЛК, нужно разбираться. Послать ему команды просто так не получиться (ну разве если злоумышленник попал на 1 уровень и там стоит компьютер с rdp с инструкцими на нем, как подключиться к тому или иному ПЛК и как отдавать ему команды).
В качестве примера рассмотрим вариант с оператором АРМ. Ему приходится круглосуточно дежурить и не спускать глаз с мнемосхемы. Неудивительно, что иногда ему бывает скучно и хочется развлечься. Легким движением руки оператор вставляет носитель, например флешку...
оператор подключает модем 3G или 4G или раздает интернет со смартфона, заходит на сомнительный ресурс, выигрывает (неожиданно!) в лотерее, а затем скачивает и запускает на своем рабочем месте исполняемый файл
Даже в простой ИТ сети порты USB закрывают, ну просто, для того, чтобы исключить внедрение вредоносного ПО. Ну или как вариант - я не видел таких предприятий, где оператору при управлении технологическим процессом можно смотреть фильмы на этом же компьютере или заходить через него в сеть Интернет с помощью 3/4G модема, с которого он управляет технологическими процессами. Бред какой-то.
Типичные для корпоративной сети решения ИБ в большинстве случае справляются со своими задачами.
Большая ошибка примерять лекало ИТ на ОТ. Это абсолютно разные системы.
Дэтская рекламная статья своего продукта.
Вы во многом правы, много чего можно предотвратить превентивно и большинство продуктов ИБ в АСУ ТП как раз таки нацелены на «давить и не пущать». Такие продукты появились давно и внедрены много где. Но это не мешает внедрять продукты, которые появились и в ИТ недавно и которые нацелены в первую очередь на обнаружение вторжения и закрепления зловредов, а потом на ускоренные устранение и восстановление.
Если вы действительно работали с большими технологическими сетями, вы знаете, что там, конечно, не ИТ, где управляемый хаос с устройствами, пользователями и топологией, но они тоже «дышут» - постоянно происходят процессы расширения сети, апгрейды, техобслуживание инженерами вендоров. И только очень хороший ИБшник может всё это контролировать, а таких всегда мало. Отсюда и спрос на новвй класс устройств ИБ.
А кстати, устройства NTA в ОТ сетях работают вообще отлично, так как там поведение трафика обычно очень детерминировано и любой лишний пакет может вызвать подозрение
В зависимости от используемой SCADA и схемы ее развертывания злоумышленник может подменить мнемосхему, на которую смотрит оператор. Так, например, оператор увидит, что температура в котле выше нормы
Например, он может заменить мнемосхему на всех автоматизированных рабочих местах.
Потратит слишком много времени для модификации мнемосхем, для этого в идеале надо иметь соответствующий графический редактор и все равно чаще всего наметанный глаз оператора увидит несоответствие. Проще удалить мнемосхемы если они хранятся в виде отдельных файлов или почистить базу, тогда на АРМ-ах будут пустые экраны.
В зависимости от используемой SCADA и схемы ее развертывания злоумышленник может подменить мнемосхему, на которую смотрит оператор. Так, например, оператор увидит, что температура в котле выше нормы (хотя на самом деле все в порядке), предпримет меры для «стабилизации» ситуации,
1) так то по-хорошему не SCADA система управляет исполнительными механизмами, а ПЛК… от AO/DO модулей идут команды на реле/контакторы/задвижки/клапаны и т.п.
2) если температура выше нормы/уставки по-хорошему ПЛК отследит это и взведет бит, к которому в SCADA привязан аларм… т.е. на мнемосхеме температура в норме, а аларм сработал…
3) далеко не у всех SCADA систем мнемосхемы в виде отдельных файлов (как у WinCC), чтоб можно было так просто подменить
Легким движением руки оператор вставляет носитель, например флешку, и копирует на АРМ фильм и набор кодеков для его просмотра.
даже в далеком 2008 в Windows XP можно было отключить USB порты в диспетчере устройств + еще раньше были средства замены рабочего стола (explorer.exe) на full screen окно, в котором только три кнопки «SCADA», «Блокнот», «MS Paint» (у RS View32 от Rockwell)
Еще один интересный и по сей день актуальный пример — Stuxnet.
разве там не с кривоподписанных nVidida'вских драйверов и особого механизма венды вызывать картинки для иконок файлов всё началось?
В любом случае мы сомневаемся, что без инсайдерской информации о сименосовском проекте вы угадаете какие команды ПЛК воспримет как нужные вам «СТАРТ/СТОП/БЫСТРЕЕ/МЕДЛЕННЕЕ»… Вы в чужих проектах (исходниках) разбирались?
У SCADA-сервера есть множество встроенных утилит, которые позволяют управлять ПЛК: передавать им команды, такие как «Стоп» и «Старт», или иным образом влиять на их работу.
1) нет у SCADA системы никаких встроенных утилит для управления ПЛК. Или приведите примеры.
2) даже разматывая на хакатоне приснопамятный Modbus — как вы угадаете в каком регистре какого типа «запрятана» команда «СТАРТ» или «СТОП» для ПЛК? И вообще каких команд там нагородил погромист…
Вы сами то такое когда-либо проворачивали?
Смотрим на технологическую сеть глазами злоумышленников