Атаки на предприятия: от осознания рисков к киберпротивостоянию

«Танчики», Conficker и IoT

Наши первые работы по анализу защищенности промышленных систем заставляли в прямом смысле слова хвататься за голову: бывало, что операторы играли в «танчики» и смотрели кино на автоматизированных рабочих местах (АРМ), подключали к USB-разъемам личные модемы и смартфоны. Нам регулярно встречались в SCADA уязвимости, позволяющие надолго вывести индустриальный объект из строя. Приходилось встречаться и с пресловутым Conficker, который не удалялся годами.

В 7 из 10 случаев мы отмечали нарушения в части физической изоляции производственных процессов в угоду удобства работников. На практике, например, если инженеру на предприятии банально неудобно ходить через весь завод до обособленного контроллера или АРМа, ставится Radmin, позволяющий наблюдать, скажем, за уровнем температуры или давления на объекте удаленно (хоть из дома).

Еще один частый источник возможных проблем – интеграция промышленной среды с ERP и системами бизнес-аналитики. Да, это существенно повышает эффективность производства. Например, порт Гамбурга благодаря интеллектуализации своих производственных процессов очень быстро смог увеличить пропускную способность с 9 до 25 млн контейнеров в год. Поэтому количество «умных» сенсоров и «умных» исполнительных устройств, взаимодействующих между собой без участия человека, будет только расти. С точки зрения безопасности это позволит потенциальному нарушителю эксплуатировать уязвимости, характерные не только для АСУ ТП, но и другие, свойственные любым сетевым инфраструктурам.

Суровая правда цифр

По итогам прошлого года наш исследовательский центр (Positive Research) обнаружил 158 087 компонентов АСУ ТП, доступных в сети Интернет. Наибольшее количество было доступно по протоколам HTTP, Fox, Modbus и BACnet, и в большинстве случаев для авторизации в таких системах используется словарный пароль. Было найдено немало доступных извне компонентов АСУ ТП, управляющих производственными процессами различных предприятий, транспортом и водоснабжением. Только 2/3 обнаруженных систем можно было условно назвать защищенными. Для взлома остальных, как правило, не нужно обладать никакими специальными знаниями.

Наше исследование показывает, что общее число уязвимых компонентов АСУ ТП из года в год не снижается, а их адекватная защита отсутствует, при том, что даже минимальные превентивные меры для обеспечения защиты, такие, как контроль ограничения доступа компонентов АСУ ТП к интернету, контроль действий привилегированных пользователей, в том числе аутсорсеров и т.п., позволят уменьшить их доступность и ощутимо снизить вероятность проведения атак.

Нюансы промышленной защиты

Среднестатистический срок обнаружения кибератаки составляет от полугода, по зарубежной статистике, до трех лет, в российской практике. Максимальный срок присутствия злоумышленника в инфраструктуре организации с момента взлома до его обнаружения, зафиксированный нами, составил 7 лет. При этом уже через 1−2 недели после проникновения найти все скомпрометированные системы, как правило, невозможно, поскольку злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования. То есть разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик.

При этом, с точки зрения систем защиты, инцидент может выглядеть как банальное вирусное заражение, обычная реакция на которое – проверка сторонним антивирусом или форматирование жесткого диска и разворачивание операционной системы с нуля. Но эта мера приведет к затиранию доказательств атаки, которые были бы полезны для ее расследования в дальнейшем. Таким образом, для того чтобы осмысленно реагировать на действия хакеров, нужно самим отчасти стать хакером.

В этом ключе вопрос защиты АСУ ТП носит нетривиальный характер. И, как показывает наш опыт, это связано со сложной организацией таких систем и насущным требованием по непрерывности. Системы данного типа функционируют на базе специфических сетевых стандартов и очень болезненно реагируют на любое вмешательство: прерывание технологического процесса ради сбора и анализа данных недопустимо. В то время как злоумышленника необходимо выявлять на начальных этапах атаки, что требует понимания каждого конкретного технологического процесса. Эти факторы требуют специализированных инструментов анализа и защиты, результаты работы которых должны быть понятны как специалистам по безопасности, так и операторам АСУ ТП.

При этом средства защиты АСУ ТП должны соответствовать целому ряду требований. Основными из них являются:

1. Максимально глубокий анализ уязвимостей, характерных для различных компонент АСУ ТП.
2. Возможность выявления многоступенчатых таргетированных атак (корреляционный анализ событий безопасности, разнесенных во времени и пространстве).
3. Удобное представление результатов не только для экспертов по безопасности (инциденты, цепочки атак), но и для специалистов в области автоматизации. Например, визуализация угроз на схеме технологического сегмента.
4. Учет специфики промышленного сектора и используемых компонент АСУ ТП в конкретной индустрии (в частности невмешательство системы безопасности в технологические процессы).

Еще одно условие, которое стоит отнести к числу важнейших, ─ практическое сотрудничество разработчиков АСУ ТП и разработчиков средств защиты. Такая разработка снизу вверх ─ уже не продукт ИБ в чистом виде, это результат новой гибридной дисциплины – кибербезопасности АСУ ТП.

Надо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП – это большая, заблаговременно проведенная подготовительная работа, включающая в числе прочего и внедрение ряда технических средств защиты. И только комплексное внедрение средств межсетевого экранирования, средств контроля действий привилегированных пользователей, пассивных средств обнаружения вторжений и пр., с последующей их интеграцией с SIEM-системами позволит получить полный и абсолютно прозрачный контроль информационной безопасности промышленных систем и эффективно выявлять даже сложные целенаправленные кибератаки. Учитывая инертность модернизации промышленных систем, проектировать системы кибербезопасности АСУ ТП на предприятиях, а также принимать планомерные организационные и технические меры защиты надо уже сейчас – потом будет поздно (дороже).