Ландшафт угроз для систем промышленной автоматизации

Проблемы информационной безопасности АСУ ТП

Проблемы ИБ сетей промышленных предприятий обусловлены спецификой их развития. На протяжении нескольких десятилетий эволюция систем автоматизации промышленных предприятий шла параллельным курсом с эволюцией ИТ-систем. Необходимость обеспечения непрерывности поддерживаемых процессов привела к тому, что технологии, применяемые на нижних уровнях, были направленны на решение задач, не свойственных для ИТ. Они не могли меняться так же быстро, как в ИT. С течением времени для эффективного управления этими процессами предприятия внедряли построенные на современных ИT-технологиях информационные системы верхнего уровня. Для интеграции этих систем стали появляться не предусмотренные на ранних этапах каналы информационного воздействия на нижние уровни вычислительной сети АСУ ТП, которые несут значительные риски сбоя процессов и нарушения функционирования оборудования на этих уровнях. В течение последних лет мы наблюдаем, как практически во всех индустриях весьма развитые цифровые технологии стали повсеместно внедряться и на нижнем (полевом) уровне как закономерный этап решения тех же самых задач повышения эффективности управления производственными процессами.

На сегодняшний день, несмотря на трудность частого обновления и замены оборудования и ПО, на очень многих предприятиях и средний, и нижний уровни иерархии систем промышленной автоматизации задействуют вполне современные технологии информационного обмена и управления процессами. Так, оборудование включает:

• стационарные и мобильные компьютеры операторов и инженеров АСУ ТП;
• серверы, в том числе серверы виртуализации, на которых установлено ПО мониторинга и управления технологическим процессом;
• промышленные сетевые маршрутизаторы;
• шлюзы данных;
• контроллеры;
• полевые промышленные устройства различной степени "интеллектуальности" с цифровым (характерно для более современных устройств) либо аналоговым интерфейсом коммуникации.

Как следствие, существенно усугубляются проблемы информационной безопасности в отношении сетей промышленных предприятий:

1. Растущая сложность оборудования и ПО ведет к высокой вероятности ошибок и уязвимостей, которые могут быть использованы злоумышленниками.
2. Вопросы технологической совместимости, высокой доступности и непрерывности производства требуют пересмотра мер безопасности, применяемых в отношении аналогичных решений в чистом информационном окружении. Часто это ведет к значительному снижению уровня защищенности.
3. Меры обеспечения функциональной безопасности, реализованные для систем управления технологическими процессами, как правило, не рассчитаны на намеренное нарушение удаленным нарушителем или злоупотребление внутренним пользователем возможностями доступа. Это может привести к пагубным последствиям для процесса, оборудования или даже жизни и здоровья людей и безопасности окружающей среды.
4. Изоляция технологической сети от любых внешних систем, считавшаяся незыблемым требованием еще 10–15 лет назад, больше не может рассматриваться как адекватная защитная мера. Она стала невыгодной экономически и крайне трудно реализуемой на практике.

Особенности современных технологических сетей

Организация сопряжения сегментов сети

В настоящее время сопряжение технологической сети с корпоративной необходимо как для управления производством, так и для администрирования промышленных сетей и систем. Хотя соединение между корпоративной и технологической сетями становится необходимостью, реализовано оно иногда без учета многих рисков ИБ. Организация безопасного доступа между корпоративной и технологической сетями обычно сводится к одному из следующих решений:

• ограничение доступа по IP на межсетевом экране между технологической и корпоративной сетью ("нечестный" DMZ);
• использование VPN-туннелей между компьютерами в технологической и корпоративной сетях;
• использование терминальных (jump) серверов с локальной или доменной авторизацией;
• использование авторизации в корпоративном домене (на сервере ActiveDirectory) для определения уровня доступа пользователя к объектам в технологической сети.

Как показывает практика, на сегодняшний день ни одно из этих решений по отдельности не может обеспечить необходимый уровень защиты. Оптимальный уровень защиты технологической сети должен позволить не только защитить сеть от внешних угроз, но и безопасно выполнять удаленное управление промышленными системами. Такой уровень может быть обеспечен лишь комбинацией из нескольких решений.

Доступ к внешним системам и сетям

Доступ к Интернету из технологической сети может быть не только результатом слабых ограничений, но и вынужденной необходимостью. Физически отдельные части АСУ ТП могут располагаться на территориях, не обжитых людьми. Их обслуживание производится удаленно через мобильные интернет-каналы. Ремонтная бригада выезжает туда только во время плановых осмотров и в случае возникновения аварийной ситуации. Сопровождение и техническая поддержка систем промышленной автоматизации часто выполняются сотрудниками организаций-подрядчиков. Работы обычно проводятся с использованием удаленного доступа из сети подрядчика в промышленную сеть заказчика.

В зависимости от конкретных обстоятельств сотрудник организации-подрядчика, находясь вне офиса, может подключаться к технологической сети заказчика (напрямую или через свою корпоративную сеть), используя любое доступное подключение.

Подключающийся извне технологической сети пользователь (подрядчик, разработчик, администратор) часто имеет высокие права доступа на уровне локальной системы или на уровне всей сети. Если разделение на уровни организовано в виде плоской сети или нескольких виртуальных подсетей (VLAN) с общим ядром сети и без достаточных разграничений доступа, то такой пользователь может случайно или намеренно заразить компьютеры в технологической сети.

На практике иерархическая структура технологической сети организована в виде нескольких VLAN, доступ между которыми не всегда ограничен производственной необходимостью.

Изменение ландшафта угроз

В современных промышленных компаниях используются новые технологии, которые повышают прозрачность и эффективность процессов на уровне управления предприятием, а также обеспечивают гибкость и отказоустойчивость выполняемых функций на средних и нижних уровнях промышленной автоматизации. Это требует сопряженности систем и большей свободы коммуникаций. Вместе с тем администрирование систем, в том числе технологических компонентов, возлагается на ИТ-департамент компании. В результате технологическая сеть все больше становится похожей на корпоративную – и по сценариям использования, и по применяемым технологиям.

Закономерно, что и ландшафт угроз промышленных информационных систем становится похожим на ландшафт угроз корпоративных систем. Далее приведем результаты некоторых наших исследований, полученные в течение второго полугодия 2016 г.

Уязвимости в программном обеспечении АСУ ТП

Относительно независимое (от "традиционного" ИТ) развитие систем промышленной автоматизации привело к тому, что производители индустриальных решений годами разрабатывали программное и аппаратное обеспечение АСУ ТП практически без учета требований информационной безопасности. При этом переход к разработке более безопасных решений – часто долгий и болезненный процесс, осложненный требованиями сертификации и контроля производства.

Эксплуатация уязвимостей в программном обеспечении в технологических сетях предприятий, особенно объектов критических инфраструктур, может привести к катастрофическим последствиям. Поиск и устранение этих уязвимостей, помимо разработки более совершенных промышленных решений и специализированных средств защиты, является первоочередной задачей специалистов по безопасности.

К наиболее опасным относятся уязвимости, допускающие:

• удаленное выполнение произвольного кода;
• удаленный вывод из строя ПО или оборудования, отказ технологического процесса;
• атаки на криптографию;
• атаки на промышленные сетевые протоколы;
• удаленный несанкционированный доступ к информации;
• манипуляции с учетными данными удаленных пользователей.

Кроме этого, следует выделить распространенный класс уязвимостей, связанных с наличием статически заданных в коде учетных данных пользователей.

Количество обнаруживаемых с каждым годом уязвимостей растет в сравнении с количеством закрытых проблем. К примеру, по данным US ICS-CERT, в 2016 г. этой организацией было зарегистрировано 187 уведомлений об уязвимостях. За этот же период ими было опубликовано 139 сообщений о закрытых уязвимостях.

Уязвимости, обнаруженные "Лабораторией Касперского"

В 2016 г. "Лаборатория Касперского" провела оценку актуального состояния ИБ компонентов АСУ ТП различных производителей. По результатам исследований было выявлено 75 уязвимостей в компонентах АСУ ТП.

На рис. 2 представлено распределение найденных уязвимостей по группам в соответствии с теми возможностями, которые дает использование уязвимости злоумышленникам.

Краткое описание для каждой группы уязвимостей:

1. RCE (сокращение от английского Remote Code Execution) – уязвимости, позволяющие удаленно выполнить произвольный код в целевой системе.
2. DOS (сокращение от английского Denial of Service) – уязвимости, позволяющие удаленно вызвать отказ в обслуживании. В случае успешной атаки программное или аппаратное обеспечение перестает отвечать на легитимные запросы. Требуется перезапуск программы, операционной системы или устройства.
3. Инъекции – группа, в которой объединены уязвимости, позволяющие осуществлять SQL-инъекции и XML-инъекции. Такие уязвимости позволяют несанкционированно исполнять запросы и считывать данные на целевых системах. При определенных условиях данные уязвимости дают также возможность провести атаку типа RCE.
4. Манипуляции с файлами – группа уязвимостей, позволяющих осуществлять удаленные действия с файлами (создание, удаление, перемещение). При определенных условиях эти уязвимости также дают возможность провести атаку типа RCE.
5. Манипуляции с аккаунтами – группа уязвимостей, позволяющих провести атаку на легитимные данные пользователей (создать нового пользователя, удалить или заблокировать существующего пользователя).

Уровень опасности обнаруженных уязвимостей

Мы рассмотрели найденные уязвимости и по уровню опасности для уязвимых систем. За основу мы взяли метрику CVSS v3.0.

CVSS (Common VulnerabilИТy Scoring System) – это открытый стандарт, разработанный для оценки уровня опасности уязвимостей в ПО. CVSS присваивает уязвимости вес, который может составлять от 0 (наименее опасные) до 10 (наиболее опасные). Вес уязвимости рассчитывается на основании формулы, которая зависит от нескольких показателей, в том числе учитывается легкость эксплуатации уязвимости и возможности, которые эксплуатация уязвимости дает злоумышленникам. Третья версия стандарта CVSS позволяет лучше оценивать уязвимости киберфизических систем, к которым относятся сети промышленных предприятий и их компоненты.

Следует отметить, что, хотя классификация уязвимостей, принятая для ИТ, действительна и для промышленных компонентов, риски, связанные с одними и теми же уязвимостями, могут отличаться для систем в корпоративной и технологической сети. CVSS 3.0 предлагает качественную градацию уровней критичности (всего 5), применимую в основном к уязвимостям в традиционном ИТ-окружении. Мы отказываемся от этой градации в применении к промышленным системам и рассматриваем все уязвимости в компонентах АСУ ТП как критичные (рис. 3), в соответствии со следующими уровнями:

• наименее критичные: вес уязвимости не более 5.0 по CVSS v3.0;
• средней критичности: вес уязвимости от 5.1 до 6.9 включительно по CVSS v3.0;
• наиболее критичные: вес уязвимости 7.0 и более по CVSS v3.0.

Существует множество легальных компаний, предлагающих любому желающему купить набор готовых Proof-of-Concept-образцов кода для эксплуатации уязвимостей (без вредоносного функционала) в различном промышленном ПО. Кроме этого, можно провести исследование конкретного промышленного ПО на заказ. Мы рассматриваем такую практику как недопустимую – велика опасность, что код попадет не в те руки. "Лаборатория Касперского" придерживается принципа ответственного раскрытия (Responsible Disclosure) информации о найденных уязвимостях, несмотря на не вполне ответственное отношение некоторых производителей ПО к закрытию этих уязвимостей.

Проблемы закрытия уязвимостей

Из 75 обнаруженных в 2016 г. Kaspersky Lab уязвимостей к середине марта 2017 г. производителями промышленного ПО было закрыто 30. Одну уязвимость (манипуляции с аккаунтами) производитель отказался закрывать, мотивируя это тем, что данный функционал, по мнению представителей компании, не является уязвимостью.

Наше взаимодействие с некоторыми производителями промышленных программ и оборудования показывает, что для устранения критических уязвимостей иногда требуется более полутора лет.

Систематическая работа с уязвимостями в цикле разработки ПО пока не отлажена, в частности:

• приоритеты исправления выявленных уязвимостей в соответствии с их критичностью отсутствуют;
• обновления безопасности для уже используемого ПО не выпускаются, вместо этого производитель предпочитает учесть информацию о них в следующем релизе этого ПО;
• уведомления об уязвимостях не осуществляются, например, под предлогом того, что уязвимые решения используются "ограниченным числом" предприятий.

Мы прикладываем все усилия для того, чтобы производители промышленного ПО и аппаратного обеспечения устраняли уязвимости в кратчайшие сроки.

Другая проблема, не связанная напрямую с производителями промышленных компонентов, – обновление и установка исправлений безопасности ПО на предприятиях. Потери от простоя оборудования на время обновления ПО могут быть существенными даже в сравнении с рисками, которые несут уязвимости. До установки обновлений они должны быть протестированы на совместимость с уже существующей инфраструктурой. Иногда тестирование и обновление происходят во время планового останова системы, но это скорее исключение, нежели правило.

Это, вкупе с общей неосведомленностью об уязвимостях, приводит к тому, что даже существующие обновления крайне редко устанавливаются вовремя. Так, команда Kaspersky Lab ICS CERT в 2016 г. провела анализ существующих и публично известных уязвимостей, найденных в решениях компании Rockwell Automation в 2014 – 2016 гг. Согласно результатам исследования, у пользователей "Лаборатории Касперского" доля ПО данного производителя с незакрытыми уязвимостями может составлять от 17 до 93%. (Данные по распространенным продуктам других наиболее крупных вендоров будут опубликованы в течение 2017 г.)

На основании наших исследований и проводимых аудитов ИБ АСУ ТП мы полагаем, что процесс установки критических обновлений для владельцев АСУ ТП промышленных объектов либо слишком трудоемкий, либо не является приоритетной задачей в общем цикле жизнедеятельности системы. В результате на многих предприятиях критические обновления на различные компоненты промышленных систем не устанавливаются годами, что делает эти предприятия уязвимыми в случае кибератак злоумышленников.

Однако не все так печально. Производители с каждым годом все более ответственно относятся к закрытию уязвимостей, появляются новые средства защиты АСУ ТП промышленных объектов, которые включают в себя в том числе и функционал детектирования эксплуатации различных уязвимостей. Многие владельцы АСУ ТП уже начали процесс перехода своих систем на более защищенные архитектуры и решения. Теперь уже при разработке или модернизации АСУ ТП закладываются требования по информационной безопасности всей системы, что говорит о более зрелом и ответственном подходе к их проектированию и развитию.

География атак на промышленные системы

На карте (рис. 4) отражен процент атакованных систем промышленной автоматизации в каждой стране по отношению к общему количеству таких систем в стране. Данные получены за второе полугодие 2016 г.

TОП-15 стран по проценту атакованных промышленных компьютеров представлен на рис. 5.

Целевые атаки на промышленные компании

По нашим данным, атаки на компании различных секторов промышленности все чаще становятся направленными (целевыми). Это организованные атаки, которые могут быть нацелены на одно конкретное предприятие, на несколько предприятий, компании одного промышленного сектора или на широкий круг промышленных предприятий, как в случае обнаруженной нами фишинговой атаки (см. ниже).

Задача защиты от целевых атак, как правило, более сложная, чем защита от случайных заражений. В целевых атаках помимо известных зловредов, распространяемых на киберкриминальном рынке, злоумышленники могут использовать уникальные вредоносные программы, разработанные для конкретной атаки, в том числе 0-day-эксплойты. Для запуска вредоносного ПО могут применяться и легитимные интерпретаторы кода (такие как Perl, Python, PowerShell), что также затрудняет выявление атак на ранних стадиях. Кроме того, как показывает практика последних лет, довольно часто в атаках, перенимающих методы APT-атак, стал использоваться инструментарий публично доступных фреймворков для тестирования на проникновение.

Целевые атаки практически всегда начинаются с атаки на самое слабое звено любой защиты – на пользователей. Чтобы повысить вероятность заражения компьютеров, злоумышленники используют атаки типа Watering Hole и отточенные методы социальной инженерии. В результате сотрудники сами загружают и запускают вредоносное ПО на компьютерах своей организации.

Помимо заражения машин в корпоративной сети, у злоумышленников есть способы проникнуть в изолированную технологическую сеть:

1. Таргетированное заражение USB с целью распространения зловредных программных модулей и переноса информации между компьютерами, преодоление "воздушного зазора". История знает немало примеров, где это реализовано, например атаки Stuxnet, Flame, Equation, ProjectSauron.
2. Компрометация локального ресурса в интранете, к которому есть доступ из технологической сети, или компрометация сетевого оборудования. Вариантов тут у продвинутого атакующего много: размещение Watering Hole-скрипта на внутреннем Web-ресурсе, подмена файлов на файловом сервере, файлов обновлений с сервера обновлений. При необходимости атакующие могут использовать какой-либо локальный сервер в качестве сервера управления для зараженного изолированного компьютера. В случае компрометации роутеров появляется возможность "слушать" трафик и извлекать различные учетные данные для дальнейшего доступа к компьютерам и ресурсам, как это было реализовано в атаках BlackEnergy2.
3. Заражение компьютеров подрядчиков промышленных компаний, которые подключают свои компьютеры в технологическую сеть.

Целевая фишинговая атака на промышленные компании

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур "Лаборатории Касперского" (Kaspersky Lab ICS CERT) обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 г. и продолжающихся в настоящее время. Атаки направлены преимущественно на промышленные компании – металлургические, электроэнергетические, строительные, инжиниринговые и др. По нашей оценке, в общей сложности атакам подверглись более 500 компаний более чем в 50 странах мира.

Во всех исследованных нами случаях фишинговые письма отправлялись от имени различных компаний-поставщиков, заказчиков, коммерческих организаций и служб доставки с предложением посмотреть обновленные списки цен на продукцию, требованием срочно проверить информацию по счету, уточнить расценки на продукцию, переслать якобы поврежденный файл или получить груз по накладной. Документы, прикрепленные к письмам, представляли собой RTF-файлы, содержащие эксплойт к уязвимости CVE-2015-1641, архивы различных форматов, содержащие вредоносные исполняемые файлы, а также документы с макросами и OLE-объектами, скачивающими вредоносные исполняемые файлы. Исполняемые файлы внутри документов, архивов, а также скачанные со стороннего сервера, представляют собой троянцев-шпионов и бэкдоры различных семейств, таких как ZeuS, Pony/FareИТ, LuminosИТy RAT, NetWire RAT, HawkEye, ISR Stealer. Анализ заголовков писем позволяет сделать вывод о том, что многие письма рассылались с почтовых серверов компаний, зараженных ранее шпионским вредоносным ПО, предназначенным для кражи учетных данных от почтовых аккаунтов.

Все вредоносные программы, используемые в атаке, не являются уникальными для данной вредоносной кампании, они весьма популярны у злоумышленников. Однако эти программы упакованы уникальными модификациями VB- и MSIL-упаковщиков, которые применяются только в данной операции.

На рис. 6 ниже показано распределение атакованных компаний по отраслям промышленности. Наибольшее число атак на компании промышленного сектора приходится на долю различных компаний-производителей, в частности промышленного оборудования, материалов и электроники. Значительная часть атакованных компаний также относится к сфере строительства и проектирования промышленных сооружений и систем автоматизации.

Наш опыт расследования целевых атак показывает, что кибершпионаж часто является подготовкой к следующим этапам атаки. На основе имеющихся данных нам пока не удалось достоверно установить конечную цель и мотивацию злоумышленников. Расследование этой атаки продолжается.

Каждая четвертая целевая атака, обнаруженная "Лабораторией Касперского" в 2016 г., была нацелена в том числе на предприятия различных индустрий – машиностроительной, энергетической, химической промышленности, транспортной и других.

APT-атаки

APT-атаки (Advanced Persistent Threats) – наиболее опасный вид кибератак. Во многих случаях их отличает высокий уровень атакующих, техническая сложность и продолжительность – APT-атаки могут длиться годами. Это тщательно продуманные и организованные атаки, которые требуют больших ресурсов. Среди жертв APT-атак – высокопоставленные лица, службы разведок разных стран, правительственные, военные учреждения, научные организации, СМИ, промышленные компании и предприятия, относящиеся к системам критической инфраструктуры разных стран.

В подавляющем большинстве случаев цель APT-атак – кража ценной информации (кибер-шпионаж).

Однако известны случаи атак с использованием вредоносных программ – промышленных диверсантов: Stuxnet, Black Energy, Shamoon Wiper (1, 2), StoneDrill. Эти атаки были направлены на осуществление диверсий на атакованных предприятиях и, как следствие, нарушение производственного и бизнес-процессов.

Заключение

Выполненные во второй половине 2016 г. экспертами Kaspersky Lab ICS CERT исследования наглядно иллюстрируют ряд тенденций в развитии безопасности промышленных предприятий. Суммируем их здесь.

1. Стабильный рост процента атакуемых промышленных компьютеров фиксируется с начала наблюдения, что свидетельствует об актуальности проблемы кибербезопасности промышленных систем.

2. Ландшафт информационных угроз для промышленных систем становится все больше похожим на ландшафт угроз для корпоративных сетей. Необходимость повысить управляемость и, как следствие, эффективность производства приводит к появлению физических соединений сетей и сопряжению смежных информационных систем. Все чаще применяются схожие наборы технологий, схожие архитектурные решения и сценарии использования. Вряд ли эта тенденция изменится. Как следствие, можно ожидать не только появления новых угроз, специально разработанных для промышленных предприятий, но и развития существующих, традиционных ИТ-угроз – их адаптацию для атак на промышленные предприятия и объекты физического мира.

3. Изоляция промышленных сетей больше не может рассматриваться как мера их защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о том, что невозможно избежать рисков путем простого отключения системы от Интернета.

4. Подход производителей промышленного ПО и оборудования к исправлению уязвимостей и ситуацию с устранением известных уязвимостей на предприятиях нельзя назвать обнадеживающими. Подавляющее большинство промышленных предприятий годами остаются уязвимыми к компьютерным атакам.

5. Появление масштабных вредоносных кампаний, нацеленных на промышленные предприятия, говорит о том, что злоумышленники расценивают это направление как перспективное для себя.

Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты. Мы все еще по большей части удивительно медлительны и нерасторопны, что в сложившейся ситуации грозит опасными последствиями.