Кибербезопасность в промышленных системах: риски в машинах клиентов

 | 14.35

Woman Seated at Desk Using OptiPlex 3030 AIO Touch Desktop

Промышленные среды становятся все более автоматизированными и взаимосвязанными с системами управления, которые часто подключаются к сети через интернет. Такая растущая компьютеризация оставляет без защиты большое количество промышленных систем управления  с потенциально катастрофическими последствиями.

В 2010 году компьютерный вирус Stuxnet вызвал сильное беспокойство. Это было первое в истории кибероружие, которое атаковало одну определенную промышленную мишень. Stuxnet был направлен именно на системы SCADA (supervisory control and data acquisition, централизованные системы диспетчерского управления и сбора данных), которые используются для дистанционного контроля над промышленными процессами. Такое вредоносное ПО было создано, чтобы следить и, в частности, перепрограммировать промышленные системы, «маскируя» их модификации.  Высокая важность промышленных систем, которые были затронуты в процессе атак, (гидро- или атомные электростанции, системы распределения питьевой воды, нефтепроводы) спровоцировала сильное беспокойство среди ИТ-менеджеров по всему миру.

Компьютерный вирус Stuxnet использует сложнейшую стратегию атаки. Все начинается с самовоспроизведения через съемный носитель информации, после чего вирусы циркулируют по всей сети через уязвимости нулевого дня в службе очереди печати принтера  Windows (Print Spooler) и в удаленном вызове процедур (Remote Procedure Call, RPC). Вирус устанавливает руткит для Windows, после этого код автоматически генерируется в файлах проекта программного обеспечения SCADA WinCC/PCS 7 (Step7), подает команду и контролирует оповещения. Такое использование различных уязвимостей позволяет вредоносному коду внедриться в компилирующую микропрограмму, которая, в свою очередь, перемещается системой управления SCADA в контроллер с программируемой логикой (Programmable Logic Controller, PLC). На самом деле, это был первый в истории руткит для PLC, который был идентифицирован.

Две другие похожие вредоносные программы (Duqu и Flame) были обнаружены после обнаружения вируса Stuxnet в июне 2010 года. Следует отметить, что недавно обнаружились POS-случаи хакерства, в которых использовалась такая же логика, как и в вирусе Stuxnet: подвергание риску Windows ПК, связанного с  целевой системой.

Совсем недавно кампания группы Dragonfly снова оказалась в центре внимания из-за рисков, связанных с безопасностью сетей SCADA. Dragonfly смогла нанести повреждение веб-сайтам трех систем управления производителей путем добавления вредоносного ПО в программные обновления, которые были загружены на веб-сайт вендора и были доступны заказчикам для скачивания. Оказалось, что такое вредоносное ПО было создано не только для кражи информации, но и для саботажа систем управления.

Справедливо предполагать, что определённые вредоносные ПО уже установлены в системах управления и мониторинга, и рано или поздно мы услышим о новых случаях заражения систем управления SCADA.

Промышленные системы управления уязвимы, потому что в большинстве случаев они используют собственное аппаратное и программное обеспечение. Многое из этого обеспечения было создано задолго до эпохи компьютерных сетей, когда безопасность включала только управление доступом с использованием физических средств (т.е. защита объектов). Они не владели функциями аутентификации, проверки авторизаций или обеспечения интеграции и конфиденциальности данных. Их самые большие уязвимости – протокол Modbus (Modbus Plus, Modbus/TCP) и терминалы управления (обычно Windows ПК).

Большинство систем SCADA уязвимы перед сетевыми атаками, которые используют слабые стороны на уровне протокола. Терминалы систем управления SCADA, подключенные к сети (в особенности, к внешней сети), являются незащищенными перед обычными угрозами, связанными с  вредоносными программами, загруженными пользователем, который кликнул на ссылку или открыл вложение электронного письма или зараженный файл на съемном носителе информации.

Некоторые хакеры могут управлять системами SCADA путем модификации микропрограммы PLC, с момента когда она заразила машину, уже зараженную вредоносной программой, или же путем использования уязвимостей протокола Modbus таким образом, что они могут осуществлять несанкционированные операции.

Впрочем, методы, которые использовались при взломе терминалов систем управления SCADA, такие же, как и те, что использовались в любой другой системе, поскольку большинство устройств работают на ОС Windows.

Хакеры развертывают вредоносное ПО, которое предоставит им доступ к определенной мишени в сети, что позволит им  обойти защиту устройства и данных в сети.

В данном случае операционные системы, которые больше не поддерживаются (но до сих пор широко используются), будут становиться всё более уязвимыми со временем, тем самым увеличивая вероятность риска кибератак.

Не нужно недооценивать масштаб данного риска, потому что атаки имеют способность становиться вирусными. Совет от CNPI (China Property Investment, Великобритания) гласит: «Чтобы обезопасить процесс системы управления от электронных атак (например, хакеров, «червей» и вирусов), недостаточно полагаться на один брандмауэр, созданный для защиты корпоративной ИТ-сети. Более эффективная модель безопасности – создать брандмауэр, основанный на преимуществах корпоративного брандмауэра с дополнительным специальным процессом управления, а также развертывать другие меры защиты, например, антивирусное программное обеспечение и  обнаружение нападения. Такая многоуровневая модель безопасности является очень надежной защитой».

Несмотря на то, что такие обычные меры предосторожности, как управление доступом, продолжают применяться, ИТ-менеджеры должны быть бдительными, чтобы предотвратить будущие атаки.

Недостаточно изолировать системы, просто отсоединяя их от интернета. ИТ-менеджерам нужно всегда быть на шаг впереди и проверять, чтобы эти системы не были подключены к другим средам, которые сами подсоединены к интернету и, следовательно, подвержены риску заражения от вредоносных ПО. Когда речь идет об ИТ-безопасности, существуют две важных линии защиты.

Woman Sitting in Data Center with Notebook

Повышение осведомленности пользователей о рисках

Много инцидентов случаются в результате того, что пользователи спокойно устанавливают программное обеспечение, не подозревая о рисках заражения вредоносного ПО. Это случается из-за невнимательности и недостаточной практики, а не из-за намеренных или злоумышленных действий. Однако, как сообщает CNPI, если вы осознаете риск, угрозы и влияние, вы сможете следовать эффективному плану, чтобы быть уверенными, что любые угрозы будут остановлены и помещены на карантин, как только они проникнут на устройство или в сеть.

Например, перемещение данных между отдельными промышленными системами при использовании USB-накопителя, который принадлежит пользователю или используется компанией, может стать результатом заражения систем вирусом. Когда система изолирована от сети, отсутствует риск кражи данных или получения хакерами удаленного управления системой. Вирус может ухудшить производительность устройства, а также нанести физический ущерб  оборудованию, которое управляется системой. Следовательно, очень важно проводить постоянные тренинги для работников на тему потенциальных рисков, которые негативно влияют на промышленные системы на рабочем месте.

Применение мер безопасности

Важно использовать разные технологии защиты, а также обратить внимание на следующие шаги:

  • Защита системы от несанкционированного доступа с помощью применения политики строгого управления учетной записью пользователя:
  • Этот совет может показаться очевидным, но очень важно изменить пароли по умолчанию сразу же после атаки.
  • Следите, куда идут данные, и пришел ли запрос с точки санкционированного доступа.
  • Не допускайте использование незашифрованных паролей в коде приложений, технических процессах и хранимых данных.
  • Рационально используйте параметры пользователя (жизненный цикл учетных записей пользователя, управление дополнительными привилегированными учетными записями по сравнению с пользовательскими) и разрешения на доступ к файлам.
  • Определите процесс, который ставит под угрозу систему
  • Деактивация таких небезопасных протоколов, как TFTP, HTTP, Telnet, SNMP v1 или v
  • Онлайн-модификация управляющих программ, которые были авторизированы без подтверждения.
  • Перезагрузка начальной конфигурации через USB-накопитель или MMC
  • Контроль, обнаружение инцидентов.
  • Немедленная установка обновлений исправлений операционных систем, приложений, встроенного ПО.
  • Использование решений для обнаружения сигнатур вируса и инцидентов в области безопасности в промышленных средах.
  • Технологии способные справиться с основными векторами сетевых угроз, в том числе спуфинг, DoS-атаки, переполнение буфера, хипа и стека.

Такие атаки являются очень целенаправленными, они влияют на нишевую промышленность. Поскольку многие производители программного обеспечения оставляют большие временные интервалы между обновлениями, внутренние ИТ-команды должны понимать, что нужно делать всё возможное и невозможное, чтобы защитить сеть и данные с минимальными затратами для бюджета.

Также очень важно понимать разницу между санкционированным и несанкционированным запросами, поскольку именно тогда может произойти потеря данных. Поэтому важно, чтобы все изменения и запросы были просмотрены в режиме реального времени. Следуя вышеупомянутым шагам, можно защитить конечные точки от атак подобного рода.

Андрей Сивенюк
Маркетинг-менеджер Dell в Украине и СНГ

3 thoughts on “Кибербезопасность в промышленных системах: риски в машинах клиентов”

  1. К сожалению не все рекомендации в нынешних являются выполнимыми для ИТ-команды.

  2. Не все реализуемо с т.з. системного администрирования. К сожалению, но в госучреждениях — правда.

    >Защита системы от несанкционированного доступа с помощью применения политики строгого управления учетной записью пользователя:
    >> Отлично, но вы даже не представляете, насколько ничтожен сектор инфраструктуры с доменами по сравнению с рабочими группами. Не говоря уже о AD и прочих радостях жизни. Лично у меня строгое администрирование применяется, однако палки в колеса вставляют именно бюрократические процессы и реализация теоретически уязвимого софта.

    >Этот совет может показаться очевидным, но очень важно изменить пароли по умолчанию сразу же после атаки.
    >>Опять таки, домены не повсеместны, многие юзают клонированные ПК с образов Acronis или Ghost с использованием рабочих групп.

    >Следите, куда идут данные, и пришел ли запрос с точки санкционированного доступа.
    >>Извороты с проксированием часто обрывают путь к источнику запроса.

    >Не допускайте использование незашифрованных паролей в коде приложений, технических процессах и хранимых данных.
    >>Отлично если приложения пишутся самостоятельно, но иногда приходится попотеть, чтобы намекнуть разрабу, что он неправ.

    >Определите процесс, который ставит под угрозу систему
    >>Довольно часто это просто логин пользователя.

    >Деактивация таких небезопасных протоколов, как TFTP, HTTP, Telnet, SNMP
    >>Некоторое оборудование просто не умеет работать с HTTPS. Куча новых роутеров и свичей используют древний TFTP, Telnet и HTTP.

    >Онлайн-модификация управляющих программ, которые были авторизированы без подтверждения.
    >> см. п. про разрабов с паролями в коде.

    >Перезагрузка начальной конфигурации через USB-накопитель или MMC
    >>+ А также с сетевых дисков!

    >Контроль, обнаружение инцидентов.
    >Немедленная установка обновлений исправлений операционных систем,
    приложений, встроенного ПО.

    >Использование решений для обнаружения сигнатур вируса и инцидентов в области безопасности в промышленных средах.

    >Технологии способные справиться с основными векторами сетевых угроз, в том числе спуфинг, DoS-атаки, переполнение буфера, хипа и стека.

    >> Все зависит от бюджетов на ИТ.

  3. Коллеги, спасибо вам за комментарии и отклик на блог! Вы правы, ситуация в разных структурах, организациях и компаниях значительно разнится, и не всегда возможно выполнить все выше приведенные советы и внедрить все необходимое для безопасности. Мы привели в блоге советы, к которым нужно стремиться и, возможно, ориентироваться при планировании новых шагов по обеспечению безопасности. Если можно так сказать, это практически «идеальная» модель обеспечения безопасности, и только единицы организаций могут ее достичь в полной мере (в том числе и исходя из бюджетов на ИТ). Но ведь всегда есть к чему стремиться!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *