Атаки на АСУ ТП
В последние несколько десятилетий наметились тенденции к автоматизации процессов производства. На многих предприятиях внедряются автоматизированные средства управления (АСУ) операциями производственного цикла, технического процесса (ТП). Это влечет за собой значительное увеличение объемов обрабатываемой информации.
С развитием технологий автоматизированные системы управления технологическими процессами (АСУ ТП) постепенно преобразовались из закрытых управляющих устройств в многоуровневые промышленные сети на базе стандартных сетевых протоколов, которые имеют множество сходств с активно используемыми корпоративными сетями. К сожалению, это касается и уязвимостей, которые тесно связаны с угрозами кибербезопасности. Эти сети подвержены заражению вредоносными программами, взлому, выводу из строя ПО и другим видам внешнего воздействия. Это оказывает существенное влияние на производственные процессы, и с каждым годом количество подобных инцидентов увеличивается.
Классификация и способы атак на АСУ ТП
Кто и зачем вмешивается в технологические процессы?
Специалисты по информационной безопасности выделяют несколько типов нарушителей для АСУ:
- враждебные государства и их силовые структуры,
- террористические организации,
- промышленные шпионы и представители организованных преступных групп,
- хакеры-активисты.
Действия киберподразделений силовых структур враждебных государств направлены на нарушения функционирования объектов инфраструктуры, что может привести к разрушениям и человеческим жертвам. Данный вид атак является одним из наиболее опасных при кибервойнах. Специалисты полагают, что в ближайшие годы он будет наиболее распространенным. Человечество уже видело его применение на практике: между 2009 и 2011 годами происходила так называемая операция Stuxnet, в ходе которой американские спецслужбы с помощью компьютерной программы-червя нарушали работу иранских заводов по обогащению уранового топлива.
Основной целью террористов является возникновение паники среди населения. Поскольку традиционные теракты имеют больший резонанс в обществе, чем проведение кибератак, такой вид воздействия в ближайшем будущем вряд ли будет часто встречаться.
Промышленные шпионы и представители ОПГ осуществляют атаки для получения прибыли. Их действия приводят к подрыву инфраструктуры, что обычно выгодно конкурентам, а также к нарушению сохранности данных.
Хактивистами являются настроенные против государства люди. Их акции редко наносят существенный урон и используются в основном для донесения нарушителями собственных политических взглядов.
Наибольший ущерб промышленной инфраструктуре наносят действия хакеров — ввиду многочисленности данной группы. Эти операции преследуют различные цели: от выявления уязвимостей для их последующего устранения до манипулирования приборами учёта с целью воровства готовой продукции.
Существует еще одна категория нарушителей, которые имеют доступ к оборудованию, что упрощает процесс нарушения информационной безопасности. Это — проявившие служебную халатность или обиженные на начальство сотрудники, а также инсайдеры, специально внедренные в производственные компании. Известны случаи, когда работники играли в компьютерные игры или смотрели видео на рабочем оборудовании, настраивали выход в интернет и подключали в сеть личные устройства.
Назовем основные методы атак на АСУ ТП.
- Самый распространенный способ — непосредственная отправка команд оборудованию. Большая часть используемого в промышленности программного обеспечения не требует идентификации пользователя. Злоумышленникам достаточно проникнуть в технологическую сеть предприятия и установить связь с нужным объектом.
- С помощью специальных утилит преступники могут перехватить управляющий экран. В этом случае все совершаемые ими движения курсора будут видны оператору, а сами злоумышленники будут ограничены правами активного пользователя.
- В некоторых случаях внесение правок в базу данных позволяет также изменить и связанные с ней объекты.
- Технология Man-in-the-Middle используется в тех случаях, когда злоумышленникам известны параметры функционирования сети. Тогда они могут менять информацию на главном экране и получить полный контроль над любой системой.
- Взлом датчиков производства и подача на них неправильных данных для воспрепятствования корректной работе оборудования.
Цели атак на АСУ ТП
Объектом несанкционированного доступа в технологическую сеть может стать любое предприятие или его структурное подразделение. Средства для проведения подобных атак подбираются с учетом особенностей атакуемых систем и обычно имеют узкоспециализированное действие. Практика показывает, что злоумышленники имеют оборудование и ПО для проведения целевых нападений, при этом возможно одновременное воздействие на различные блоки и комбинирование специально созданных и общедоступных средств.
Стандартная АСУ ТП обычно состоит из двух или трех сетевых уровней. Многие предприятия используют среду для управления производственными процессами, которая объединяется в общую корпоративную ЛВС с подразделениями, управляющими финансовой и организационной деятельностью компании. Нередки случаи, когда к локальной технологической сети подключены отделы снабжения и продаж.
Сами АСУ ТП на верхнем уровне имеют станции инженеров и операторов, а также серверы. На среднем уровне расположены программируемые контроллеры, а на нижнем находятся исполнительные механизмы и подключенные непосредственно к оборудованию датчики. Связь между различными уровнями обеспечивается коммутационными узлами, а доступ к датчикам осуществляется через полевые шины по специальным протоколам: Modbus, Profibus, Foundation Fieldbus, DeviceNet, HART и множество других. Обычно их разработчики не предусматривают установку дополнительных средств защиты. Часто на верхних уровнях архитектуры используются IP- и Ethernet-сети, а промышленные устройства снабжаются стандартными портами и используют общие протоколы.
Вероятнее всего, атаки будут направлены на отрасли, где перебои в работе компонентов могут привести к наибольшему ущербу и человеческим жертвам. Это — предприятия ТЭК и энергетические компании, транспорт, другие организации, нарушение деятельности которых имеет экономические последствия и может спровоцировать катастрофу в гуманитарной или экологической сфере.
Источник атак на АСУ ТП
Эксперты выделяют следующие пути проникновения злоумышленников в закрытые АСУ.
- «Открытые двери». Большинство автоматизированных систем управления производством, транспортом и энергоснабжением можно обнаружить в интернете, воспользовавшись стандартными поисковиками. Исследователи обнаружили в открытом доступе более 140 тысяч компонентов АСУ ТП. Это позволяет преступникам изучать их и использовать для взлома методы, которые изначально не рассматривались как источники угрозы.
- «Один ключ на все замки». Количество использующих АСУ организаций постоянно увеличивается при практически неизменном числе разработчиков промышленного ПО. Одна и та же платформа может использоваться в разных, не связанных между собой отраслях. Известен случай, когда уязвимость была обнаружена в системах, обслуживающих Большой адронный коллайдер, атомные электростанции, аэропорты и железнодорожные станции, трубопроводы и химические заводы в разных странах. Однажды обнаруженная уязвимость дает возможность атаковать различные объекты по всему миру.
- Несоответствие технологий защиты растущему уровню угроз. Базовые компоненты устаревают и обновляются недостаточно часто, что ведет к сохранению уязвимостей в течение нескольких лет. Развитие автоматизированных средств дополнительно облегчает работу хакеров.
- Первые АСУ ТП возникли в 80-е годы XX века, когда автоматизация начала проводиться на крупных предприятиях. Со временем компьютеризированные устройства для управления жизнеобеспечением и распределением электроэнергии развивались по пути уменьшения компонентов и удешевления их изготовления. Это привело к повсеместному их использованию в бытовых целях. Производители технически не в состоянии обеспечить должный уровень безопасности своих разработок, так как большая часть аналогичных гаджетов доступна через интернет.
Анализ риска
Исследования показывают, что для обнаружения проведенных кибератак может понадобиться от нескольких месяцев до трех лет (см., например, исследование Positive Technologies). Максимальный зафиксированный срок присутствия злоумышленников в закрытой системе составляет 7 лет. Через 10-14 дней после проникновения обнаружить взломанные компоненты становится сложнее, так как преступники начинают применять действующие учетные записи и штатные средства администрирования. Установленные системы защиты могут идентифицировать произошедшее как вирусную атаку, для устранения которой выполняют проверку антивирусами, форматируют жесткие диски и переустанавливают ОС. Это приводит к уничтожению доказательств атаки, которые могли бы помочь в дальнейшем.
АСУ ТП работают по специальным сетевым стандартам и должны обеспечивать непрерывность производственного цикла, что делает невозможным остановку технологического процесса для сбора и анализа полученных данных. Для обеспечения их безопасности необходимо учитывать специфику функционирования конкретного предприятия и применять комплексный подход для противодействия угрозам.
Системы ИБ в этом случае должны отвечать определенным требованиям:
- максимально подробно выполнять анализ уязвимостей всех компонентов системы с помощью контроля сетевых соединений (межсетевой экран, IDS/IPS), используемых программ (антивирус), передаваемых через периметр файлов (шлюзовой антивирус с песочницей, DLP) и действий пользователей (контроль привилегированных учетных записей);
- выявлять многоступенчатые таргетированные атаки;
- предоставлять информацию в удобном для специалистов по безопасности и по автоматизации виде;
- учитывать особенности исследуемой системы, не влиять на ее работу в процессе проверки.