В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
По сути, любой процесс, начиная от проката стали до сборочного производства на автомобильном заводе, автоматизируется с помощью специализированных контроллеров, исполняющих заданные операции. Обычно участие человека в АСУ ТП сводится к контролю за работой автоматических систем, таких как SCADA (система диспетчерского управления и сбора данных) и распределенные системы управления, а также, безусловно, к выполнению операций, не поддающихся автоматизации.
Особенно остро проблема защиты от атак на АСУ ТП проявилась после эпидемии червя Stuxnet. Чем чаще АСУ ТП оказываются подключенными к национальным или глобальным сетям доступа (например, Интернет), тем больше угроза. Но не только после атаки на атомную станцию в Бушере стали известны атаки на АСУ ТП, можно вспомнить огромное количество схожих инцидентов, например проникновение в систему управления водоснабжением в США [21], совсем недавний инцидент с обнаружением трояна Flame [9]. Это не говоря даже о том, что разные исследователи указывают на наличие более 10 тыс. подключенных к сети Интернет АСУ ТП, большая часть из которых вообще не требуют авторизации при доступе [11].
Различные аналитические статьи о черве Stuxnet [например, 14] лишь подтверждают этот печальный факт. Беспечность обслуживающего персонала (то есть человеческий фактор), хотя и является ключевым в большинстве случаев, однако последней точкой является сама принципиальная возможность распространения вредоносного кода по корпоративной сети в сеть АСУ ТП или даже просто с рабочей станции оператора (HMI, Human Machine Interface), где стоит SCADA-система, на контроллеры, управляющие технологическими процессами (PLC, Programmable Logic Controller). Все это усугубляется тем, что даже системы семейства Windows в определенных условиях считаются операционными системами реального времени (ОС РВ) и могут использоваться в контроллерах [16]. Сложности обновления ОС и ПО в АСУ ТП, связанные с невозможностью перезагрузки и ограниченным доступом к конфигурации, также не способствуют приведению ПО в адекватное состояние, которое позволило бы бороться даже с известными уязвимостями, не говоря уже о так называемых атаках zero day.
На текущий момент известно не так много уязвимостей, однако они уже доступны в виде готовой сборки утилит, например, в продукте CANVAS [2, 17], а также отдельных модулей для конкретных контроллеров в Nessus и Metasploit [11]. Все это, а также концентрация на нескольких ключевых производителях систем АСУ ТП (например, Siemens, Iconins и др.) способствует популяризации данного класса ПО и периодической публикации информации о новых уязвимостях [15, 18, 20]. При этом в публичных источниках можно не просто почерпнуть информацию о них, но и посмотреть готовое видео, демонстрирующее, насколько легко можно взломать АСУ ТП [19].
И чем большей популярностью пользуется эта тема, тем больше статей о ней появляется, зачастую близких к мифическим [например, 4]. Однако, с другой стороны, активизация интереса способствует все более углубленному исследованию технологий и потенциальных уязвимостей, которые в итоге будут способствовать повышению уровня защищенности в данной отрасли.
Как мы уже упомянули, для воздействия на АСУ ТП в первую очередь применяются удаленные манипуляции, возможные благодаря тому, что ресурсы сетей управления производством подключаются к другим сетевым сегментам или даже к сетям общего пользования, то есть напрямую становятся доступны любому желающему. Взломы сетей АСУ ТП возможны, потому что:
Проблема в отношении SCADA заключается еще и в том, что недавно [2] были найдены уязвимости zero day в ПО самой среды разработки - CoDeSys Software [2], которая широко используется на самых разных производствах, а также в ПО от Siemens - WinCC [7], которое в нашей стране используется в том числе в скоростных поездах, а также на компрессорных станциях газопроводов. Другой известный продукт Iconics также не остался в стороне - как минимум в его HMI (интерфейс для взаимодействия с пользователем) находится уязвимость, которая позволяет при определенных условиях выполнить произвольный код [10].
К счастью, в основном в АСУ ТП подвержены воздействию системы удаленного управления (РСУ - распределенная система управления), тогда как то, что обеспечивает нашу с вами безопасность, а именно система противоаварийной защиты (ПАЗ), автономна, многократно дублирована и не имеет выхода во внешние сети. Хотя само по себе, конечно, это является слабым утешением...
Перечень рекомендаций как от вендоров, так и от независимых организаций (например, US-CERT [12]), по сути, сводится к прописной истине - нужно знать своего врага. В контексте АСУ ТП это как минимум означает следующее:
Практические реализации расходятся у разных компаний. Так, Emerging Threats выпустили специальный набор правил для систем Snort и занимаются тем, что поддерживают его в актуальном состоянии (рис. 1).
Cisco Systems уже достаточно давно ведет исследования в области безопасности АСУ ТП, публикует уязвимости по данной тематике и рекомендации по защите [например, 6]. Основная суть рекомендаций сводится к правильной фильтрации трафика и блокировании подключений к уязвимым сервисам при помощи фильтрации соединений (рис. 2).
Что касается известных уязвимостей из состава эксплойтов в CANVAS [2], то там встречаются, по сути, стандартные уязвимости SQL injection, buffer overflow, client-side (ActiveX) based exploits и пр. Они зачастую успешно блокируются современными системами защиты от вторжений и контентными фильтрами.
У американского CERT есть специальное подразделение, занимающееся безопасностью АСУ ТП [12] и имеющее целую подборку материалов у себя на сайте. К сожалению, самые современные из них датированы началом 2011 г., лишь только раздел про уязвимости регулярно обновляется.
Stonesoft, не такой известный в области АСУ ТП, однако получивший известность в узких кругах благодаря целому ряду своих инновационных технологий в сфере сетевой безопасности, также уделяет пристальное внимание проблемам защиты технологических сетей [22]. При этом акцент делается на комплексности и глубине подхода [25] (рис. 3).
Например, правила инспекции потоков учитывают не просто факт наличия регулярных выражений, которые могут встретиться в потоке данных, но еще и возможность их маскировки с помощью техник обхода [23]. Также возможность динамической трансформации и наличие модулей разграничения доступа на уровне многофункциональных "комбайнов" (Next-Generation Engine, NGN [24]) позволяет не просто инспектировать трафик или осуществлять пакетную фильтрацию соединений, но делать это на любом уровне, не жертвуя скоростью или глубиной инспекции.
Немаловажным фактором также является возможность централизованного согласованного управления средствами защиты и визуализация текущего состояния по всей инфраструктуре - это можно легко сделать с помощью центра управления безопасностью, который по праву считается еще одной гордостью компании (рис. 4).
Возвращаясь к документам подразделения US-CERT по защите промышленных систем [13], следует отметить, что для АСУ ТП, равно как и для обычных компьютерных систем требуется соблюдать принцип эшелонированной обороны. Стратегия, которая хорошо себя зарекомендовала и никем уже не воспринимается как нечто необычное, почему-то до сих пор не находит своего отражения в тех отраслях, которые не виртуально, а напрямую влияют на нашу безопасность, не говоря уже об окружающей среде, в которой мы живем.
С учетом всего вышесказанного можно дать следующие общие рекомендации:
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012