Как защитить АСУ ТП

Дмитрий Ушаков
руководитель отдела
подготовки и внедрения
технических решений
Stonesoft Russia

Немного истории

По сути, любой процесс, начиная от проката стали до сборочного производства на автомобильном заводе, автоматизируется с помощью специализированных контроллеров, исполняющих заданные операции. Обычно участие человека в АСУ ТП сводится к контролю за работой автоматических систем, таких как SCADA (система диспетчерского управления и сбора данных) и распределенные системы управления, а также, безусловно, к выполнению операций, не поддающихся автоматизации.

Особенно остро проблема защиты от атак на АСУ ТП проявилась после эпидемии червя Stuxnet. Чем чаще АСУ ТП оказываются подключенными к национальным или глобальным сетям доступа (например, Интернет), тем больше угроза. Но не только после атаки на атомную станцию в Бушере стали известны атаки на АСУ ТП, можно вспомнить огромное количество схожих инцидентов, например проникновение в систему управления водоснабжением в США [21], совсем недавний инцидент с обнаружением трояна Flame [9]. Это не говоря даже о том, что разные исследователи указывают на наличие более 10 тыс. подключенных к сети Интернет АСУ ТП, большая часть из которых вообще не требуют авторизации при доступе [11].

Различные аналитические статьи о черве Stuxnet [например, 14] лишь подтверждают этот печальный факт. Беспечность обслуживающего персонала (то есть человеческий фактор), хотя и является ключевым в большинстве случаев, однако последней точкой является сама принципиальная возможность распространения вредоносного кода по корпоративной сети в сеть АСУ ТП или даже просто с рабочей станции оператора (HMI, Human Machine Interface), где стоит SCADA-система, на контроллеры, управляющие технологическими процессами (PLC, Programmable Logic Controller). Все это усугубляется тем, что даже системы семейства Windows в определенных условиях считаются операционными системами реального времени (ОС РВ) и могут использоваться в контроллерах [16]. Сложности обновления ОС и ПО в АСУ ТП, связанные с невозможностью перезагрузки и ограниченным доступом к конфигурации, также не способствуют приведению ПО в адекватное состояние, которое позволило бы бороться даже с известными уязвимостями, не говоря уже о так называемых атаках zero day.

На текущий момент известно не так много уязвимостей, однако они уже доступны в виде готовой сборки утилит, например, в продукте CANVAS [2, 17], а также отдельных модулей для конкретных контроллеров в Nessus и Metasploit [11]. Все это, а также концентрация на нескольких ключевых производителях систем АСУ ТП (например, Siemens, Iconins и др.) способствует популяризации данного класса ПО и периодической публикации информации о новых уязвимостях [15, 18, 20]. При этом в публичных источниках можно не просто почерпнуть информацию о них, но и посмотреть готовое видео, демонстрирующее, насколько легко можно взломать АСУ ТП [19].

И чем большей популярностью пользуется эта тема, тем больше статей о ней появляется, зачастую близких к мифическим [например, 4]. Однако, с другой стороны, активизация интереса способствует все более углубленному исследованию технологий и потенциальных уязвимостей, которые в итоге будут способствовать повышению уровня защищенности в данной отрасли.

Как атаковать?

Как мы уже упомянули, для воздействия на АСУ ТП в первую очередь применяются удаленные манипуляции, возможные благодаря тому, что ресурсы сетей управления производством подключаются к другим сетевым сегментам или даже к сетям общего пользования, то есть напрямую становятся доступны любому желающему. Взломы сетей АСУ ТП возможны, потому что:

• по мнению экспертов, технологии защиты в АСУ ТП в среднем отстают на 10 лет [3];
• технологии для АСУ ТП в общем и целом базируются на той же аппаратной и программной базе, что и системы общего назначения;
• зачастую они используют стандартные протоколы доступа (стек TCP/IP, стандартные СУБД и интерфейсы доступа к ним, RPC и пр.);
• обновление ПО в сетях АСУ ТП зачастую является большой проблемой;
• выживаемость системы в Интернете в среднем составляет порядка пяти минут [5].

Проблема в отношении SCADA заключается еще и в том, что недавно [2] были найдены уязвимости zero day в ПО самой среды разработки - CoDeSys Software [2], которая широко используется на самых разных производствах, а также в ПО от Siemens - WinCC [7], которое в нашей стране используется в том числе в скоростных поездах, а также на компрессорных станциях газопроводов. Другой известный продукт Iconics также не остался в стороне - как минимум в его HMI (интерфейс для взаимодействия с пользователем) находится уязвимость, которая позволяет при определенных условиях выполнить произвольный код [10].

К счастью, в основном в АСУ ТП подвержены воздействию системы удаленного управления (РСУ - распределенная система управления), тогда как то, что обеспечивает нашу с вами безопасность, а именно система противоаварийной защиты (ПАЗ), автономна, многократно дублирована и не имеет выхода во внешние сети. Хотя само по себе, конечно, это является слабым утешением...

Как защищаться?

Перечень рекомендаций как от вендоров, так и от независимых организаций (например, US-CERT [12]), по сути, сводится к прописной истине - нужно знать своего врага. В контексте АСУ ТП это как минимум означает следующее:

• минимизировать (в виду ненужности) внешние подключения к самой технологической сети, которая должна быть изолирована;
• контролировать все сетевые взаимодействия, если они нужны (то есть использовать межсетевые экраны);
• обеспечить реализацию политики безопасности на АРМах в сегментах мониторинга, где находятся операторы SCADA (не без помощи которых вредоносное ПО зачастую и попадает в АСУ ТП);
• инспектировать сетевые взаимодействия SCADA (то есть применять системы класса обнаружения вторжений).

Практические реализации расходятся у разных компаний. Так, Emerging Threats выпустили специальный набор правил для систем Snort и занимаются тем, что поддерживают его в актуальном состоянии (рис. 1).

Cisco Systems уже достаточно давно ведет исследования в области безопасности АСУ ТП, публикует уязвимости по данной тематике и рекомендации по защите [например, 6]. Основная суть рекомендаций сводится к правильной фильтрации трафика и блокировании подключений к уязвимым сервисам при помощи фильтрации соединений (рис. 2).

Что касается известных уязвимостей из состава эксплойтов в CANVAS [2], то там встречаются, по сути, стандартные уязвимости SQL injection, buffer overflow, client-side (ActiveX) based exploits и пр. Они зачастую успешно блокируются современными системами защиты от вторжений и контентными фильтрами.

У американского CERT есть специальное подразделение, занимающееся безопасностью АСУ ТП [12] и имеющее целую подборку материалов у себя на сайте. К сожалению, самые современные из них датированы началом 2011 г., лишь только раздел про уязвимости регулярно обновляется.

Stonesoft, не такой известный в области АСУ ТП, однако получивший известность в узких кругах благодаря целому ряду своих инновационных технологий в сфере сетевой безопасности, также уделяет пристальное внимание проблемам защиты технологических сетей [22]. При этом акцент делается на комплексности и глубине подхода [25] (рис. 3).

Например, правила инспекции потоков учитывают не просто факт наличия регулярных выражений, которые могут встретиться в потоке данных, но еще и возможность их маскировки с помощью техник обхода [23]. Также возможность динамической трансформации и наличие модулей разграничения доступа на уровне многофункциональных "комбайнов" (Next-Generation Engine, NGN [24]) позволяет не просто инспектировать трафик или осуществлять пакетную фильтрацию соединений, но делать это на любом уровне, не жертвуя скоростью или глубиной инспекции. 

Немаловажным фактором также является возможность централизованного согласованного управления средствами защиты и визуализация текущего состояния по всей инфраструктуре - это можно легко сделать с помощью центра управления безопасностью, который по праву считается еще одной гордостью компании (рис. 4).

Рекомендации

Возвращаясь к документам подразделения US-CERT по защите промышленных систем [13], следует отметить, что для АСУ ТП, равно как и для обычных компьютерных систем требуется соблюдать принцип эшелонированной обороны. Стратегия, которая хорошо себя зарекомендовала и никем уже не воспринимается как нечто необычное, почему-то до сих пор не находит своего отражения в тех отраслях, которые не виртуально, а напрямую влияют на нашу безопасность, не говоря уже об окружающей среде, в которой мы живем.

С учетом всего вышесказанного можно дать следующие общие рекомендации:

• изоляция АСУ ТП от других сетей, в особенности тех, которые имеют выходы в Интернет;
• контроль взаимодействия между сегментами, которые связаны с АСУ ТП;
• внутри сегментов необходимо использовать системы IPS, которые позволяют блокировать стандартные техники и механизмы атак, например SQL Injection, Buffer overflow и пр. Причем зачастую это происходит на уровне тех протоколов, которые большинством современных систем IPS успешно анализируются, например HTTP, RPC;
• хорошо иметь "заточенный" под конкретную АСУ ТП набор правил инспекции потоков;
• при развертывании систем инспекции потоков учитывать необходимость защиты от современных методик эксплуатации уязвимостей, в частности применения техник обхода, - перед передачей на модуль анализатора данные должны проходить полную нормализацию.

Литература

1. АСУ ТП, http://ru.wikipedia.org/wiki/%CO% D1%D3_%D2%CF.
2. Гуркин Ю. Безопасность SCADA. Презентация на Positive Hack Days, GLEG, 2011. www.slideshare.net/phdays/scada-8359283.
3. Гордейчик С. Заметка о взломе ядерных объектов в Иране: http://sgordey.blogspot.com/2 0 12/07/acdc-siemens.html.
4. Ядерные объекты Ирана вновь атаковал червь, июль 2012, www.securitylab.ru/news/427503.php.
5. Survival Time, http://isc.sans.edu/ survivaltime.html.
6. http://tools.cisco.com/security/center/viewAlert.x?alertld=24177 &vs_f=Cisco%20Applied%20Mitigation%20Bulletins&vs_cat= Security%20lntelligence&vs_type= RSS&vs_p=Cisco%20Applied% 20Mitigation%20Bulletin:%20 ldentifying%20and%20Mitigating %20the%20SCADA%20Security %20Activity%20Bulletin%20 Vulnerabilities&vs_k=1.
7. Остаться в живых. Безопасность SCADA: http://habra-habr.ru/company/pt/blog/146094.
8. Could Hackers Break into Your Electric Meter? http://blogs.scientificamerican.com/solar-at-home/2011/08/11/could-hackers-break-into-your-electric-meter.
9. Вирус-шпион: http://habra-habr.ru/post/144772.
10. www.infosecisland.com/blogview/13730-CERT-Warns-of-Iconics-SCADA-Software-Vulne-rability.html.
11. Состояние безопасности SCADA беспокоит исследователей: www.pcweek.ru/security/article/detail.php?ID=136789.
12. https://www.us-cert.gov/ control_systems.
13. Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-ln-Depth Strategies, October, 2009: https://www.us-cert.gov/control_systems/practi-ces/documents/Defense_in_Depth _Oct09.pdf.
14. Безопасность SCADA: Stuxnet - что это такое и как с ним бороться? 2010, декабрь: www.securitylab.ru/analytics/4000 24.php.
15. Выпущены десятки эксплойтов для популярных SCADA-систем, март 2011: www.xakep.ru/post/55096/default.asp.
16. Программное обеспечение / Энциклопедия АСУ ТП, гл. 9: www.bookasutp.ru/Chapter9_1 .aspx.
17. SCADA+ Pack: http://gleg.net/agora_scada.shtml.
18. Vulnerabilities in some SCADA server softwares, март 2011: http://seclists.org/bugtraq/2011/Mar/187.
19. Turning a SCADA Vulnerability into a Successful Attack: http://scadahacker.com/videos/igss-video.html.
20. SCADA под прицелом: анализ защищенности АСУ ТП, август 2011: www.xakep.ru/post/56432/default.asp.
21. 'Russian' hackers seize control of U.S. public water system by remotely destroying pump, ноябрь 2011: www.dailymail.co.uk/sciencetech/article-2064283/Hackers-con trol-U-S-public-water-treatment-facilities, html.
22. Stonesoft Warns Flame, Stuxnet, Duqu Still Not as Dangerous as Conventional SCADA and ICS Attacks, июнь 2012: www.stonesoft.com/en/press_an d _media/releases/en/2012/200620 12-1.html.
23. Advanced Evasion Techniques, AET: http://aet.stonesoft.com.
24. Security Engine: http://securityengine.stonesoft.com.
25. StoneGate IPS, Protect your assets with confidence: www.stonesoft.com/export/download/pdf/IPS_ylataso_ WEB.pdf.