Сегодняшнее мероприятие посвящено исследованию, которое провели эксперты InfoWatch ARMA. Они обнаружили более 4 тысяч устройств АСУ ТП на промышленных предприятиях России, которые уязвимы для удаленных атак. Именно о результатах этого исследования сегодня поговорим. А также о том, как современный анализ защищенности позволяет обеспечить комплексную защиту АСУ ТП и дадим свои рекомендации

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.

Начал свой выступление Равиль Зулькарнаев с рассказа о результатах исследования, о том, как проверить себя, есть ли ваше устройство в сети Интернет. Если оценить статистику, то, к сожалению, она не радостная.

Почему так происходит? Во-первых, развитие идет достаточно стремительно, при этом не во всех компаниях присутствует процесс безопасной разработки. В результате на рынке имеется большое количество устройств, которые имеют различные виды уязвимости. Во-вторых, если мы вспомним жизненный цикл АСУТП, то поймем, что он намного больше, чем у систем в корпоративном сегменте. Его продолжительность измеряется десятками лет. И, если в самом начале, например, была введена в эксплуатацию какая-то система автоматизации, то в дальнейшем могли появиться какие-то новые бизнес-требования, настройки стали накладываться одна на другую, технологическая документация при этом не обновляется, сотрудники меняются, в результате происходит хаос. Никто не знает, что происходит в системе, не видит полной картины, в результате этого появляются некие уязвимые места, которые приводят потом к проблемам ИБ в системе автоматизации.

Если говорить про защиту АСУТП, то ряд заказчиков говорили о том, что «мы маленькая компания, у нас есть несколько АСУТП, кому мы нужны?» Но нужно сказать о том, что вектор атак злоумышленников немного изменился, т.е. атак с целью вывести из строя сейчас довольно мало, 90% атак происходят с целью получения какой-либо выгоды. Это может быть установка клиптомайнингов, либо шифрование и требование выкупа. Поэтому, даже если маленькая компания имеет несколько АСУТП, то все равно ей нужно побеспокоиться о своей безопасности.

В своем исследовании мы использовали поисковик Шотан. Это некий сервис, который собирает информацию из сети Интернет с устройств. Т.е. он стучится по устройствам, ему дают определенную информацию, и мы ее оцениваем. Любой сотрудник может проводить исследования на этой платформе. Важно понимать, что этот вид исследования пассивный. Надо признаться, что результаты исследований нас удивили. Поскольку мы ожидали обнаружить гораздо меньшее количество устройств, а обнаружили их более 4000. Из них ряд устройств имели критическую уязвимость, а ряд был без аутентификации.

Если посмотреть по географии, то 1/2 доступных всех устройств приходится на Москву и Московскую область и Санкт-Петербург.

При этом, более 40% обнаруженных устройств были сетевым оборудованием. На каждом устройстве может быть большое количество открытых портов, может быть некая их комбинация.

На этом слайде остановимся подробнее. В технологическом сегменте используются ряд протоколов, которые также используются и в корпоративном сегменте. Тот же самый небезопасный HTTP, который может быть доступен, и через который может быть какое-либо взаимодействие. Хочу обратить внимание на данном слайде на протокол Modbus. В целом, это достаточно старый протокол, и имеет большое количество уязвимостей. Примечательно то, что в Metaspot есть модули для работы по этому протоколу и с устройствами по этому протоколу. Т.е. можно считывать данные с устройств, можно записывать в них, и наличие такого протокола извне несет серьезные риски для системы автоматизации.

При этом было найдено большое количество устаревшего web-сервиса одной из нашумевших уязвимостей RomPager. Эти уязвимости были найдены давно, в корпоративном сегменте они уже не актуальны, но, как показала практика, в технологическом сегменте данный сервис не обновляется. И большое количество устройств имеет такие уязвимости, как переполнение буфера, которое может привести к отказу в обслуживании, либо к выполнению произвольного кода.

Большое количество устройств имело доступ без аутентификации.

Это критично. Но хочу сделать акцент на том, что 90% атак на различные системы автоматизации происходят с целью запроса выкупа, либо получения какой-то выгоды. Могут быть и таргетированные атаки, но это касается только систем автоматизации социально значимых объектов, которые являются критически важными для РФ.

Теперь можно задаться вопросом о том, почему столько устройств доступно через интернет? Во-первых, это ошибка персонала по причине некомпетентности или перезагруженности, когда настройки были сделаны некорректно. А бывает, что новое техническое средство устанавливают без настройки. Проблема обновления АСУ ТП - это острая проблема, поскольку прежде чем устанавливать обновления, необходимо их протестировать в соответствующей среде, но для этого необходимо прежде всего эту тестовую среду создать. Это занимает довольно много времени, и довольно затратно по финансам. Не все компании могут себе это позволить, а кто-то об этом просто даже не задумывается. У заказчиков такие тестовые зоны встречаются нечасто, чтобы иметь возможность протестировать новые решения либо обновления. Большинство сотрудников, занимающихся автоматизацией, живут по принципу: «Если система работает, не трогай ее». Их, конечно, можно понять. Поскольку часто случается, когда начинается какое-то обновление, система перестает работать. По причине, например, что из-за обновления блокируются какие-то порты, либо сервер стал недоступен.

Следующая проблема - это учетная запись по умолчанию. Практически все конечные устройства имеют учетную запись по умолчанию. И специалисты при установке не изменяют эти учетные записи, не блокируют их. И в результате мы получаем то, что при исследовании достаточно найти мануал на это устройство, найти там учетную запись, которая есть по умолчанию, и попробовать войти. И в 90% случаев это будет сделано успешно. Мы сможем подключиться к устройству, и уже взаимодействовать непосредственно через него.

Про незнание собственной инфраструктуры речь уже шла. Бывает, например, даже такое, когда у заказчика проводили аудит, у него было все хорошо структурировано, обновлена техническая документация, хороший технологический сегмент, корпоративный сегмент, все хорошо, но когда мы начали смотреть настройки межсетевого экрана, выяснилось, что он не настроен. Т.е. там стоит "any-any" и весь трафик свободно ходит.

Также важно знать процессы различных регламентов. К ним относятся регламенты, политики, инструкции. Понятно, что ИБ строится на двух векторах: это технические средства, настройки и т.д. и процесс, основанный на политиках, регламентах и инструкциях. Эти два вектора взаимосвязаны и для эффективной защиты неотделимы друг от друга. Например, с получением удаленного доступа. Если сотруднику, например, приходит запрос о том, что необходимо предоставить где-то удаленный доступ для вендоров с целью администрирования, но у него нет такого регламента. Поэтому нужен определенный документ, который бы описывал требования по предоставлению такого доступа, и с этим документом должны быть ознакомлены все сотрудники, особенно специалисты ИБ.

Как защитить АСУ ТП от легитимного доступа?

Приходит к нам заказчик, и спрашивает, что нам делать, мы вообще не знаем, что у нас происходит? Значит нужно провести аудит безопасности. Если на каких-то устройствах не нужен удаленный доступ, то его следует блокировать. Если удаленный доступ нужен, то он должен быть безопасным. Т.е. можно использовать vpn или собственный канала и при этом следует иметь комплекс систем защиты информации. Под комплексом систем защитной информации мы понимаем не только сами средства ЗИ, но и сотрудников, которые смогут администрировать и поддерживать удаленные соединения данной системы.

Когда мы начали проводить данное исследование и рассказывать об этом заказчикам, они спросили, с чего им надо начать? Начать следует инвентаризации устройств. Нужно выписать IP-адреса, найти пограничные IP-адреса, найти внешние IP-адреса, если таковые есть. Провести изучение своей системы. Тем не менее, я рекомендую начать с аудита. Это наиболее комплексная работа, которая позволит узнать все тонкие и уязвимые места в ИТ-инфраструктуре. И зачастую при проведении аудитов нашей компанией мы находим такую информацию, которая зачастую вызывает шок у заказчика.

После того, как вы это уже определили, можно начать тестирование ИТ-инфраструктуры, смотреть по своим IP-адресам.

Сначала внешним, потом пограничным. Можно выборочно, если у вас их большое количество. Для этих целей мы подготовили инструкцию, которую можем отправить вам на почту. Также мы проводим подробный план работы для заказчика и, если он по каким-либо причинам не может самостоятельно провести такую работу в силу недостатка времени или специалистов, тогда мы готовы провести ее сами. Также мы готовы делиться с заказчиком информацией. Вы можете нам писать на почту, мы всегда готовы помочь.

Мы рекомендуем проводить аудит и находить уязвимые места, а потом выстраивать эшелонированную систему защиты информации.

При этом пункты 2, 3, 4 в данном слайде взаимосвязаны. Т.е., когда вы будете формировать техническое задание или техпроект на создание ИБ-системы, вы должны учитывать требования регулятора. И следующим этапом будет автоматизация, это некое верхнее звено для того, чтобы упростить жизнь специалистам ИБ. Для контроля сети есть файрвол - система обнаружения вторжений. И верхнее звено - это консоль. Это единый центр, который будет собирать ИБ-события с конечных устройств системы защиты. Также возможно описать различные действия, которые нужно будет выполнять специалистам ИБ.

Если говорить об анализе защищенности, то наша компания проводит такие работы, и в их рамках используем подход, который достаточно известен. При этом осуществляется разведка: мы вместе с заказчиком определяем активы, какие критичны, какие не критичны, для того, чтобы выстроить систему защиты и понять, что может замыслить злоумышленник. Определяем степень уязвимости угроз. Что важно в пункте 4, мы можем проверить ряд каких-либо уязвимостей, но это производится только на стенде. В данном случае ни о каком действующем объекте АСУ ТП речь не идет, даже при его плановой остановке мы не проводим. Поскольку эксплуатация уязвимостей может преобразовать любое устройство в кирпич.

И пункт 5 - бумажная безопасность. Это типовые политики и настройки оборудования. Необходимо помимо определения уязвимостей, проходить, смотреть, как настроено оборудование, как настроены ОС. Потому что это более глубокое исследование, точечное, это нужно для того, чтобы понять какую-либо серьезную проблему.

К нам обращаются ряд заказчиков для более глубоких исследований. Это уже анализ защищенности самого оборудования. В основном обращаются вендоры, но могут обращаться и заказчики с какими-либо устройствами. Для того, чтобы провести какое-то исследование оборудования, заказчик должен получить согласие у вендора. Поскольку исследование может превратить конкретное конечное устройство в обычный кирпич.

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.

2022-02-08 21:34:52
Геннадий Ветров
 Готовые решения

Сейчас на главной

16 апр. 2024 г., 18:19:36
Как реализовать проект VDI: на примере кейса Уральской инженерной школы

Мероприятие дистрибьюторской компании OCS, а также российского разработчика системного и инфраструктурного ПО НТЦ ИТ РОСА и российского разработчика высокопроизводительных решений, расчётных комплексов и систем визуализации Forsite. На этом мероприятии спикеры компаний рассказали, как создать полностью функциональное и эффективное решение VDI с использованием серверов Forsite на базе отечественного программного обеспечения Rosa Virtualization и LoudPlay.

Статьи Готовые решения «НТЦ ИТ РОСА»
9 апр. 2024 г., 12:15:40
Средства информационной безопасности для ОС Astra Linux

Совместное мероприятие компаний OCS, «‎Группы Астра» и «Цифровые технологии» посвящено теме обеспечения безопасности контура средствами ОС Astra Linux. Спикеры говорят о настройке рабочего места для электронной подписи и безопасного обмена документами на примере программного средства Крипто АРМ ГОСТ и КриптоПро CSP. Темы выступлений спикеров: «Обеспечение контура безопасности средствами ОС Astra Linux» и «Особенности установки, настройки и эксплуатации криптографических средств на ОС Astra Linux Special Edition».

Статьи ПО и Приложения ГК "Астра"
8 апр. 2024 г., 10:00:00
Краткое введение в актуальные тренды крипто-индустрии и знакомство с платформой Telegram Open Network (TON)

Сегодня разговор пойдет в первую очередь о действиях на блокчейн TON (Telegram Open Network), касаемый других платформ.

Статьи Финансы Telegram
1 апр. 2024 г., 16:47:50
Инструменты MIND для миграции и защиты виртуальной инфраструктуры

Сегодняшнее мероприятие ведет Антон Банчуков – менеджер по развитию бизнеса компании MIND. MIND – это российская компания, основанная в 2021 году, она образована сотрудниками разных западных вендоров. Основной задачей компании является разработка программного обеспечения для обеспечения мобильности виртуальных сервисов и серверов.

Статьи Готовые решения MIND
26 мар. 2024 г., 15:48:01
Развитие платформы Space VDI: новый функционал и особенности релизов 5.3-5.4

Мероприятие OCS и «ДАКОМ М», российского разработчика импортозамещающей экосистемы виртуализации Space. Мероприятие посвящено обзору платформы Space VDI: ключевым нововведениям в релизах 5.3 и 5.4, а также вопросам адаптивности Space VDI к изменяющимся требованиям и оптимальному использованию ресурсов. Space VDI ждут серьёзные изменения, направленные на повышение отказоустойчивости решения, реализацию новых функций и увеличение общей производительности системы.

Статьи ДАКОМ М
18 мар. 2024 г., 19:48:58
EKF Connect Industry: IIoT сделана в России

На вопросы аналитического отдела iXBT.pro отвечает Артём Сергеев, директор бизнес-юнита Новые бизнесы EKF

Статьи
14 мар. 2024 г., 10:00:00
«Базис» представил импортонезависимую экосистему решений для виртуализации ИТ-инфраструктуры

(erid: 2VtzqxQgVfr) «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, первым в России представил импортонезависимую экосистему продуктов и технологий виртуализации с собственной кодовой базой. Входящие в состав экосистемы решения помогают заказчикам повысить долю использования отечественного ПО в рамках стратегий цифровой трансформации и соответствуют требованиям государства в части надежности и безопасности.

Статьи Технологии и продукты «Базис»
10 мар. 2024 г., 14:09:28
Обзор возможностей решения Universe Data Governance

Мероприятие OCS и DIS Group, российской IT-компании, которая предлагает решения в области управления данными, бизнес-аналитики, защиты информации, а также осуществляет консалтинг и внедрение проектов по данным направлениям. В рамках мероприятия будет проведён обзор основных сценариев использования, возможностей инструмента с точки зрения пользователей и администраторов решения.

Статьи Готовые решения DIS Group
5 мар. 2024 г., 11:00:02
Олег Олейник: «Передовые устройства и решения появляются на стыке технологий»

Группа компаний «Аквариус» существует на рынке с 1989 года и недавно отметила 35 лет. «Аквариус» прошел большой путь развития от компании, выполняющей OEM-заказы, до разработчика и производителя отечественного ИТ-оборудования на материнских платах собственной разработки и производства. Сейчас «Аквариус» является системообразующим предприятием российской экономики. Имеет три Центра разработок в стране и два собственных производственных комплекса: в Шуе и Твери. Обеспечивает полный производственный цикл выпуска высокотехнологичного оборудования, включая поверхностный монтаж, пайку компонентов и сборку устройств.

Статьи Готовые решения «Аквариус»
27 февр. 2024 г., 22:49:26
Российское ПО Digital Signage SmartPlayer

Мероприятие, посвящённое SmartPlayer – платформе для реализации мультимедийных проектов любой сложности и централизованного управления устройствами. К преимуществам решения относятся: возможность доработки ПО и разработки нового функционала под требования заказчика, кроссплатформенность и локальная техническая поддержка

Статьи Готовые решения Smart Player
Все новости