Защита промышленных сетей: основные риски и сценарии атак

22 январь, 2021 - 03:45КО

Количество автоматизированных систем управления производством (Industrial Control Systems, ICS), подключаемых к корпоративным ИТ-сетям, неуклонно растет. Многие компании внедряют технологии промышленного Интернета вещей (IIoT). Углубленная интеграция между ИТ-инфраструктурой, облачными системами и промышленными сетями приводит к возникновению различных угроз для безопасности компаний. Это становится основным барьером на пути к внедрению цифровых технологий. В спецпроекте «Компьютерного обозрения», «ИТ-Интегратор» и Cisco рассказываем как решение Cyber Vision помогает предприятиям разворачивать технологии промышленного Интернета вещей (IIoT) и эффективно защищать свои сети и ИТ-инфраструктуры.

Партнерский материал «ИТ-Интегратор» и Cisco

Давайте разберемся, что представляет собой Cisco Cyber Vision. Решение дает полный обзор промышленной системы управления, включая динамическую инвентаризацию активов, мониторинг в режиме реального времени сетей управления и технологических данных, всеобъемлющую разведку угроз с целью выстраивания безопасных инфраструктур и реализации политик безопасности для контроля за рисками.

Стоит отметить, что Cyber Vision встроено в промышленное сетевое оборудование, поэтому позволяет легко развернуть систему безопасности операционных технологий (OT) в любом масштабе. Продукт снабжает существующие платформы кибербезопасности информацией об активах и событиях ОТ, чтобы можно было создать единую стратегию управления угрозами.

Решение было специально разработано для промышленных организаций с целью обеспечения полной прозрачности их систем управления производством. Чтобы эти системы, в свою очередь, могли гарантировать целостность процессов, создавать безопасные инфраструктуры, обеспечивать соответствие нормативным требованиям и применять политики безопасности для контроля рисков.

По словам директора департамента отраслевых решений IT-Integrator Николая Ломенко, основная специфика систем управления производством состоит в том, что они очень закрытые, имеют ограниченные возможности по контролю и намного хуже защищены от кибератак, чем более открытые и защищенные сети для IT-систем. Когда при внедрении цифровизации производственных процессов производится интеграция OT c IT, очень сложно гарантировать кибербезопасность именно для первых с помощью более развитых средств управления безопасностью IT-систем. Каждая из OT-систем может иметь свою индустриальную специфику (другие протоколы, стандарты и т. д.), которую в настоящий момент не поддерживают средства управления IT-систем.

Каковы риски?

Каков же ландшафт рисков для промышленных сетей? В традиционном мире ИТ-риск связан с угрозами, которые могут подорвать конфиденциальность, целостность и доступность данных и систем. Воздействие в основном носит финансовый характер, например, случаи вымогательства (вирус Cryptolocker), банковского мошенничества или атак типа «отказ в обслуживании», распространяемых на веб-серверы, используемые сайтами электронной коммерции.

АСУ ТП управляют физическим миром, в котором используются ОТ. Риск в их средах включает угрозы, которые могут подорвать операционную безопасность (физическая безопасность товаров и людей, воздействие на окружающую среду) и доступность или даже физическую целостность производственного инструмента. Также следует опасаться кражи важных промышленных данных.

Удаленная диагностика и удаленное обслуживание требуют соответствующего доступа к сетям и промышленным системам управления. Удаленный доступ представляет собой еще более серьезный вектор угроз, поскольку он связывает сети разной критичности, а иногда и третьи стороны.

Рабочие станции удаленного доступа подключаются к сердцевине важнейших промышленных систем управления для выполнения операций, которые могут иметь значительное влияние (например, обновление программного обеспечения или загрузка новой прошивки). Их нельзя просто запретить, они должны контролироваться с помощью эффективных механизмов мониторинга.

Все эти векторы угроз по большей части характерны для промышленного мира. Меры безопасности, реализованные в системах управления производством, должны учитывать операционную реальность, в которой персонал OT должен продолжать эксплуатировать объекты и работать эффективно. Они не могут просто запретить весь удаленный доступ или полагаться исключительно на средства контроля доступа и организационные меры.

Кроме того, промышленные системы управления никогда не были предназначены для борьбы с угрозами кибербезопасности. Они создаются с целью обеспечения эксплуатационной безопасности и непрерывности операций и часто не принимают во внимание возможность того, что мотивированный и злонамеренный злоумышленник может добраться до их цифровых интерфейсов.

Вот почему до сих пор продукты автоматизации выполняют лишь несколько функций кибербезопасности. Более того, в большинстве случаев промышленные операторы не активируют функции кибербезопасности.

Для построения эффективной стратегии кибербезопасности АСУ ТП крайне важно идентифицировать события безопасности, которые наиболее вероятны. Это позволит сосредоточиться на принятии соответствующих мер для защиты активов, которые с наибольшей вероятностью станут мишенями, и повышения безопасности конфиденциальных активов, которые злоумышленник может использовать для проникновения в АСУ ТП.

В области промышленной кибербезопасности событие, которого опасаются, включает в себя кибератаку на промышленную ИС, она может нанести значительный ущерб деятельности компании, ее производственным инструментам, выпускаемой продукции или даже ее сотрудникам или клиентам.

Для систематизации сценария кибератак и детализации их различных фаз используется концепция Cyber Kill Chain. Она позволяет подробно описать структуру сложной попытки вторжения, характерную для новых атак.

Этапы Cyber Kill Chain

Этапы Cyber Kill Chain состоят из распознавания, вооружения, доставки, операции, инсталляции, управления и контроля, а также действия по целям. В случае событий, описанных ниже, предполагается, что злоумышленник уже «подключен» к промышленной сети управления.

Особенно важно понимать, как киберпреступник взломает промышленную сеть своей цели. При разработке процесса мониторинга необходимо учитывать множество чувствительных моментов. Они классифицируются по вероятности.

Захват промышленной станции

Злоумышленник использует целевые механизмы распространения ИТ (т. е. вредоносное ПО связывается с сервером «управления и контроля» злоумышленника) для распространения вредоносного ПО в целевой сети до тех пор, пока оно не достигнет рабочей станции в промышленной сфере. Основными целями являются станции диспетчерского управления и сбора данных (SCADA) и инженерные станции, поскольку они содержат важную информацию о процессе.

Подмена авторизованного удаленного доступа для третьей стороны

Злоумышленник использует авторизованный удаленный доступ для третьей стороны, например, субподрядчика. Это может быть соединение DSL/Ethernet или VPN, оставленное открытым или используемое только для определенных IP-адресов. Это часто дает доступ к сердцу промышленного объекта, обеспечивая «качественную» точку входа для нападающего.

Взлом беспроводного соединения

Злоумышленник использует общедоступные или проприетарные уязвимости в используемых беспроводных каналах (известные атаки на WEP или WPA). Таким образом, он может подключиться к промышленной сети управления и получить прямой доступ к сердцу системы — на станции проектирования, станции SCADA и программируемые логические контроллеры (ПЛК).

Получение доступа к полевой сети установки

Злоумышленник имеет прямой физический доступ к полевой сети объекта для своей атаки, например, имея доступ к компьютерному шкафу вдоль оси распределения (трубопровод в канализации или вдоль водовода). Полевая сеть обеспечивает прямой доступ к оборудованию ICS, используемому для управления модулями ввода/вывода. Это особенно важно в транспортном секторе.

Установка стороннего физического компонента для удаленного изменения сети

Чтобы воспользоваться своим физическим доступом, не будучи вынужденным физически присутствовать в компромиссном месте, злоумышленник устанавливает модуль удаленного управления в промышленной сети: например, миниатюрный Raspberry Pi с батареей и модемом 4G, обеспечивающий ему удаленное управление.

Приведем несколько примеров событий кибербезопасности.

Опасное событие A: кража интеллектуальной собственности

Кража интеллектуальной собственности представляет собой атаку на систему управления производством, направленную на кражу ценных данных о процессе или производственных данных. Мотивом злоумышленника может быть экономический, например, украсть секрет производства у конкурента.

Атака будет находиться в долгосрочном временном контексте: злоумышленник захочет поддерживать доступ как можно дольше или, по крайней мере, до тех пор, пока ему не удастся извлечь все данные о поиске. Если злоумышленник не имеет прямого физического доступа, ему необходимо поддерживать «управляющее» соединение между его вредоносным ПО, установленным в промышленной сети управления, и своим сервером управления и контроля.

Опасное событие B: индустриальный саботаж

Этот сценарий описывает атаку на промышленную производственную систему, которая приводит к саботажу. Мотивами злоумышленника могут быть кибертерроризм, конкурентное позиционирование или даже война между двумя странами.

Опасное событие C: отказ в обслуживании промышленной установки

Этот сценарий больше ориентирован на отказ в обслуживании в промышленности. Цель состоит в том, чтобы остановить производство непрерывного процесса на промышленном предприятии, таком как нефтеперерабатывающий завод, водоочистная установка или газораспределительная сеть.

Промышленные системы управления часто географически удалены и состоят из множества «небольших сетей» с небольшим количеством компонентов. Чтобы отслеживать все это без развертывания сложной и дорогостоящей инфраструктуры, система обнаружения обычно состоит из датчиков, близких к процессу, которые извлекают данные связи между устройствами, и центрального сервера, который собирает, хранит и анализирует данные, собранные датчиками.

Размещение датчиков должно позволять контролировать различные точки подключения промышленной системы.

Чтобы покрыть указанные выше риски, система обнаружения анализирует свойства компонентов, управляющие сообщения и различные маркеры, в частности, MAC-адрес и идентификатор протокола, имя поставщика и название ПЛК, версии прошивки и оборудования, индикаторы компрометации и ряд других.