Как стать автором
Обновить

10 видов угроз, с которых надо начинать мониторинг ИБ в АСУ ТП

Уровень сложностиПростой
Время на прочтение20 мин
Количество просмотров9.3K
Всего голосов 9: ↑9 и ↓0+11
Комментарии12

Комментарии 12

Есть вот только одна проблема. При защите АСУТП ее защищают сразу от всех и в частности от инженеров которые ее должны чинить. И время ремонтов начинает увеличиваться не просто в разы, а на порядки. То что раньше можно было сделать на 10 минут с использованием WIFI при его запрете может занимать до 2 и более часов. И то что все с кем я сталкивался из ИБ ничего не понимают в том как работает АСУТП и что необходимо для работы оборудования это очень плохо. Вы вредители. У инженеров и технических служб в целом есть KPI от которых зависят их зарплаты. Да и в целом от того как отработает предприятие зависит то сколько люди заработают, а вы просто связываете людям руки. Чинить оборудование становится гораздо сложнее. Инженерам приходится ходить по 20км по заводу просто потому, что к контроллерам можно подключаться только с инженерных станций расположенных где ни будь в цеху рядом с оборудованием. Из за чего в стране деградируют службы АСУТП и нет никакого развития. Вы попробуйте поработать в таком вот например сетапе: На вашем компьютере установите почту и досту в интернет, а ворд, эксель и тд. установите где ни будь на отдельном компьютере в цеху. И пусть он будет один на всех. Производительность! Вся правда в том, что в АСУТП все может сломаться, заключить или начать делать, то что делать не должно без каких либо хайкеров. Это физические вещи. ПК может полностью умереть. Могут наступить события которые программист ни как не мог предвидеть. Так как оборудование в основном тестируется в лабораторных условиях где нет ни грязи, ни людей и тд. Да и в целом может произойти все, что угодно. И все это понимают с самого появления АСУТП. Поэтому и придумали системы безопасности. Они работают на физических принципах и не имеют никакой интеллектуальной составляющей. Такие как реле безопасности, барьеры, сканеры, концевые выключатели и тд. И их не взломать. Поэтому, что вы не делайте повредить оборудование или людей на производстве не получится. Так же надо понимать, что если все может сломаться у инженеров есть решение на любую поломку. И супер защита какой нет больше нигде. В АСУТП есть бекап на все. Абсолютно все. Все где есть какая либо возможность настройка бекапится. И восстанавливается в супер короткие срока. Лучшая практика если эти бекапы уже раскатаны на винчестеры и хранятся в сейфах. Тогда все что надо сделать заменить винт и поехали дальше. При этом надо понимать, что злоумышленник вынув программу из плк получит нечитаемый код в котором очень сложно разобраться и даже если это будет супер гений то все равно этот код еще надо как то с электрической схемой сопоставить. И здесь возникает вопрос. Стоят ли все эти усилий я по защите АСУТП если максимальные убытки которые может понести компания при инциденте сопоставимы с простой поломкой датчика. И время на восстановление будет таким же. А то что как только все эти системы начинают внедряться сразу предприятия начинают терять деньги на увеличении времени простоев, происходит деградация персонала, а так же увеличивается время на модернизацию оборудования, что часто является критичным и сроки модернизаций растягиваются на месяца, диагностические возможности также страдают. Плюс к этому сама стоимость подобных систем не сопоставима с теми рисками от которых она защищает. Сколько в мире инцидентов произошло. Я сейчас говорю про реальные инцидента, а не о том что мы наши вирус который в системе сидит уже 10 лет и ни на, что не влияет. И сколько заводов в мире. Включаем математическую статистику и считаем вероятность нападения на вас хаккера =) Сколько получиться? Да и те технологии и оборудования которые используются в АСУТП не очень то похожи на офисное ИТ. А ИТ почему то очень туда хочет залезть. Большой вопрос почему? Заняться нечем?

"Стоят ли все эти усилий я по защите АСУТП если максимальные убытки которые может понести компания при инциденте сопоставимы с простой поломкой датчика"

Нет, не сопоставмы. Всё же одно из главных отличий ИТ от ОТ в том, что если атака прошла на ОТ, то могут погибнуть люди, может быть причинён существенный физический ущерб как человеку, так и тому, что вокруг оборудования. В ИТ - упадёт/сломается софт/сайт/утекут данные.

Стоит представить не только какой-то датчик, но и ту вещь, куда он передаёт данные. Банальный пример: рука-робот. Делает себе вещи, пока не решит по чужой указке делать вещи не из железа, а из людей. Или даже тот же самый датчик, из-за неверных показаний которого, происходит неправильное дозирование веществ/взрыв из-за слишком большого давления/etc.

рекомендую ознакомиться со stuxnet. пожалуй, самый заезженный и известный инцидент. Всё могло бы закончится гораздо хуже, чем закончилось.

=))) Вот про что я и говорю. Ничего не понимают, а лезут у учат =))). Какая рука робота фантазеры? Перед роботом стоит барьер безопасности или сканер который питание этому роботу отрубит если кто-то его пересечет. А вообще роботы обычно в клетках работают куда человек может зайти только открыв дверь с системой безопасности которая опять же все питание в ячейке выключить. Датчик =))) Вот как это читать? Просто сказки всем рассказывают. Датчик не вечный и он рано или поздно сломается или начнет неправильные показания давать и без взломов и хаккеров. Это физическая вещь не программа. И что вы думаете? Часто из за поломки датчиков заводы взрываются? ... А ломаются датчики каждый день

я так понимаю, рекомендацию ознакомиться со stuxnet вы проигнорировали.

Ниже дал на эту рекомендацию ответ.

У вас наверное наболевший вопрос про ИБ в АСУ ТП, попробую ответить на ваш комментарий. Сам работаю в АСУ ТП в газовой отрасли более 15 лет, и 4 года назад появилась как дополнительная нагрузка обеспечение ИБ АСУ ТП. В современных реалиях ИБ в АСУ ТП однозначно должна быть, для того что бы инциденты связанные с ИБ никогда не возникали, ключевое слово здесь никогда. Это как с ПДД, если бы все люди соблюдали знаки и правила то количество ДТП стремилось бы к нулю а количество ДТП с травмами точно, если бы люди ездили 40 там где знак 40 и не обгоняли там где обгон запрещен и т.д. но это люди, и если Вы я так понимаю "законопослушный гражданин" не совершите недопустимое изменение ПО в ПЛК, но знайте что есть другие люди которые могут это сделать специально или по незнанию. Если в ПЛК будет стоять пароль, который будет знать только компетентный работник то другой не опытный или обиженный (уволенный) ничего там не изменит и не удалит, да это дополнительные действия но они не затратны по времени вообще. Кстати на счёт уволенного который нанес ущерб организации, удалив ПО из станков, знаю пруф. Если не будет возможности физической/программной вставить флешку в АРМ или сервер то диспетчер/ оператор не занесет в систему зловред. В АСУ ТП замечательно когда ИБ работает параллельно конечно, анализирует отзеркаленный трафик, ничего не блокирует и т.п. а также не затрагивает работников АСУ ТП В описанном вами случае про удаленные сервисные устройства думаю стоит обсудить с вашими безопасниками другие безопасные варианты работы. А вероятность про хакеров она может быть и маленькая но всё таки есть, и для безопасности нужно сделать всё возможное, допустим есть в промышленных коммутаторах возможность настроить фильтрацию по IP/MAC, то почему бы это не сделать. Я понимаю что взломать можно любую систему, всё зависит от желания и бюджета, но максимально ограничить эту возможность необходимо, и может быть на каком то шаге хакер "застрянет" и не реализует свой коварный план.

stuxnet самый заезженный потому, что больше нечего сказать. Больше ничего нет. Накидайте пруфов. Червь это хорошо конечно для вашего маркетинга. Но что дальше то? Открою вам тайну. На производственном оборудовании никаких секретных данных нет. Завод это не банк. А для того что бы эти вирусы отлавливать соедините все в сеть и поставите туда отдельный самый уязвимый ПК и на него какой угодно софт ставьте. Делайте с ним, что угодно. Черви и вирусы имеют одну плохую/хорошую особенность, пытаются по максимуму распространится. Вот когда они этот ПК заразят, тогда и начинайте искать и лечить. Для этого одного человека с флешкой с доктор вебом достаточно.

А почему целью обязательно должны быть какие-то секретные данные? При атаках на ОТ данные никому даром не нужны, данные остались в другом сегменте сети. Чаще всего цель атак это вывод из строя. Реже - внести какие-то изменения в продукт. Данные остались в корпоративном сегменте сети.

Вы понимаете, что оборудование постоянно выходит из строя. Каждый день, что то происходит. Чем атака отличается от поломки контроллера, компьютера, панели оператора, датчика и тд? Почему заводы должны терять миллионы на увеличении времени простоев, а люди терять премии из за того, что инженерам надо тратить гораздо больше времени на поиск причин, а часть диагностики вообще становится невозможной во всех остальных случаях, что бы защититься от этих атак?

SMB, FTP ... разве в ПЛК не MODBUS нонче?

Где то может быть и MODBUS, где то profibus, profinet, industrial ethernet, ethernet/ip, EtherCAT. Вообще сколько контроллеров столько протоколов. Каждый норовит, что то свое придумать ну и какие ни будь распространены тоже запихать.

ИМХО, современный инженер АСУ обязан понимать в IT технологиях, или работать в паре с сисадмином в вопросах касающихся пересечения промышленных сетей и сетей предприятия/интернет. Обычные инструменты, такие как VLAN, NAT и стандартный файервол вроде IPTABLES прекрасно справляются с задачами ИБ в АСУ ТП.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий