Кибератаки на критически важные инфраструктуры встречаются сегодня все чаще и стали значительной проблемой для различных организаций по всему миру. Электростанции, центры контроля движения транспорта, системы очистки воды и фабрики стали предметом внимания злоумышленников, постоянно подвергаясь сетевым взломам, кражам данных и атакам на отказ в обслуживании.
Уязвимости данных систем могут быть различными — от обычных ситуаций с отсутствием паролей и использованием учетных записей, созданных по умолчанию, и до проблем с конфигурациями или ошибок в программном коде. Поэтому как только хакер получает возможность запустить программу, имеющую доступ к контроллеру, вероятность успешного проведения атаки становится очень высокой.
1. Критические инфраструктуры на векторе атаки
4. Защита SCADA для безопасности критических инфраструктур
Критические инфраструктуры на векторе атаки
И это не просто запугивание. Только в 2014 году Департамент внутренней безопасности сообщил о намерении проверить факт атаки троянской программы Havex на системы контроля отраслевыми объектами, скомпрометировавшей более 1000 энергетических компаний в Европе и Северной Америке. В 2012 году немецкая энергетическая компания 50Hertz стала жертвой кибератаки, которая вывела из строя систему интернет-коммуникаций. Это был первый подтвержденный пример цифрового нападения на европейского оператора энергосетей.
Хорошо известная ботнет-программа Stuxnet в 2010 позволила атаковать иранскую ядерную центрифугу при помощи одного целевого компьютерного вируса. Более того, атаки могут быть проведены не только организованными группировками, но и отдельными злоумышленниками. В 2001 некий австралиец был отправлен в тюрьму за взлом системы управления очистными сооружениями, который привел к сбросу миллионов литров неочищенных сточных вод в водоемы местных парков и реки.
Подобные атаки на критически важные инфраструктуры часто влияют на работу различных служб, целостность данных, и даже угрожают общественной безопасности. Также в результате атак системы перестают соответствовать требованиям регуляторов. Поэтому организациям нужно предпринимать определенные меры, чтобы предотвращать подобные проблемы с безопасностью.
Однако это возможно сделать только при понимании различий между ICS/SCADA и традиционными ИТ-средами. Кроме того, необходимо использовать определенные ноу-хау и технологии, разработанные за последние 20 лет для защиты вычислительных сетей.
Понимая SCADA
Критически важные инфраструктурные объекты (из сферы электроэнергетики, нефти и газа, водоснабжения, очистки отходов и т.д.) в значительной степени зависят от электрических, механических, гидравлических и других устройств. Это оборудование управляется и контролируется отдельными компьютерными системами — контроллерами и сенсорами. Данные системы подключаются к управляющим системами и создают сети SCADA (Supervisory Control and Data Acquisition — диспетчерское управление и сбор данных) и решения ICS (Industrial Control System — система производственного контроля). ICS и SCADA обеспечивают эффективный сбор и анализ данных и помогают автоматизировать контроль над оборудованием — насосами, клапанами, реле и т.д. Преимущества данных систем обусловили их широкое распространение. Надежность и стабильность SCADA и ICS позволяют использовать их на критически важных объектах в течение длительного времени.
Сети и устройства SCADA/ICS разрабатывались для того, чтобы обеспечить управляемость и контроль при максимальном уровне надежности. Часто они не обладают механизмами, призванными предотвратить неавторизованный доступ или способными справляться с растущими угрозами безопасности, широко распространенными в мире ИТ и исходящими как из внутренних, так и из внешних сетей.
И хотя их внедрение в большинстве случаев является коммерческой тайной, контроллеры SCADA фактически представляют собой маленькие компьютеры. Они используют такие стандартные элементы, как операционные системы (часто встроенные Windows или Unix), программные приложения, учетные записи, протоколы передачи данных и так далее. Более того, во многих средах управления используются стандартные рабочие станции Windows и Unix.
В результате уже знакомые проблемы, связанные с уязвимостями и эксплойтами, оказываются применимы и к ICS и SCADA. Дополнительной проблемой является то, что все эти системы нередко располагаются в физически труднодоступных местах и должны находиться в рабочем режиме 24/7.
Уязвимости SCADA
Существует типичное мнение, что сети ICS и SCADA физически отделены от корпоративных ИТ-сетей. И это может быть так, ведь некоторые компании используют отдельные сети или разделяют сети контроля и корпоративные ресурсы. В других случаях компании используют одни и те же инфраструктуры LAN и WAN, однако применяют шифрование для трафика ICS и SCADA при передаче в общей среде. Но чаще всего сети требуют наличия определенного уровня взаимодействия, чтобы получать операционные данные или экспортировать информацию в сторонние системы. Устройства из сетей SCADA имеют ряд особенных характеристик, которые могут сильно отличаться от традиционных ИТ-систем:
- Они часто устанавливаются в таких местах, куда сложно попасть физически (например, на башнях, нефтяных вышках, промышленном оборудовании), а также работают в значительно более сложных внешних условиях, чем обычные ИТ-системы (на улице, при экстремальных температурах и вибрациях) или требуют наличия специальных условий питания и монтажа;
- На них часто инсталлированы проприетарные операционные системы, в которых не предусмотрена возможность усиления безопасности;
- Невозможно часто обновлять или загружать исправления для ПО в связи с недопустимостью простоев, ограничениями доступа или необходимостью повторной сертификации ПО;
- В подобных системах используются проприетарные или специальные протоколы.
Отличия этих сред создают такие проблемы, как недостаточный уровень шифрования и аутентификации, слабые механизмы хранения паролей — все эти уязвимости могут быть использованы хакерами при захвате управления системами. Поскольку большинство сетей SCADA/ISC имеют определенную периферийную защиту, включая сегментацию сетей и межсетевые экраны, злоумышленники всегда ищут альтернативные пути для проникновения — например, через незакрытый шлюз или при помощи запуска определенных операций в организации, которые открывают канал передачи данных для внешнего проникновения. Среди типичных тактик:
- Использование портов удаленного доступа, предназначенных для обслуживания со стороны вендора;
- Взлом легитимного канала связи между ИТ-системами и ICS/SCADA;
- Принуждение путем обмана пользователя перейти по ссылке в письме на той рабочей станции, которая подключена как к сети ICS/SCADA и к Интернету (фишинговая атака);
- Заражение ноутбуков и/или съемных носителей за пределами сетей ICS/SCADA с целью дальнейшего вторжения во внутренние системы, когда они подключаются к сетям для сбора данных, обновления ПО контроллеров или сенсоров;
- Использование ошибок в конфигурации параметров безопасности.
Как только хакер проникает в сеть SCADA, он получает возможность запускать вредоносные команды на устройствах, вызывая сбой или задержку действий, связанных с соответствующими критически важными процессами, например открытия и закрытия клапанов.
Защита SCADA для безопасности критических инфраструктур
Чтобы достичь нужного уровня защиты для промышленных и критически важных сетей, необходимо перейти от использования набора отдельных технологий и практик к эффективным бизнес-процессам. Эффективная стратегия безопасности должна обеспечивать обнаружение нетипичной активности и предотвращать атаки, одновременно предоставляя организации достаточную экспертизу для расследования взломов, когда они происходят.
Стратегия безопасности должна обеспечивать протоколирование всех активностей на отдельном уровне, не связанном с конфигурацией самих устройств SCADA, так как они могут быть взломаны при вторжении. Такой подход должен сопровождаться выработкой принципов допустимого поведения устройств SCADA с четким определением, что допустимо, что недопустимо и что следует считать подозрительным. Кроме этих мер стратегия должна включить автоматические уведомления и предотвращение отклонений от принципов, что позволит применять более эффективные меры против нежелательных активностей.
В дополнение к внедрению стратегии важно, чтобы вся ИТ-сеть организации была обеспечена средствами защиты для обеспечения безопасности устройств SCADA. Примеры взломов доказывают, что ИТ-среды, напрямую подключенные к Интернету, могут быть именно тем каналом, который обеспечит связь с технологическими операционными средами. Таким образом, важно реализовать механизмы, обеспечивающие только авторизованный доступ, контроль над приложениями и уведомления об идентификации, а также внедрить средства борьбы с угрозами — межсетевые экраны, системы предотвращения вторжений, антивирусы и системы эмуляции угроз.
Ключевым компонентом многоуровневой защиты для устройств SCADA должны быть средства интеллектуального анализа угроз (Threat Intelligence), чтобы передавать и собирать информацию о новых и развивающихся угрозах для критических инфраструктур. Внедряя технологии Threat Intelligence, организации могут защитить свои сети от киберугроз еще до того, как они проникнут внутрь. Это позволит обеспечить лучшую безопасность устройств SCADA и сделать их менее уязвимыми.
Киберугрозы, ориентированные на системы SCADA, получили значительное развитие за последние годы, и эта тенденция вряд ли изменится в ближайшем будущем. Хакеры становятся все умнее и все больше интересуются атаками на критические важные инфраструктуры. Поскольку уязвимости SCADA хорошо известны, эти сети находятся в зоне особого риска. Именно поэтому нужно внедрять новые стратегии и системы, которые помогут защитить сети и устройства и обеспечить безопасность не только отдельных организаций, но и общества в целом.