Профилактика обнаружение и борьба с уязвимостями на предприятии
Информационная безопасность Информационная безопасность

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Главная>Информационная безопасность>Атаки на предприятия: от осознания рисков к киберпротивостоянию
Информационная безопасность Тема номера

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Дата публикации:
15.12.2016
Посетителей:
108
Просмотров:
99
Время просмотра:
1.3 мин.

Авторы

Спикер
Олег Матыков Руководитель направления развития продуктов для защиты приложений и промышленных сетей Positive Technologies
Беспокойство по поводу защиты технологической инфраструктуры растет повсеместно. В 2016 году IBM X-Force выпустила отчет, посвященный исследованию кибератак на индустриальные системы: за 2 года количество подобных инцидентов во всем мире увеличилось на 636%. Мы осознали риски недостаточного внимания к индустриальной безопасности более 5 лет назад и тогда же создали отдельное подразделение по исследованию защищенности промышленных систем.

 

 

За это время наши эксперты провели аудит нескольких десятков отечественных и зарубежных предприятий, обнаружили в АСУ ТП более 250 уязвимостей «нулевого дня». Пристальное внимание исследователи Positive Technologies уделяли в том числе проблеме безопасности железнодорожной инфраструктуры, обнаружив за прошедшие несколько лет десятки критичных уязвимостей и векторов атак, которые могут влиять на безопасность железнодорожного транспорта. На основе накопленного опыта мы сформировали собственную концепцию обеспечения безопасности сегмента АСУ ТП без влияния на его функциональную безопасность.

«Танчики», Conficker и IoT

 

Наши первые работы по анализу защищенности промышленных систем заставляли в прямом смысле слова хвататься за голову: бывало, что операторы играли в «танчики» и смотрели кино на автоматизированных рабочих местах (АРМ), подключали к USB-разъемам личные модемы и смартфоны. Нам регулярно встречались в SCADA уязвимости, позволяющие надолго вывести индустриальный объект из строя. Приходилось встречаться и с пресловутым Conficker, который не удалялся годами.

 

В 7 из 10 случаев мы отмечали нарушения в части физической изоляции производственных процессов в угоду удобства работников. На практике, например, если инженеру на предприятии банально неудобно ходить через весь завод до обособленного контроллера или АРМа, ставится Radmin, позволяющий наблюдать, скажем, за уровнем температуры или давления на объекте удаленно (хоть из дома).

 

Еще один частый источник возможных проблем – интеграция промышленной среды с ERP и системами бизнес-аналитики. Да, это существенно повышает эффективность производства. Например, порт Гамбурга благодаря интеллектуализации своих производственных процессов очень быстро смог увеличить пропускную способность с 9 до 25 млн контейнеров в год. Поэтому количество «умных» сенсоров и «умных» исполнительных устройств, взаимодействующих между собой без участия человека, будет только расти. С точки зрения безопасности это позволит потенциальному нарушителю эксплуатировать уязвимости, характерные не только для АСУ ТП, но и другие, свойственные любым сетевым инфраструктурам.

 

Суровая правда цифр

 

По итогам прошлого года наш исследовательский центр (Positive Research) обнаружил 158 087 компонентов АСУ ТП, доступных в сети Интернет. Наибольшее количество было доступно по протоколам HTTP, Fox, Modbus и BACnet, и в большинстве случаев для авторизации в таких системах используется словарный пароль. Было найдено немало доступных извне компонентов АСУ ТП, управляющих производственными процессами различных предприятий, транспортом и водоснабжением. Только 2/3 обнаруженных систем можно было условно назвать защищенными. Для взлома остальных, как правило, не нужно обладать никакими специальными знаниями.

 

По количеству найденных компонентов с большим отрывом лидирует США (39%), 2-е место занимает Германия (12%), затем идут Франция, Италия и Канада (примерно 5%). Это, в частности, связано с большим распространением современных АСУ, наиболее популярных в этих странах, имеющих высокий уровень автоматизации. Для Азии этот показатель относительно низок, что связано с использованием локальных и малоизвестных на мировом рынке решений. Россия в этом рейтинге занимает 31-е место с 600 доступными компонентами (<1% от общего числа найденных компонентов).

 

Наше исследование показывает, что общее число уязвимых компонентов АСУ ТП из года в год не снижается, а их адекватная защита отсутствует, при том, что даже минимальные превентивные меры для обеспечения защиты, такие, как контроль ограничения доступа компонентов АСУ ТП к интернету, контроль действий привилегированных пользователей, в том числе аутсорсеров и т.п., позволят уменьшить их доступность и ощутимо снизить вероятность проведения атак.

 

Нюансы промышленной защиты

 

Среднестатистический срок обнаружения кибератаки составляет от полугода, по зарубежной статистике, до трех лет, в российской практике. Максимальный срок присутствия злоумышленника в инфраструктуре организации с момента взлома до его обнаружения, зафиксированный нами, составил 7 лет. При этом уже через 1−2 недели после проникновения найти все скомпрометированные системы, как правило, невозможно, поскольку злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования. То есть разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик.

 

При этом, с точки зрения систем защиты, инцидент может выглядеть как банальное вирусное заражение, обычная реакция на которое – проверка сторонним антивирусом или форматирование жесткого диска и разворачивание операционной системы с нуля. Но эта мера приведет к затиранию доказательств атаки, которые были бы полезны для ее расследования в дальнейшем. Таким образом, для того чтобы осмысленно реагировать на действия хакеров, нужно самим отчасти стать хакером.

 

В этом ключе вопрос защиты АСУ ТП носит нетривиальный характер. И, как показывает наш опыт, это связано со сложной организацией таких систем и насущным требованием по непрерывности. Системы данного типа функционируют на базе специфических сетевых стандартов и очень болезненно реагируют на любое вмешательство: прерывание технологического процесса ради сбора и анализа данных недопустимо. В то время как злоумышленника необходимо выявлять на начальных этапах атаки, что требует понимания каждого конкретного технологического процесса. Эти факторы требуют специализированных инструментов анализа и защиты, результаты работы которых должны быть понятны как специалистам по безопасности, так и операторам АСУ ТП.

 

При этом средства защиты АСУ ТП должны соответствовать целому ряду требований. Основными из них являются:

 

  1. Максимально глубокий анализ уязвимостей, характерных для различных компонент АСУ ТП.
  2. Возможность выявления многоступенчатых таргетированных атак (корреляционный анализ событий безопасности, разнесенных во времени и пространстве).
  3. Удобное представление результатов не только для экспертов по безопасности (инциденты, цепочки атак), но и для специалистов в области автоматизации. Например, визуализация угроз на схеме технологического сегмента.
  4. Учет специфики промышленного сектора и используемых компонент АСУ ТП в конкретной индустрии (в частности невмешательство системы безопасности в технологические процессы).

 

Еще одно условие, которое стоит отнести к числу важнейших, ─ практическое сотрудничество разработчиков АСУ ТП и разработчиков средств защиты. Такая разработка снизу вверх ─ уже не продукт ИБ в чистом виде, это результат новой гибридной дисциплины – кибербезопасности АСУ ТП.

 

Надо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП – это большая, заблаговременно проведенная подготовительная работа, включающая в числе прочего и внедрение ряда технических средств защиты. И только комплексное внедрение средств межсетевого экранирования, средств контроля действий привилегированных пользователей, пассивных средств обнаружения вторжений и пр., с последующей их интеграцией с SIEM-системами позволит получить полный и абсолютно прозрачный контроль информационной безопасности промышленных систем и эффективно выявлять даже сложные целенаправленные кибератаки. Учитывая инертность модернизации промышленных систем, проектировать системы кибербезопасности АСУ ТП на предприятиях, а также принимать планомерные организационные и технические меры защиты надо уже сейчас – потом будет поздно (дороже).

Уведомления об обновлении тем – в вашей почте

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

ИБ АСУ ТП по принципу Парето

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

X неизвестных в защите критической информационной инфраструктуры

Как создать систему безопасности значимых объектов КИИ? Кто и как должен взаимодействовать с объектами КИИ? Что включает в себя план организации СБ для значимых объектов?

Обеспечение ИБ АСУ ТП: взгляд изнутри

Роман Попов делится своим практическим опытом процесса построения информационной безопасности АСУ ТП в ПАО «Юнипро»

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях

Какие компании должны выполнить требования приказа Минэнерго № 1015? Светлая и темная стороны приказа. Пункты 14, 24 и 30? Наш подход к реализации норм приказа

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня