Безопасность SCADA в цифрах

    Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий.

    Широкий интерес к защищенности промышленных систем возник после серии инцидентов с вирусами Flame и Stuxnet, которые стали первыми ласточками эпохи кибервойн. В России же есть еще один повод обратить внимание на защищенность подобных систем — новые требования регуляторов, направленные на повышение безопасности АСУ ТП (ICS/SCADA/PLC).

    Для выбора адекватных мер безопасности необходимо понимать, какими возможностями обладает киберпреступник и какие векторы нападения он может использовать. Чтобы ответить на эти вопросы эксперты Positive Technologies провели исследование безопасности АСУ ТП (ICS/SCADA). Результаты под катом.

    Объектом исследования стали уязвимости, обнаруженные с 2005 г. по 1 октября 2012 г. Коротко по результатам анализа можно отметить несколько фактов:

    • За несколько месяцев 2012 года было найдено больше уязвимостей АСУ ТП чем за весь предыдущий год: происходит стремительный рост их числа.
    • Проблемы, как и всегда, обнаруживаются в самых популярных продуктах, и около 65% уязвимостей являются серьезными или критическими.
    • США и Европа лидируют по числу доступных из интернета систем АСУ ТП, при этом 40% всех доступных извне SCADA-систем уязвимы и могут быть взломаны.
    • Большинство проблем безопасности доступных из Интернета систем АСУ ТП связаны с ошибками конфигурации (это, например, стандартные пароли) и отсутствием обновлений.

    Но обо все по порядку.

    Востребованность систем АСУ ТП в России


    Приблизительно представить доли различных производителей на рынке систем АСУ ТП можно, оценив востребованность специалистов, обладающих опытом работы с той или иной системой, протоколом, технологией или программой. В качестве основы для анализа была взята статистика базы вакансий hh.ru. Наиболее востребованными оказались специалисты, имеющие опыт работы с решениями компании Siemens. Четыре из шести самых распространенных продуктов относятся к семейству Siemens SIMATIC:

    • Step 7 — разработка систем автоматизации на основе PLC (около 22,05%),
    • WinCC и WinCC Flexible — создание человеко-машинного интерфейса (18,11% и 3,94% соответственно),
    • PCS 7 — построение комплексных систем автоматизации (7,87%).

    В пятерку лидеров также входят InTouch HMI компании Wonderware (12,6%) и пакет ПО Genesis от Iconics (5,51%).



    Если рассматривать технологии передачи данных, то наиболее популярными из них являются Modbus (RTU и TCP/IP) и Profibus/Profinet, занимающие примерно по 33%. Далее идет OPC (25%).

    Среди всех используемых с АСУ ТП операционных систем с большим отрывом лидирует Microsoft Windows, опыт работы с которой требуется в большинстве объявлений в этой сфере. Знания QNX и FreeRTOS указаны лишь в незначительном количестве вакансий.

    В сегменте программируемых логических контроллеров (ПЛК, PLC) чаще всего ищут специалистов по решениям Siemens (примерно 31%). Далее следуют продукты Schneider Electric (11%), ABB (9%), Allen-Bradley (7%) и Emerson (5%).

    Анализ уязвимостей


    Уязвимости часто публикуются без согласования с разработчиками, поэтому для нашего исследования мы использовали данные из различных источников, таких как базы знаний уязвимостей (vulnerability database) и уведомления производителей, сборники эксплойтов (exploit pack), доклады специализированных мероприятий, публикации на тематических сайтах и в блогах.

    Интересно отметить, что в период с 2005 года до начала 2010 года было обнаружено лишь 9 уязвимостей в системах АСУ ТП, а уже после появления червя Stuxnet и последовавшей за этим шумихи за 2011 год было найдено уже 64 уязвимости. За первые восемь месяцев 2012 года стало известно о 98 новых уязвимостей: это больше, чем за все предыдущие годы.

    Наибольшее количество уязвимостей (42) за отчетный период было обнаружено в компонентах АСУ ТП производства компании Siemens. На втором месте — системы Broadwin/Advantech (22). На третьем — Schneider Electric (18). Подобная картина в случае с АСУ ТП, как и вообще в информационных технологиях, объясняется тем, что наибольшее количество уязвимостей обнаруживается в самых распространенных решениях. Кроме того, ряд производителей лишь недавно начали активно заниматься поиском и устранением уязвимостей в своих продуктах (примером может служить Siemens ProductCERT).

    Уязвимости по типу программно-аппаратных компонентов АСУ ТП

    Наибольший интерес для злоумышленников представляют такие составляющие АСУ ТП, как SCADA и человеко-машинного интерфейс (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период было найдено 20 уязвимостей.

    Типы уязвимостей

    Почти треть уязвимостей (36%) связана с переполнением буфера (Buffer Overflow). Данная проблема безопасности позволяет злоумышленнику не только вызвать аварийное завершение или «зависание» программы, что ведет к отказу в обслуживании, но и выполнить произвольный код на целевой системе. Если же сложить все типы уязвимостей, эксплуатация которых позволяет хакеру запустить выполнение кода (например, переполнение буфера, удаленное выполнение кода), то получится доля около 40% всех уязвимостей. Стоит отметить и большое количество проблем с аутентификацией и управлением ключами (Authentication / Key Management) — почти 23%.



    Доля устраненных уязвимостей АСУ ТП

    Большинство недостатков безопасности (81%) были оперативно ликвидированы производителями — еще до того, как сведения о них становились широко известны, или в течение 30 дней после нескоординированного разглашения информации. Однако примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена.

    Наглядное представление о том, насколько серьезно относятся к проблемам информационной безопасности различные производители АСУ ТП, дает доля «закрытых» уязвимостей. Например, Siemens устранил и выпустил обновления для 98% уязвимостей, тогда как Schneider Electric ликвидировала только чуть больше половины (56%) обнаруженных проблем.

    Доступность сведений или ПО для проведения атаки

    Наличие в открытом доступе готового средства для эксплуатации уязвимости или информации о ней значительно повышает вероятность успешной атаки. На данный момент для 35% всех представленных в АСУ ТП уязвимостей существуют эксплойты, которые распространяются в виде отдельных утилит, входят в состав пакетов ПО для пентестов либо описаны в уведомлениях об уязвимости. Аналогичный показатель для прочих IТ-систем в разы меньше.

    Как правило, количество опубликованных уязвимостей коррелирует с количеством опубликованных эксплойтов. В период с начала 2011 года по сентябрь 2012 года было опубликовано 50 эксплойтов — в шесть раз больше, чем за шесть лет с 2005-го по 2010 год.



    Относительно небольшое количество эксплойтов, появившихся в 2012 году, объясняется двумя факторами:

    • упорядочиванием взаимоотношений между производителями АСУ ТП и исследователями, политика ответственного разглашения;
    • традиционной задержкой между публикацией уязвимости и выходом эксплойта (его разработка требует дополнительных затрат).

    Степень риска обнаруженных уязвимостей

    Почти 65% всех уязвимостей относятся к высокой (значение CVSS v. 2 Base Score > 6,5) или критической степени риска (доступен эксплойт).


    Впрочем, отсутствие известного способа реализации атаки снижает вероятность нападения, но не исключает его полностью, поскольку кибератаки на промышленные объекты проводятся с привлечением опытных специалистов высокого уровня, которым зачастую попросту не нужны «эксплойт-паки» и прочие популярные инструменты.

    Неустраненные уязвимости АСУ ТП

    Уязвимости, для которых уже есть эксплойт, но еще не выпущено исправление, представляют наибольшую опасность, так как для проникновения в систему злоумышленнику не нужны глубокие знания и длительная подготовка. Любой школьник, решивший похулиганить, может стать причиной огромного ущерба. Наихудшая ситуация здесь складывается для продуктов АСУ ТП компании Schneider Electriс: обнаружено 6 открытых уязвимостей. На втором месте компания General Electric (три уязвимости), третье место поделили Advantech/Broadwin и Rockwell Automation — у них по одной открытой уязвимости.

    Распространенность систем АСУ ТП в Интернете


    Чтобы понять, в какой мере все эти уязвимости могут быть использованы злоумышленником, было проведено исследование сети Интернет на предмет наличия уязвимых систем АСУ ТП. Поиск и проверка версий систем осуществлялась методами пассивного анализа с использованием поисковых машин (Google, Yahoo, Bing) и специализированных баз знаний, таких как ShodanHQ, Every Routable IP Project. Полученная информация анализировалась с точки зрения наличия уязвимостей, связанных с управлением конфигурацией и установкой обновлений.

    Почти треть систем АСУ ТП, к элементам которых есть доступ из сети Интернет, расположены в США (31,3%). Второе место с большим отрывом занимает Италия (6,8%), замыкает тройку Южная Корея (6,2%). Россия расположилась на 12 позиции с 2,3%, а в КНР находятся только 1,1% всех видимых из глобальной сети систем АСУ ТП.



    Результаты ожидаемы, поскольку количество доступных систем напрямую зависит от степени автоматизации инфраструктуры.

    Типы систем АСУ ТП

    Чаще всего в глобальной сети присутствуют различные компоненты SCADA-систем (включая HMI). На их долю приходится 70% всех обнаруженных объектов. Еще 27% доступных компонентов АСУ ТП — это программируемые логические контроллеры. В 3% случаев были обнаружены различные сетевые устройства, используемые в сетях АСУ ТП (Hardware).

    Типы уязвимостей

    Самые распространенные недостатки безопасности (выявлены в 36% случаев) связаны с ошибками конфигурации. Сюда относятся и некорректная парольная политика (например, использование стандартных инженерных паролей), доступ к критической информации, ошибочное разграничение полномочий. Четверть уязвимостей связана с отсутствием необходимых обновлений безопасности.



    Доля уязвимых систему АСУ ТП в различных странах и регионах
    Больше всего уязвимых систем АСУ ТП, которые «видны» из Интернета, — в Швейцарии (100%). Далее идет Чехия (86%), на третьем месте Швеция (67%). В России уязвима ровно половина доступных извне систем АСУ ТП.

    Меньше всего заботятся о безопасности АСУ ТП в Европе: в этом регионе уязвимы 54% систем промышленной автоматизации. На втором месте Северная Америка (39%), затем Азия (32%), где существенную роль играют небезопасные объекты Тайваня и Южной Кореи.

    Positive Technologies
    193,00
    Компания
    Поделиться публикацией

    Комментарии 22

      +1
      Спасибо за статью.

      Возник вопсрос откуда взялась статистика? Можно линк?
      А также линки на «vulnerability database» и «exploit pack»?
        0
        Базы знаний по уязвимостям:

        ICS-CERT,
        NVD,
        CVE,
        Bugtraq,
        OSVDB,
        Mitre Oval Repositories,
        exploit-db,
        Siemens Product CERT.

        Сборники эксплойтов:
        SAINTexploit,
        Metasploit Framework,
        Immunity Canvas,
        Agora Pack,
        Agora SCADA+,
        D2 Exploit Pack,
        White Phosphorus exploit pack,
        VulnDisco Exploit Pack.

        линки на каждый из них можно легко нагуглить :)
        –6
        Блин, «эксперты»…
        У меня вот вопрос к автору, а Вы вообще представляете из чего состоят современные АСУ ТП?
        Почти треть уязвимостей (36%) связана с переполнением буфера (Buffer Overflow).

        Буфера чего? HMI, SCADA, PLC?? У меня такое ощущение, что термины услышали, а что они именно означают как бы не поняли.
        … составляющие АСУ ТП, как SCADA и человеко-машинного интерфейс (HMI)
        То есть SCADA — это часть АСУ ТП, так? А что такое SCADA?
        Ну и конечно написать про сегмент компаний по объявлениям в hh.ru, это вообще жесть… Где такие компании как Honeywell??
        Прошу прощения за резкую критику, но я уверен, что перед написанием статьи надо разобраться в предмете, либо вообще не писать…
        Вообще от себя хочу добавить, что писать подобную статью надо вдумчиво, опираясь на конкретные случаи, а уж не hh.ru, и хочу добавить, что я на своей практике не встречался ни с одной АСУ ТП, которая бы смотрела напрямую в интернет, даже не слышал о таком…
          +2
          За торчащие наружу элементы, касающиеся внутренней инфраструктуры, управления, и того, что обычно подразумевают, говоря про SCADA надо увольнять администраторов системы, проектировщиков инфраструктуры и сети, офицеров ИТ безопасности и ИТ руководителей, как несущих ответственность и допустивших такое.
          Как минимум списки доступа, ограничивающие подключения, как максимум — vpn и менеджмент станции, находящиеся где-то глубоко внутри закрытые для доступа только с рабочих станций операторов.
          Не говоря уже об полностью отдельной сетевой инфраструктуре для объектов техпроцесса, куда физически можно попасть пройдя все контуры физической безопасности досмотры и сдавания телефонов/флешек/фотиков и прочей аппаратуры
            +3
            Эмм… это мягко говоря — слабо реализуемо на практике
            Суть проблемы
            передает статья на лурке «всем по...» применительно к начальству, не желающему выделять денег на отдельную инфраструктуру для АСУТП предприятия. В итоге имеем систему безопасности держащуюся на честном слове админов.

            Можно максимально предохраняться, но с внешним миром (сетью предприятия) сообщаться необходимо. Другой вопрос, что сделать это можно по разному. Я могу реализовать, что с моих систем в реальном времени в сети можно будет видеть информацию о техпроцессе. Но это будет просто набор данных выведенных в html. Все, моя асутп видна в интернете.
            Про Honeywell автор статьи таки забыл. А у них весьма крупный кусок рынка, особенно касаемо нефтехимии. А еще Yokagava, Foxboro, Emerson. В общем пропустил крупнейших производителей DCS систем.
              +2
              Emerson в исследовании есть, по остальным – мы брали только производителей для которых существуют опубликованные уязвимости.
            –1
            Зря заминусовали, автор коммента то прав :)
            0
            В России уязвима ровно половина доступных извне систем АСУ ТП.
            Интересно, не означает ли это «одна из двух»? :-) Приведите хотя бы одну абсолютную цифру (например, общее количество доступных через Интернет систем в штуках).
              +1
              Тоже было бы интересно увидеть абсолютные показатели. С раскладом по тому, что там именно выведено в Интернет. Потому что если речь просто о некоей визуализации — то при грамотной реализации это может и странно, но еще не криминал.
              С АСУТП может все и плохо в плане ИБ, но и с пониманием этого у руководства не все так плачевно, как обычно представляют. Часто воздушный зазор. Что? Профессиональные ИБ-шники хитро заухмылялись, намекая на другие каналы, типа флоппинета, usb модемов, левых вайфай точек? Не все и не всегда такие идиоты на производстве, что бы этих простых вещей не понимать и не принимать хотя бы минимальных организационных мер по противодействию.
                +1
                Организационные меры — это, конечно, прекрасно, вот только не надо недооценивать идиотов. Точнее, не идиотов, а просто необразованных в этом плане людей.
                Кроме того, есть банальные флешки с вирусами (если правильно помню, Stuxnet таким образом распространялся). Так что воздушный зазор а) не панацея, б) не всегда возможен (безопасность не должна нарушать или серьезно усложнять бизнес-процессы).
                  +2
                  Ну да, а про флешки никто не понимает. Только господа с презентаций и форумов по ИБ.
                  Про воздушный зазор — написал предельно ясно, понимание канала в широком смысле, а не только сетевом у людей есть чаще всего.
                  На счет идиотов. Если оператор технологического процесса — идиот, вам не поможет никакая система защиты. Это критичное рабочее место, от вменяемости персонала на этом месте много чего зависит, вплоть до жизни и здоровья людей. Если там идиот или в доску безграмотный человек — не надо никакого стакснета, этот человек и так вам устроит веселую жизнь.
                    +1
                    На счет не всегда возможен — да, есть такая тенденция, как стык АСУТП и АСУП, что бы АСУП данными кормить и далее модные словечки типа ERP, OLAP и прочее. Но в АСУТП система системе рознь. Те системы, где возможно управляющее воздействие со всеми вытекающими очень часто именно изолированы. А данные на верхний уровень для управленцев другие системы выдают, которые к взлому не столь критичны.
                      0
                      Да, действительно, интеграция с MES и ERP может приносить неприятные сюрпризы, например такие Что касается изоляции, она зачастую достаточно условна. Пример из жизни: на энергогенерирующем предприятии для загрузки проекта на SCADA/PLC необходимо использовать токен для авторизации. Иначе никак. Однако PLC внезапно доступен по telnet/ftp с root: и можно просто заливать туда что душе угодно. Тот же проект, например, с приятными сердцу модификациями
                        +2
                        Да, телнет/фтп-доступ вещь неприятная. Но при изоляции всей системы от общей ЛВС кто этим может воспользоваться?

                        1. Инсайдер дядя Вася. Но он или тот, кто эти проекты ваяет, и ему не надо ломать самого себя. В этом случае и так все держится на доверии ему. Или это оператор, который, если очень захочет… много чего может и без телнет/фтп, у него это все под боком, включая ПАЗ, которую он может… кхм, не будем об этом.

                        2. Вирь, зловредный код. И вот тут встает вопрос о канале его попадания в закрытую сеть. Изоляцию сетевую хоть и обозвали условной, но она есть. Остаются флешки, ноуты. Это люди более менее понимают. Когда подрядчик со своим ноутом — могут и просто не пустить в сетку с собственным девайсом. И флешку свою воткнуть не дадут на какую-нибудь инженерную станцию. А если вдруг припрет и придется — устроят ТО на вшивость после ухода. Да, это все не панацеи, просто уровень шумихи вокруг АСУТП в последнее время зашкаливает, но только от части оправданно. Я понимаю, коньюнктура. Закончат с ПДН, возьмутся за КСИИ, рамочные документы уже есть, векторы обозначены.
                    +1
                    Сейчас уточним.
                      +2
                      Спасибо.
                    +1
                    Цель аналитики не абсолютные цифры (мы приводим процентные доли), к тому же просканировать весь интернет смысла нет. Методика поиска систем описана в исследовании (Google, ShoudanHQ ERIPP и т.д.).

                    Вообще в тексте исследования (со страницы 24) приводится достаточно большое количество показателей.
                    –3
                    Какое оригинальное исследование ) как всегда никакого плагиата
                      +2
                      Я прошу прощение, но с типами уязвимостей надо срочно что-то делать.
                      Переполнение буфера эта вышедший из под контроля программы процесс манипуляции с данными в памяти. Выполнение кода (а может просто DoS) это, как вариант, последствия переполнения, а WEB-сервер это элемент архитектуры приложения…
                      Иными словами сложили теплое с мягким и красным и получили 100%… бывает наверное и такое.
                        +1
                        К сожалению не всегда получается однозначно классифицировать уязвимость на основе существующего описания.
                        Кроме того, количество уязвимостей в ICS не так велико, чтобы можно было использовать более детальную классификацию, как CWE. Поэтому мы укрупнили до использованной в исследовании.

                        Buffer overflow – манипуляция памяти, когда последствия непонятны
                        Remote Code Execution – явно приводят к выполнению кода
                        Web (Server/Client) – согласно WASC/OWASP соответственно

                        Ну и далее. Отдельно выделили проблемы управления «секретами», поскольку их очень много, практически 23%. С нашей точки зрения это показывает насколько мало задумывались о безопасности при проектировании SCADA и прочих, поскольку в большинстве случаев это архитектурный баг.
                        –1
                        Просмотрел до первого графика и понял, что дальше читать не стоит, извините. Сравнивать в одном графике ПО различных уровней и предназначения глупо, как, в принципе совершенно безумно брать статистику с hh.

                        По моему опыту отрасль автоматизации закрытая, поэтому очень сомневаюсь в достоверности приводимых данных.

                          +2
                          От спецов с АСУТПшного форума (http://asutpforum.ru/viewtopic.php?f=11&t=3239) ответ авторам статьи в виде анекдота:

                          Шотландский пастух пасет овец на изумрудно-зелёном поле. Вдруг к краю поля подлетает «Мерседес» последней модели, из него выскакивает молодой человек в шикарном костюме и с Rolex'ом на руке, подходит к пастуху и говорит: «Я могу помочь тебе в твоём деле».
                          «Что ж, давай!» — отвечает пастух.
                          Молодой человек достает из машины ноутбук, вытягивает антенны и начинает работать. Он получает снимки со спутников, обрабатывает их, делает какие-то сложные расчёты, беспрестанно звонит важным людям и экспертам в разных областях, и в конце концов вытаскивает цветной принтер, печатает красивый толстый отчёт, тут же его сброшюровывает, подходит к пастуху и говорит:
                          «Вот, держи. Я вычислил: принимая во внимание все имеющиеся факторы, оптимальный размер твоего стада — 156 овец. А у тебя их 157! Это портит весь твой бизнес! Я одну овцу заберу, и всё наладится».
                          Молодой человек хватает овцу и начинает запихивать её в багажник «Мерседеса».
                          В этот момент пастух его окликает:
                          «Послушай, дружок, ты, должно быть, из PriceWaterhouseCoopers?»
                          «А как ты догадался?!»
                          «Очень просто. Во-первых, тебя никто не звал, ты сам пришёл. Во-вторых, ты работал целый день и дал мне ответ на вопрос, на который я и сам знаю ответ. А в-третьих, отдай МОЮ СОБАКУ, кретин! Ты в моём бизнесе ничего не понимаешь!»

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое