Pull to refresh
115.78
Rating
Ростелеком-Солар
Безопасность по имени Солнце

«Не влезай, убьет!» или вся правда о безопасности АСУ ТП

Ростелеком-Солар corporate blogInformation SecurityIndustrial Programming
Больша́я часть наших заказчиков — это промышленные и производственные компании. Каким бы крупным и значимым ни был фронт-офис и корпоративная сеть подобных компаний, основной их бизнес — непосредственно производство, а также связанные с ним задачи и процессы. И зачастую, решая с заказчиками задачи мониторинга и реагирования на кибератаки, мы начинаем с корпоративной сети и периметра, а в итоге приходим к закрытым сетям и сегментам производственных и технологических сетей.

Мы решили собрать наш опыт защиты АСУ ТП и рассказать о самых частых проблемах и популярных мифах о безопасности в данной области.


АСУ ТП — комплекс технических и программных средств, предназначенный для автоматизации управления технологическим оборудованием на промышленных предприятиях.

АСУ ТП, как правило, имеет многоуровневую структуру:

  • Уровень операторского/диспетчерского управления (верхний уровень).
  • Уровень автоматического управления (средний уровень).
  • Уровень ввода/вывода данных исполнительных устройств (нижний/полевой уровень).

Количество уровней АСУ ТП так же, как и её состав на каждом из уровней, безусловно зависит от её назначения и выполняемых целевых функций. При этом на каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться и другие дополнительные сегменты. Тем не менее, на текущем этапе ограничимся общим нижеприведенным представлением.



Проблема 1: миф о «воздушном зазоре»


Многие АСУ ТП строились по-настоящему давно. Тогда считалось, что технологические сети и системы полностью изолированы от внешнего мира, и в том числе поэтому обеспечение информационной безопасности в этой сфере не признавалось актуальным или, в лучшем случае, не было приоритетным. Однако сейчас грань между технологическими и корпоративными сетями всё больше стирается, и, кроме того, в технологических сетях всё больше используется Ethernet/IP и в целом технологии сетей корпоративных.

Эти процессы обусловлены потребностью бизнеса и, как следствие необходимости связности сетей, обычно мы наблюдаем у Заказчика один из нижеприведенных сценариев:

  1. У заказчика реализован проект сопряжения и сегментирования корпоративной и технологических сетей, предусматривающий комплексный подход к обеспечению ИБ при связности сегментов. На текущий момент самый редкий вариант, однако мы встречали его у нескольких заказчиков.
  2. Корпоративная и технологическая сети заказчика связаны по одной из схем, доступных и кажущихся достаточно безопасными службам ИТ, ИБ и АСУ ТП. Это могут быть как связность с использованием межсетевого экрана, использованием маршрутизатора с ACL (Access Control List) и прочие варианты вплоть до АРМ/серверов доступа с несколькими сетевыми картами (кстати, один из очень распространенных случаев). На эти схемы часто накладывается большое число доступов, в том числе и доступов извне корпоративной сети — для установленных на территории производств банкоматов, удаленной работы вендоров АСУ ТП и прочих привлекаемых подрядных организаций. Как следствие, по факту данные схемы со временем начинают трансформироваться в следующий вариант:
  3. Просто АСУ ТП в общей сети. Кажется невероятным, но, к сожалению, этот вариант также широко распространен.

Помимо того, сказывается и эффект развития и массовой доступности современных технологий (мобильных устройств и мобильного интернета, USB-модемов и т.п.), которые сотрудники активно используют в собственных целях. Начиная от операторов, желающих иметь доступ в интернет на рабочем месте, и заканчивая ИТ-администраторами, желающими сэкономить время поездки до конечного объекта, находящегося, как пример, в 20 км от офиса.

Результаты пентеста АСУ ТП компании A (выдержка из отчета)
В процессе проведения работ аудитором был получен доступ к удаленному рабочему столу АРМ пользователя с IP-адресом 172.28.XX.YY, на котором были обнаружены:

  • Сохраненные настройки VPN-подключений к сегментам технологической инфраструктуры, считающимся изолированными (см. рис.).

  • Файл, который содержал реквизиты доступа к узлам технологической инфраструктуры, включая реквизиты доступа и управления используемых SCADA-систем различных производителей. Файл был доступен в общем сетевом каталоге всем пользователям корпоративной сети без аутентификации (см. рис.).


Использование VPN-подключений с сохраненными реквизитами позволило аудитору напрямую с выявленного АРМ получить доступ к управлению сетевым оборудованием технологической инфраструктуры, а также оборудованием на конечных объектах с помощью интерфейсов управления соответствующими SCADA-системами.

Дополним картину упомянутыми выше проблемами использования на местах USB-модемов. Телефонов, как USB-модемов. Домашних маршрутизаторов, домашних серверов хранения и прочих «возможностей» современной жизни. И даже если корпоративная и технологическая сети связаны по наилучшему — первому из сценариев, к сожалению, по факту это не означает, что ситуация действительно такова, какой должна быть, и на конкретных местах нет, например, собственного выхода в интернет или неконтролируемого доступа в корпоративную сеть и обратно.

В результате получаем безрадостную картину возможности легкого проникновения злоумышленника или вредоносного ПО со связью с C&C внутрь АСУ ТП. Обобщённо можно сформулировать это следующим образом: всё, что угрожает корпоративной сети, фактически угрожает и технологическим сегментам. Это ни в коем случае не значит, что на технологическую инфраструктуру и АСУ ТП нужно переносить технологии защиты корпоративной сети, но необходимо отдавать себе отчет в том, что рисков ИБ у технологических сегментов точно не меньше, чем у корпоративных.

Проблема 2: ИБ в АСУ ТП и гигиена ИБ


Технологические сети и сегменты в то же время значительно отличаются от корпоративных сетей и систем. Так, в отличие от типовой ИТ-системы, типовая АСУ ТП:

  • Является системой реального времени, в которой время реакции является критичным, а задержки и потеря данных – неприемлемыми.
  • Наряду с широко распространенными ОС и протоколами в ней широко используются специализированные и специально разработанные (проприетарные).
  • Продолжительность жизненного цикла составляет 10-15-20 лет, а для некоторых объектов — и до 30 лет.
  • Компоненты могут быть изолированными, территориально удаленными и с физически сложным доступом.
  • Перезагрузка в АСУ ТП может быть неприемлема, в т.ч. зачастую невозможна и установка каких-либо обновлений и т.д.

Как следствие, на конечных объектах у заказчика мы часто наблюдаем ситуацию, когда используется некая собственная разработка (ни производителя, ни поддержки которой уже не осталось), с общей учетной записью смены, пароль от которой невозможно изменить и который совпадает с логином (по аналогии со знаменитыми admin/admin). Если пароль вообще может быть задан, ведь, напомним, многим АСУ ТП более 10-15 лет.

Результаты пентеста АСУ ТП компании B (выдержка из отчета)
Изучение выявленных аудитором схем технологических сетей и способов их сопряжения с пользовательскими сегментами показало, что узлы с IP-адресами 10.65.XX.YY, 10.65.XX.ZZ выполняют функции маршрутизатора между пользовательской и технологической сетью. Доступ на данные устройства возможен по протоколу SSH с использованием реквизитов учетной записи пользователя root с легко подбираемым паролем root. Узлы с указанными выше IP-адресами после получения доступа к ним были идентифицированы и оказались контроллерами системы PSI (см. рис.).



Работа на данных устройствах сервиса SSH с возможностью передачи графических сессий и поддержкой SSH-туннелей позволила аудитору организовать туннелирование трафика и провести через контроллеры системы PSI выборочное сканирование узлов технологических сетей, последующую атаку на подсистему парольной защиты технологической сети и получить доступ к устройствам, изолированным от пользовательского сегмента.

В частности, аудитором был получен доступ в технологическую сеть на базе оборудования MIKRONIKA, для чего применялся доступ по протоколу Telnet с использованием реквизитов учетной записи root, не имеющей установленного пароля для удаленного привилегированного доступа к устройствам (см. рис.).



Также, в то время как в технологических системах по большей части циркулирует информация о технологических процессах и об управляющих воздействиях, акцент, как правило, делается на ее доступности и целостности, тогда как вопросу обеспечения конфиденциальности, как правило, уделяется меньше внимания. И это одна из дополнительных причин, объясняющих «задержку» с движением в направлении обеспечения информационной безопасности в сфере АСУ ТП.

Итак, мы имеем фактически незащищенную систему, работающую на устаревшем и неподдерживаемом ПО с целым веером уязвимостей. Установка обновлений на такую систему, в большинстве случаев, невозможна – из-за их отсутствия, невозможности установки, невозможности перезагрузки и другим многочисленным причинам). Отсюда следует вывод: проблемы и уязвимости в технологических сетях и системах даже выше, чем в средней корпоративной сети.

При этом даже в случае использования систем и ПО, поддерживаемых производителем, со стороны производства обычно наблюдается устойчивое сопротивление каким-либо обновлениям, направленным на устранение проблем безопасности. И практически всегда это неприятие распространяется на любые наложенные средства безопасности (к слову, возможно, вполне обоснованное, если в подобных средствах так или иначе заявлены и реализованы механизмы блокирования, даже если не предполагается их задействовать в ходе внедрения и будущей эксплуатации).

Важно отметить, что заказчикам известна большая часть этих проблем, включая возможные действия сотрудников на местах. Риски ИБ, связанные с ними, закрываются очень жесткими организационными мерами и мерами физической безопасности: запрет проноса на территорию и использования различных устройств и внешних носителей, физическое ограничение возможности использования портов оборудования и т.п. меры). Однако эти меры не способны полностью обеспечить надежную защиту АСУ ТП.

Резюмируя описанные выше ситуации и проблемы, можно отметить следующие основные тезисы: в части сложившейся ситуации с ИБ в АСУ ТП:

  1. «Всё сломать» в АСУ ТП можно и без сложных атак на системы, протоколы и контроллеры.
  2. Стартовые риски ИБ в технологической сети не только не меньше, но и значительно выше, чем в корпоративной.
  3. Данные риски требуют собственных ряда действий и мероприятий, как минимум учитывающих:
    • колоссальную критичность и непрерывность бизнес-процессов;
    • практическую невозможность обновлений;
    • практическую малоприменимость или неприменимость традиционных систем ИБ и, в частности, механизмов блокирования.

Но сколько бы ни было ограничивающих факторов, защищать АСУ ТП все же необходимо. Во второй части статьи мы расскажем о том, как, учитывая указанные проблемы, осуществлять полноценный мониторинг и реагирование на кибератаки. Опять-таки, с живыми примерами и кейсами от заказчиков. Не пропустите!
Tags:асу тпасутппромышленностьsocsolar jsocцентр мониторингакибербезопасностькибератаки
Hubs: Ростелеком-Солар corporate blog Information Security Industrial Programming
Total votes 40: ↑40 and ↓0+40
Views18K

Top of the last 24 hours

Information

Founded
2015
Location
Россия
Website
rt-solar.ru
Employees
501–1,000 employees
Registered

Habr blog