Основные проблемы безопасности промышленных АСУ ТП
Информационная безопасность Информационная безопасность

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Главная>Информационная безопасность>Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов
Информационная безопасность Тема номера

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Дата публикации:
11.11.2022
Посетителей:
316
Просмотров:
306
Время просмотра:
2.3

Авторы

Автор
Владимир Ротанов Эксперт центра информационной безопасности компании «Инфосистемы Джет»

 

Как часто взламывают сети промышленных предприятий?

 

Какие ИБ-проблемы характерны для АСУ ТП?

 

Чек-лист: как защититься от кибератак?

 

Одно из самых запоминающихся событий 2022 года, связанное с безопасностью промышленного производства, случилось 28 февраля. Toyota объявила, что с 1 марта приостанавливает работу всех 14 заводов и 28 производственных линий в Японии. Автопроизводитель утверждал, что причина сбоя — неполадки в системе местных поставщиков. Но по данным источников японского телеканала NHK, решение было принято из-за мощнейших кибератак на партнеров компании. Производственные линии стояли больше суток, инцидент повлиял на выпуск 13 000 автомобилей.

В 2021 году был еще более заметный кейс — 7 мая была атакована американская трубопроводная система Colonial Pipeline. Из-за инцидента на Восточном побережье США начались перебои с поставками топлива (Colonial Pipeline качает 2,5 млн баррелей нефти в день и обеспечивает 45% топлива, потребляемого на востоке страны). По сообщениям СМИ, компания заплатила хакерам выкуп почти в 5 млн долл. А буквально месяц спустя, в июне, вымогателям заплатила компания JBS (крупнейший производитель мяса). В их случае сумма выкупа составила 11 млн долл.

 

Пока бизнес готов платить, кибератаки на промышленность будут проводиться регулярно. Сейчас под прицелом российские компании: на отечественное производство ведут полноценную киберохоту. И без того неприятную ситуацию усугубляет то, что компании нередко сами делают «подарки» злоумышленникам. Например, в своей практике я часто сталкиваюсь с АСУ ТП, выведенными за пределы ИБ-периметра предприятия. Это значит, что к производственным сервисам, которые должны быть доступны только сотрудникам, может подключиться кто угодно, в том числе хакер. И это только одна из десятков возможных дыр.

 

Сбои в АСУ ТП могут быть гораздо опаснее простоев корпоративной сети. Ниже я подробно расскажу о четырех проблемах, характерных для большинства промышленных компаний. Отмечу, что эти же проблемы встречались в корпоративных сетях 10–15 лет назад. В первую очередь это, конечно, отсутствие организационной составляющей (кто отвечает за безопасность АСУ ТП). Также в промышленных сетях зачастую отсутствуют: механизмы безопасности (в самом оборудовании и протоколах), контроль версий и управление обновлениями, сегментация между внешними системами (корпоративной сетью, Интернетом) и самой АСУ ТП.

Проблема № 1: организационные сложности

 

На предприятиях зачастую просто нет ИБ-экспертов, разбирающихся в защите АСУ ТП. Высококвалифицированных готовых специалистов в отрасли мало. В то же время технологи не готовы «пускать в свой огород» людей без опыта — это чревато проблемами на производстве.

 

В результате внутренняя ИБ сфокусирована на корпоративных сетях, где развернуты средства защиты информации, настроен мониторинг и т. д., и не покрывает сети АСУ ТП. Если инцидент происходит в промышленной сети, ИБ-служба может даже о нем не узнать. Простой пример. Предположим, на предприятии реализована сетевая сегментация, и к АСУ ТП нет доступа через интернет. Тем не менее сотрудник может вставить в оборудование флешку и заразить вирусом весь сегмент. Этот инцидент типичен для корпоративной сети. Но на рабочих станциях обычно настроен антивирус и установлены ограничения по подключаемым устройствам. Для АСУ ТП эти меры часто не предусмотрены.

Проблема № 2: контроль версий и обновления


Любой простой оборудования — это финансовые потери. Причем бизнесу не так важны причины простоя — будь то внезапная ошибка в системе или плановая установка патчей, которая, как правило, требует перезагрузки железа. Проблема в том, что на тестовых стендах невозможно полностью воссоздать производственный процесс, а значит, установка обновлений превращается в глазах руководства в прямой риск потери прибыли.

 

Более того, после перезагрузки оборудование может работать не так стабильно, ведь патчи могут повлиять на функционал контроллера или ПО. Промышленники не любят терять деньги, поэтому зачастую попросту отказываются от обновлений, чтобы не останавливать производство. Само собой, так они только усугубляют ситуацию, потому что именно ИБ-обновления помогают устранять уязвимости, в том числе критические.

 

Самый известный пример — уязвимость CVE-2017-0144, которая использовалась шифровальщиками WannaCry и Petya. В корпоративных сетях она редко встречается после 2018 года, а в сегменте АСУ ТП — примерно в 30% проектов. Если на предприятии давно не обновляется ПО, злоумышленник буквально за пять минут сможет получить контроль над оборудованием. В нашей практике был похожий кейс: мы на заказ взламывали ИТ-инфраструктуру промышленного предприятия. Используя упомянутую уязвимость, наш специалист в считаные минуты получил доступ к рабочей станции инженера и смог выполнять произвольные команды в системе. Как говорится, только сел — уже взломал.

Проблема № 3: механизмы безопасности

 

Многие предприятия используют в АСУ ТП популярные открытые протоколы Modbus и S7. Modbus — это решение с открытым кодом, а S7 разработала Siemens, которая долго была одним из ключевых поставщиков промышленного оборудования. В них нет шифрования и аутентификации, но они исторически используются в промышленных сетях.

Однако на сегодняшний день эта практика уже не соответствует современным ИБ-тенденциям и поэтому представляет угрозу. Например, лишь недавно Siemens исправила уязвимость своих контроллеров, которая позволяла их попросту выключать. Используя дыры в этих протоколах, злоумышленник может влиять на работу оборудования: менять передаваемые значения или формировать команды управления для контроллеров АСУ ТП.

 

Второй важный момент. На оборудовании АСУ ТП часто используются слишком простые или стандартные пароли, иногда аутентификация не применяется вообще (так проще для инженеров, работающих с оборудованием). Кроме того, на оборудовании может быть включен функционал, который не используется, но через который можно скомпрометировать хосты. Простой пример часто неиспользуемого функционала — SNMP-протокол со стандартной community string для изменения или чтения конфигурации. То же самое касается web-интерфейсов управления контроллерами. Стандартные пароли к ним легко взламываются, а дальше злоумышленник может загрузить произвольную прошивку, которая нарушит работу оборудования.

 

Третий пункт касается мониторинга. Поскольку оборудование приносит деньги, только когда работает, на производстве у мониторинга всегда стоит высочайший приоритет. Но, как ни странно, это не касается вопросов безопасности: зачастую у АСУ ТП нет журнала событий и не реализованы уведомления об ИБ-инцидентах. Например, не отслеживаются события перебора паролей для сетевого оборудования или для учетных записей операторов АСУ ТП.

 

Проблема № 4: сетевая сегментация

 

Сегментация подразумевает разделение сети на составные функциональные части и последующее ограничение доступа между ними до необходимого уровня. Как мы уже сказали, сеть промышленного предприятия разделяется на два агрегированных сегмента — корпоративный и АСУ ТП. При этом каждый из этих сегментов может быть разбит на более мелкие блоки. К сожалению, я часто вижу кейсы, когда сегментация на предприятиях либо вообще отсутствует, либо реализована некорректно.

 

Данные оборудования могут быть доступны из корпоративной сети (например, для сбора статистических данных производства), но, используя такие «окна», злоумышленник может пойти дальше. Если между сегментами разрешен обмен трафиком по HTTP, хакер может воспользоваться этим и подключиться к веб-интерфейсу системы АСУ ТП, загрузить на устройство вредоносную прошивку и выполнить произвольные команды.

 

В моей практике был случай, когда на заводе одной международной компании не было сегментации между АСУ ТП и корпоративной сетью. По сути, любой бухгалтер или рядовой ИТ-специалист мог поменять настройки контроллеров и остановить производство. Мы оперативно устранили проблему, но, если бы не проверка, бизнес еще долгое время мог бы просто не понимать, насколько это опасно.

Кейс

 

Мы реализовывали проект по защите АСУ ТП для предприятия нефтегазового сектора. Для технологических сегментов с доступом к магистральной сети передачи данных мы организовали локальные демилитаризованные зоны, с помощью которых был реализован процесс периодического сканирования во время технологических остановов. Для обособленных технологических сегментов сформировали процесс выборочного сканирования с помощью авторизованных мобильных серверов.

Чек-лист: как защитить АСУ ТП

 

В первую очередь мы рекомендуем провести внешний независимый ИБ-аудит, чтобы специалисты комплексно оценили состояние промышленной сети, выделили риски и дали рекомендации по их нивелированию. Нет ничего криминального в ИБ-аутсорсинге промышленных сетей — это так же безопасно, как и в случае с корпоративными. Можно, конечно, обойтись и внутренней экспертизой, но в этом случае вам нужно собрать штат ИБ-специалистов, которые проштудируют результаты аудита и будут самостоятельно обеспечивать защиту сети.

 

Ниже мы приводим список рекомендаций по защите АСУ ТП, актуальный для любой промышленной компании. 

 

Сетевая сегментация

 

  • Сервисы АСУ ТП не должны быть доступны из интернета. В них регулярно появляются уязвимости, которые не всегда удается оперативно закрывать. Для этого АСУ ТП обязательно должна находиться в пределах ИБ-периметра предприятия.

 

  • Полная изоляция трафика между корпоративной сетью и АСУ ТП невозможна, поскольку они, как правило, должны обмениваться данными с производства. Но из корпоративной сети должны быть доступны только необходимые сервисы АСУ ТП. Для решения этой задачи используются промежуточные зоны (DMZ). То есть обмен трафиком между сегментами корпоративной сети и АСУ ТП идет с помощью серверов данных, расположенных в DMZ.
Рис. 1. Способ организации сетевого взаимодействия с сегментом АСУ ТП с использованием DMZ

Управление обновлениями

 

  • Обновляться хотя бы раз в год во время техобслуживания лучше, чем не обновляться вообще. При плановом останове оборудования нужно обязательно устанавливать новые патчи и прошивки.
  • Большинство уязвимостей можно спокойно закрыть. Для каждой угрозы существуют рекомендации по изменению конфигурации системы (например, нужно ограничивать доступ к портам с уязвимыми сервисами).

 

Корпоративные практики ИБ в АСУ ТП

 

  • Установите антивирус и смените стандартные пароли на оборудовании. Да, это очевидно, но защита АСУ ТП на 10–15 лет отстает от корпоративного сегмента, поэтому здесь уместны даже такие советы. К слову, стандартные пароли межсетевого экрана тоже взламываются очень быстро.
  • Отключите неиспользуемые сервисы, в том числе на сетевом оборудовании, в первую очередь — на коммуникационном.
  • Отключите доступ к сетевым ресурсам без аутентификации.

 

Внедрение ИБ в АСУ ТП

 

  • Ограничивайте используемое ПО и технологии в сети. Конфигурация ПО на производстве меняется редко, и это можно использовать как преимущество. Например, нестандартный запрос или подключение к оборудованию флешки можно фиксировать как инцидент. 
  • Используйте средства IDS/IPS, которые уже включают сигнатуры для АСУ ТП, либо реализуйте собственные сигнатуры, например, для случаев смены конфигурации контроллера. 

Уведомления об обновлении тем – в вашей почте

Топ вопросов по ИБ АСУ ТП

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

1500 спартанцев: развитие русскоязычного сообщества специалистов по кибербезопасности АСУ ТП

Один из создателей сообщества «Кибербезопасность в АСУ ТП» рассказал о том, как оно формировалось и развивалось

Mobile Forensics Day 2022: фокус на XDR

Какие факторы негативно влияют на ИБ-расследования? Как выглядит типовое расследование? Зачем нужны и как работают XDR-системы?

Анатомия информационной безопасности США

Информационная безопасность сегодня, как самостоятельное направление современных технологий, без тени преувеличения переживает свое второе рождение. Особенность нынешнего этапа развития не только информационных, но и практически всех ...

О контентной фильтрации (продолжение темы Jetinfo №8 (2006))

В обеспечении компьютерной безопасности контентная фильтрация очень важна, поскольку позволяет вычленять потенциально опасные вещи и корректно их обрабатывать

«Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго...»

Руководитель Центра кибербезопасности рассказал о том, как обеспечивается информационная безопасность в ОАО «РЖД»

Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ? Как правильно выстроить защиту от DDoS? Кейсы «Инфосистемы Джет».

О правоприменительной практике и технической защите информации в области обмена информацией, содержащей сведения, отнесенные к государственной тайне

Государственная тайна - это информация, которая имеет непосредственное уголовно-правовое значение, связанное с обеспечением государственной безопасности

Пентест CRM: как шкатулка с секретами превращается в ящик Пандоры

«Ширли-мырли» в CRM. Про недостатки в управлении пользовательскими сессиями: неограниченное время жизни, неконтролируемый выпуск токенов, отсутствие механизма отзыва и др. Конь троянский. Недостатки, связанные с загрузкой файлов и получением доступа к ним (от классической загрузки шелла и хранимой XSS в файле аватарки (SVG) до кейсов с S3 и CDN). Так и запишем. Чрезмерное и небезопасное логирование. К чему приводит бесконтрольная запись действий пользователя.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня