Сегодняшнее мероприятие посвящено исследованию, которое провели эксперты InfoWatch ARMA. Они обнаружили более 4 тысяч устройств АСУ ТП на промышленных предприятиях России, которые уязвимы для удаленных атак. Именно о результатах этого исследования сегодня поговорим. А также о том, как современный анализ защищенности позволяет обеспечить комплексную защиту АСУ ТП и дадим свои рекомендации

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.

Начал свой выступление Равиль Зулькарнаев с рассказа о результатах исследования, о том, как проверить себя, есть ли ваше устройство в сети Интернет. Если оценить статистику, то, к сожалению, она не радостная.

Почему так происходит? Во-первых, развитие идет достаточно стремительно, при этом не во всех компаниях присутствует процесс безопасной разработки. В результате на рынке имеется большое количество устройств, которые имеют различные виды уязвимости. Во-вторых, если мы вспомним жизненный цикл АСУТП, то поймем, что он намного больше, чем у систем в корпоративном сегменте. Его продолжительность измеряется десятками лет. И, если в самом начале, например, была введена в эксплуатацию какая-то система автоматизации, то в дальнейшем могли появиться какие-то новые бизнес-требования, настройки стали накладываться одна на другую, технологическая документация при этом не обновляется, сотрудники меняются, в результате происходит хаос. Никто не знает, что происходит в системе, не видит полной картины, в результате этого появляются некие уязвимые места, которые приводят потом к проблемам ИБ в системе автоматизации.

Если говорить про защиту АСУТП, то ряд заказчиков говорили о том, что «мы маленькая компания, у нас есть несколько АСУТП, кому мы нужны?» Но нужно сказать о том, что вектор атак злоумышленников немного изменился, т.е. атак с целью вывести из строя сейчас довольно мало, 90% атак происходят с целью получения какой-либо выгоды. Это может быть установка клиптомайнингов, либо шифрование и требование выкупа. Поэтому, даже если маленькая компания имеет несколько АСУТП, то все равно ей нужно побеспокоиться о своей безопасности.

В своем исследовании мы использовали поисковик Шотан. Это некий сервис, который собирает информацию из сети Интернет с устройств. Т.е. он стучится по устройствам, ему дают определенную информацию, и мы ее оцениваем. Любой сотрудник может проводить исследования на этой платформе. Важно понимать, что этот вид исследования пассивный. Надо признаться, что результаты исследований нас удивили. Поскольку мы ожидали обнаружить гораздо меньшее количество устройств, а обнаружили их более 4000. Из них ряд устройств имели критическую уязвимость, а ряд был без аутентификации. 

Если посмотреть по географии, то 1/2 доступных всех устройств приходится на Москву и Московскую область и Санкт-Петербург. 

При этом, более 40% обнаруженных устройств были сетевым оборудованием. На каждом устройстве может быть большое количество открытых портов, может быть некая их комбинация. 

На этом слайде остановимся подробнее. В технологическом сегменте используются ряд протоколов, которые также используются и в корпоративном сегменте. Тот же самый небезопасный HTTP, который может быть доступен, и через который может быть какое-либо взаимодействие. Хочу обратить внимание на данном слайде на протокол Modbus. В целом, это достаточно старый протокол, и имеет большое количество уязвимостей. Примечательно то, что в Metaspot есть модули для работы по этому протоколу и с устройствами по этому протоколу. Т.е. можно считывать данные с устройств, можно записывать в них, и наличие такого протокола извне несет серьезные риски для системы автоматизации. 

При этом было найдено большое количество устаревшего web-сервиса одной из нашумевших уязвимостей RomPager. Эти уязвимости были найдены давно, в корпоративном сегменте они уже не актуальны, но, как показала практика, в технологическом сегменте данный сервис не обновляется. И большое количество устройств имеет такие уязвимости, как переполнение буфера, которое может привести к отказу в обслуживании, либо к выполнению произвольного кода.

Большое количество устройств имело доступ без аутентификации.

Это критично. Но хочу сделать акцент на том, что 90% атак на различные системы автоматизации происходят с целью запроса выкупа, либо получения какой-то выгоды. Могут быть и таргетированные атаки, но это касается только систем автоматизации социально значимых объектов, которые являются критически важными для РФ. 

Теперь можно задаться вопросом о том, почему столько устройств доступно через интернет? Во-первых, это ошибка персонала по причине некомпетентности или перезагруженности, когда настройки были сделаны некорректно. А бывает, что новое техническое средство устанавливают без настройки. Проблема обновления АСУ ТП - это острая проблема, поскольку прежде чем устанавливать обновления, необходимо их протестировать в соответствующей среде, но для этого необходимо прежде всего эту тестовую среду создать. Это занимает довольно много времени, и довольно затратно по финансам. Не все компании могут себе это позволить, а кто-то об этом просто даже не задумывается. У заказчиков такие тестовые зоны встречаются нечасто, чтобы иметь возможность протестировать новые решения либо обновления. Большинство сотрудников, занимающихся автоматизацией, живут по принципу: «Если система работает, не трогай ее». Их, конечно, можно понять. Поскольку часто случается, когда начинается какое-то обновление, система перестает работать. По причине, например, что из-за обновления блокируются какие-то порты, либо сервер стал недоступен.

Следующая проблема - это учетная запись по умолчанию. Практически все конечные устройства имеют учетную запись по умолчанию. И специалисты при установке не изменяют эти учетные записи, не блокируют их. И в результате мы получаем то, что при исследовании достаточно найти мануал на это устройство, найти там учетную запись, которая есть по умолчанию, и попробовать войти. И в 90% случаев это будет сделано успешно. Мы сможем подключиться к устройству, и уже взаимодействовать непосредственно через него. 

Про незнание собственной инфраструктуры речь уже шла. Бывает, например, даже такое, когда у заказчика проводили аудит, у него было все хорошо структурировано, обновлена техническая документация, хороший технологический сегмент, корпоративный сегмент, все хорошо, но когда мы начали смотреть настройки межсетевого экрана, выяснилось, что он не настроен. Т.е. там стоит "any-any" и весь трафик свободно ходит. 

Также важно знать процессы различных регламентов. К ним относятся регламенты, политики, инструкции. Понятно, что ИБ строится на двух векторах: это технические средства, настройки и т.д. и процесс, основанный на политиках, регламентах и инструкциях. Эти два вектора взаимосвязаны и для эффективной защиты неотделимы друг от друга. Например, с получением удаленного доступа. Если сотруднику, например, приходит запрос о том, что необходимо предоставить где-то удаленный доступ для вендоров с целью администрирования, но у него нет такого регламента. Поэтому нужен определенный документ, который бы описывал требования по предоставлению такого доступа, и с этим документом должны быть ознакомлены все сотрудники, особенно специалисты ИБ.

Как защитить АСУ ТП от легитимного доступа?

Приходит к нам заказчик, и спрашивает, что нам делать, мы вообще не знаем, что у нас происходит? Значит нужно провести аудит безопасности. Если на каких-то устройствах не нужен удаленный доступ, то его следует блокировать. Если удаленный доступ нужен, то он должен быть безопасным. Т.е. можно использовать vpn или собственный канала и при этом следует иметь комплекс систем защиты информации. Под комплексом систем защитной информации мы понимаем не только сами средства ЗИ, но и сотрудников, которые смогут администрировать и поддерживать удаленные соединения данной системы.

Когда мы начали проводить данное исследование и рассказывать об этом заказчикам, они спросили, с чего им надо начать? Начать следует инвентаризации устройств. Нужно выписать IP-адреса, найти пограничные IP-адреса, найти внешние IP-адреса, если таковые есть. Провести изучение своей системы. Тем не менее, я рекомендую начать с аудита. Это наиболее комплексная работа, которая позволит узнать все тонкие и уязвимые места в ИТ-инфраструктуре. И зачастую при проведении аудитов нашей компанией мы находим такую информацию, которая зачастую вызывает шок у заказчика.

После того, как вы это уже определили, можно начать тестирование ИТ-инфраструктуры, смотреть по своим IP-адресам. 

Сначала внешним, потом пограничным. Можно выборочно, если у вас их большое количество. Для этих целей мы подготовили инструкцию, которую можем отправить вам на почту. Также мы проводим подробный план работы для заказчика и, если он по каким-либо причинам не может самостоятельно провести такую работу в силу недостатка времени или специалистов, тогда мы готовы провести ее сами. Также мы готовы делиться с заказчиком информацией. Вы можете нам писать на почту, мы всегда готовы помочь.

Мы рекомендуем проводить аудит и находить уязвимые места, а потом выстраивать эшелонированную систему защиты информации. 

При этом пункты 2, 3, 4 в данном слайде взаимосвязаны. Т.е., когда вы будете формировать техническое задание или техпроект на создание ИБ-системы, вы должны учитывать требования регулятора. И следующим этапом будет автоматизация, это некое верхнее звено для того, чтобы упростить жизнь специалистам ИБ. Для контроля сети есть файрвол - система обнаружения вторжений. И верхнее звено - это консоль. Это единый центр, который будет собирать ИБ-события с конечных устройств системы защиты. Также возможно описать различные действия, которые нужно будет выполнять специалистам ИБ.

Если говорить об анализе защищенности, то наша компания проводит такие работы, и в их рамках используем подход, который достаточно известен. При этом осуществляется разведка: мы вместе с заказчиком определяем активы, какие критичны, какие не критичны, для того, чтобы выстроить систему защиты и понять, что может замыслить злоумышленник. Определяем степень уязвимости угроз. Что важно в пункте 4, мы можем проверить ряд каких-либо уязвимостей, но это производится только на стенде. В данном случае ни о каком действующем объекте АСУ ТП речь не идет, даже при его плановой остановке мы не проводим. Поскольку эксплуатация уязвимостей может преобразовать любое устройство в кирпич. 

И пункт 5 - бумажная безопасность. Это типовые политики и настройки оборудования. Необходимо помимо определения уязвимостей, проходить, смотреть, как настроено оборудование, как настроены ОС. Потому что это более глубокое исследование, точечное, это нужно для того, чтобы понять какую-либо серьезную проблему. 

К нам обращаются ряд заказчиков для более глубоких исследований. Это уже анализ защищенности самого оборудования. В основном обращаются вендоры, но могут обращаться и заказчики с какими-либо устройствами. Для того, чтобы провести какое-то исследование оборудования, заказчик должен получить согласие у вендора. Поскольку исследование может превратить конкретное конечное устройство в обычный кирпич.

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.