Анализ защищённости предприятий производственной сферы имеет важное значение, поскольку они остаются в фокусе внимания киберпреступников. Как следствие, тестирование АСУ ТП на наличие уязвимостей не теряет актуальности. Эксперты Angara Security выявили бреши в защите промышленной компании с АСУ ТП и рассказали, как снизить риски взлома.
Введение
В конце 2023 года отдел анализа защищённости Angara Security реализовал масштабный проект по исследованию безопасности ИТ-инфраструктуры для российской промышленной компании, которая управляет несколькими производственными площадками в ряде регионов России. Основными требованиями заказчика на этапе проведения пентеста были недопустимость взлома сегментов АСУ ТП и получения доступа к данным финансового характера, а также отсутствие рисков для внутренней сети, в т. ч. компрометации автоматизированных рабочих мест администраторов.
На старте проекта стояла задача проверить, возможно ли с внешней стороны получить доступ к контролю одного из сегментов АСУ ТП. В непроизводственных компаниях достаточно завладеть учётными данными администратора домена, что уже даст максимальные привилегии. На производственных предприятиях критически важно не допустить сам факт такого события, т. к. оно может спровоцировать сбой в технологической цепочке.
На первых этапах реализации проекта оценивалась возможность перехвата контроля над одним из сегментов АСУ ТП.
Оценив имевшийся уровень защищённости, мы выделили следующие этапы работ:
- Выбор целевых сегментов.
- Поиск смежных с АСУ ТП точек корпоративной сети.
- Повышение уровня привилегированного доступа для взятия под контроль целевого сегмента.
Как показывает практика, у большинства производственных предприятий имеются значительные бреши в защите корпоративной сети. Недостаточный уровень безопасности позволяет злоумышленникам получать высокие привилегии и открывать себе доступ ко критически важным для компании данным.
Что было на старте
Заказчик предоставил нам учётную запись с самым низким уровнем привилегий в домене корпорации. С её помощью можно было собирать базовую информацию, подключившись по VPN. Далее через типовые уязвимости Microsoft Active Directory удалось быстро повысить привилегии до администратора домена.
Обычно существует определённая сегментация сети, по которой можно понять сложившееся положение, увидеть конкретные подсети и хосты, но при этом трудно понять, как перейти в другой сектор.
Чем разветвлённее структура, тем труднее злоумышленнику обнаружить целевой сегмент и понять, как перейти в него. Это и стало следующей задачей пентеста.
Первое, что мы проверили, — общие файловые хранилища и корзины документов. Обычно они находятся в открытом доступе, но при этом именно в них чаще всего удаётся найти данные, по которым можно сориентироваться в сетевой архитектуре предприятия.
Критическими могут оказаться следующие сведения:
- карта сети;
- срез по ИТ-активам;
- результаты сканирования на уязвимости;
- отчёты по работе антивирусного ПО.
Их не стоит выкладывать в общий доступ, потому что эта информация поможет потенциальному злоумышленнику разобраться в структуре сети, найти адреса целевых систем и скорректировать вектор атаки.
При проведении пентеста мы нашли веб-сервер с аналитическими графиками по всем сегментам АСУ ТП. Вероятно, это были диспетчерские данные, агрегируемые системой SCADA для корпоративных пользователей. Как-то внедриться туда, а тем более повлиять на производственные процессы через него оказалось невозможным. Однако там содержалась информация, при помощи которой нам удалось найти шлюзы, относящиеся к целевому сегменту. Критическими стали следующие данные:
- схема предприятия;
- параметры производственных процессов;
- информация для инженеров-аналитиков.
Полученных сведений оказалось достаточно для того, чтобы сопоставить подключения и журнал соединений, а также обнаружить потенциальный ряд шлюзов. Это помогло найти компьютер системного администратора со схемами подключения цехов к общей корпоративной сети.
Следующий этап — это попытка получения контроля над шлюзовыми станциями, потому что они, как правило, являются недоменными. В нашем случае за маршрутизацию трафика отвечал стационарный ПК, к которому не подходили учётные данные администратора домена.
Чтобы получить учётные данные для входа на этот сервер, мы использовали дамп DPAPI (Data Protection API) — криптографического интерфейса программирования приложений и шифрования паролей и ключей. Поиск потенциально полезных учётных записей вёлся с разных компьютеров администраторов. Путём перебора учётных данных нам удалось найти те, что требовались для входа в целевые системы. Задачу значительно облегчило то, что в ряде случаев локальный администратор использовал одинаковые логины и пароли для нескольких систем, к тому же сохранённые в браузере.
После захвата контроля над шлюзами пришлось прибегнуть к методу обхода (pivoting), так как наша рабочая станция не давала непосредственного сетевого доступа к цели. Это позволило создать сценарий горизонтального «туннелирования», то есть перемещения через промежуточные хосты до интересующей нас SCADA-системы.
Итак, мы попали в цех
Первый цех, куда удалось попасть, не представлял ценности. Его инфраструктура оказалась небольшой и в ней не было отдельного сервера SCADA, который давал бы доступ к системе мониторинга данных.
Следующим объектом пентеста стал второй цех, оказавшийся крупнее первого. Он отвечал за сложный технологический процесс, сбои в котором могли спровоцировать экологически опасные последствия. Перехваченный доступ позволил получить выход к установленным по периметру цеха видеокамерам. Мы смогли увидеть устройство и детали производственного процесса, т. е. обеспечили себе виртуальное присутствие в местах недоступных простому обывателю.
При проведении анализа защищённости сегмента сети с АСУ ТП приходилось обходить множество недоменных серверов и машин. Итогом пентеста стала цепочка следующих действий:
- выбор целевого сегмента (в нашем случае им оказался цех);
- поиск пути до нужного шлюза;
- обнаружение SCADA-сервиса;
- нахождение учётной записи локального администратора SCADA-сервера (дампился сервис LSASS операционной системы Windows, отвечающий за проверку подлинности);
- вход в сервер SCADA и обнаружение программ управления контроллерами АСУ ТП.
Таким образом мы выявили уязвимости в сети предприятия и завершили проект по согласованию с заказчиком.
Проведённый пентест показал, что при существующей системе защиты хакер сможет зайти очень далеко и спровоцировать сбой в технологическом процессе. Определённую сложность для злоумышленников могут представлять специальные программы контроля безопасности и мониторинга событий. Для их обнаружения, обхода и отключения требуется время, которое система защиты может с пользой потратить на предотвращение атаки.
Почему удалось взломать сеть
При проведении анализа защищённости компании с АСУ ТП был выявлен основной опасный момент: использование одинаковых паролей для учётных записей в разных системах. В этом случае перехват данных для входа даже одного пользователя создаёт серьёзные бреши в обороне, т. к. позволяет злоумышленникам быстро расширить привилегии. Критически важно установить и соблюдать правило: для каждого цеха — свои уникальные пароли.
Вторая уязвимость — использование слабых паролей. Это характерное для многих предприятий явление. Если в ходе разработки этот момент можно скорректировать при помощи SAST, SSDLC или других методов, то для администрирования таких инструментов нет. В данном случае в ходе тестирования на проникновение у нас получилось найти данные для входа путём стандартного перебора (брутфорса). Оказалось, что пароль состоял всего из трёх символов.
Список рисков охватывает существующую систему контроля доменов, поэтому стоит сделать акцент на повышении безопасности пользовательского сегмента. Поможет в этом обучение персонала основам информационной безопасности. Как вариант, можно задействовать инструментарий Security Awareness или проводить социотехническое тестирование.
Третья уязвимость — совмещение функций специалиста по информационной безопасности и администратора сети. Необходимо разграничивать эти полномочия и повышать компетентность работников в вопросах защиты конфиденциальных данных предприятия. В области разработки программ хорошо зарекомендовала себя практика определения лидеров безопасности (security champions).
Стоит учитывать и тот факт, что в промышленных сетях российских предприятий часто используются устаревшие программы и устройства, которые нужны для работы конкретных аппаратов и станков. Для развёртывания современного софта требуется обновление, что подразумевает значительные финансовые вливания; поэтому большинство компаний предпочитают продолжать работать по уже устоявшейся схеме. Единственный выход в такой ситуации — прибегнуть к комплексу мероприятий:
- создание системы непрерывного мониторинга;
- управление уязвимостями;
- управление привилегированным доступом, включая защиту от вторжений;
- использование антивирусов с регулярно обновляемыми базами;
- обращение к надёжным сторонним подрядчикам для оценки степени защищённости;
- использование инструментов криптографической защиты.
Двоякая ситуация в АСУ ТП складывается вокруг такого понятия, как «воздушный зазор» (мера защиты, которая предусматривает полную изоляцию корпоративной сети и серверов SCADA). Хотя она и помогает повысить уровень безопасности, у неё есть серьёзный недостаток: трудно проводить мониторинг АСУ ТП. Поэтому создавать непроницаемый «air gap» не стоит. Лучше максимально осложнить получение удалённого доступа к SCADA (например, при помощи многофакторной аутентификации).
Понимание своих «болевых точек» даёт компании возможность сформировать стратегию эшелонированной защиты доступа. В этом случае злоумышленнику придётся пройти через внешние, а затем — и через внутренние средства защиты информации, чтобы добраться до уязвимостей. Это затянет атаку и позволит своевременно отреагировать на инцидент, например, в рамках центра мониторинга (SOC).
Значительно повышает информационную безопасность АСУ ТП применение специализированных сложных средств. Хорошие результаты дают:
- IdM-системы;
- мультифакторная аутентификация;
- технологии сквозного входа (SSO);
- специализированные межсетевые экраны (например, WAF или Database Firewall);
- средства защиты виртуальных сред и систем контейнеризации.
Помимо всего перечисленного в состав эшелонированной защиты должны входить компоненты для отслеживания целевых атак и противодействия им: средства детектирования угроз на потенциально уязвимых точках инфраструктуры (серверах, АРМах), механизмы мониторинга сетевого трафика (включая поведенческий анализ), технологии DLP, системы ложных целей и ловушек, а также решения класса DCAP.
Выводы
Практический анализ отдельно взятой компании с АСУ ТП показал, что такие сегменты имеют ряд уязвимостей. В ходе проведённого Angara Security пентеста были выявлены такие бреши в информационной безопасности, как использование одинаковых логинов и паролей, легко подбираемые пароли учётных записей, слабая система контроля доменов, а также совмещение функций специалиста по ИБ и администратора сети.
Для повышения степени защиты сегментов АСУ ТП рекомендуется:
- сформировать эшелонированную систему обеспечения безопасности;
- усложнить алгоритм получения удалённого доступа к SCADA, чтобы снизить вероятность вторжений;
- осуществлять непрерывный мониторинг и детектирование угроз в сети;
- использовать современные антивирусы и инструменты криптографической защиты;
- обучать работников компании основам информационной безопасности;
- обращаться к надёжным сторонним подрядчикам для оценки защищённости инфраструктуры.