Безопасность промышленных систем управления

Три кита атаки

Среди тенденций, которые мы наблюдаем последние два года в процессе работ по анализу защищенности промышленных систем управления, можно отметить три базовые проблемы.

1. Неосознанная открытость. Ко многим системам – особенно это касается систем автоматизации зданий – можно легко получить доступ через Интернет. На январь 2015 г. исследователи* обнаружили таким образом более 140 000 доступных АСУ ТП компонент. Примерно каждая десятая – уязвима (см. рис.).

При этом отсутствие прямого подключения к Интернету уже не спасает: хакеры используют многоступенчатые схемы таргетированных атак. Так, троян Havex в 2014 г. распространялся через сайты производителей ПО: зараженные дистрибутивы устанавливались на предприятиях, что позволило злоумышленникам собирать данные из систем управления ряда крупных компаний Европы. В ходе тестов мы нередко обнаруживаем возможности для атак на АСУ ТП через различные сенсоры, физические порты, промышленный Wi-Fi, смартфоны сотрудников и др. виды доступа, которые зачастую вообще не рассматриваются как угрозы.

2. Медленное реагирование. Требование непрерывности технологических процессов приводит к тому, что базовые компоненты систем управления (промышленные протоколы управления, ОС, СУБД) устаревают, но не обновляются, так что даже известные уязвимости не устраняются годами.

С другой стороны, автоматизация значительно упрощает работу хакеров.

3. Методология безопасности далека от практики. Нет даже согласованного определения базовых понятий: что является объектом защиты и в чем состоит безопасность. Для создания средств защиты АСУ ТП используются устаревшие модели угроз, которые не учитывают возросшее влияние "кибернетической" составляющей.

К чему это ведет? Многие уязвимости АСУ ТП позволяют злоумышленникам не только обходить механизмы функциональной безопасности, снижая эффективность производства, но и проводить атаки, которые напрямую влияют на промышленную безопасность – могут стать причиной техногенных катастроф. При этом исследованные системы зачастую соответствуют стандартам функциональной и промышленной безопасности, имеют необходимые международные и государственные сертификаты.

С другой стороны, классические подходы ИБ не всегда стыкуются с практикой промышленной безопасности: здесь и специфические протоколы АСУ ТП, и требование функционирования систем в неблагоприятных физических условиях, и мн.др. особенности, которые характерны для конкретной отрасли или для отдельной системы.

Что делать: не только ИБ

С учетом выше описанных проблем возникает целый ряд специфических требований к средствам защиты АСУ ТП. Выделим только самые базовые:

1. Максимально глубокий анализ уязвимостей, характерных для различных компонент АСУ ТП.
2. Возможность выявления многоступенчатых таргетированных атак: корреляционный анализ событий безопасности, разнесенных во времени и пространстве.
3. Удобное представление результатов не только для экспертов по безопасности (инциденты, цепочки атак), но и для специалистов в области автоматизации, например визуализация угроз на схеме промышленного оборудования.
4. Учет специфики промышленного сектора и используемых компонент АСУ ТП в конкретной индустрии, включая невмешательство системы безопасности в бизнес-процессы.

Конечно, это слишком общая теория. Поэтому напоследок стоит сказать о таком важнейшем условии, как практическое сотрудничество разработчиков АСУ ТП и разработчиков средств защиты. Такая разработка "снизу вверх" уже не является продуктом ИБ в чистом виде, а представляет собой результат новой гибридной дисциплины – кибербезопасности АСУ ТП.