Поиск по публикациям и новостям

Сегодняшнее мероприятие посвящено исследованию, которое провели эксперты InfoWatch ARMA. Они обнаружили более 4 тысяч устройств АСУ ТП на промышленных предприятиях России, которые уязвимы для удаленных атак. Именно о результатах этого исследования сегодня поговорим. А также о том, как современный анализ защищенности позволяет обеспечить комплексную защиту АСУ ТП и дадим свои рекомендации

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.

Начал свой выступление Равиль Зулькарнаев с рассказа о результатах исследования, о том, как проверить себя, есть ли ваше устройство в сети Интернет. Если оценить статистику, то, к сожалению, она не радостная.

Почему так происходит? Во-первых, развитие идет достаточно стремительно, при этом не во всех компаниях присутствует процесс безопасной разработки. В результате на рынке имеется большое количество устройств, которые имеют различные виды уязвимости. Во-вторых, если мы вспомним жизненный цикл АСУТП, то поймем, что он намного больше, чем у систем в корпоративном сегменте. Его продолжительность измеряется десятками лет. И, если в самом начале, например, была введена в эксплуатацию какая-то система автоматизации, то в дальнейшем могли появиться какие-то новые бизнес-требования, настройки стали накладываться одна на другую, технологическая документация при этом не обновляется, сотрудники меняются, в результате происходит хаос. Никто не знает, что происходит в системе, не видит полной картины, в результате этого появляются некие уязвимые места, которые приводят потом к проблемам ИБ в системе автоматизации.

Если говорить про защиту АСУТП, то ряд заказчиков говорили о том, что «мы маленькая компания, у нас есть несколько АСУТП, кому мы нужны?» Но нужно сказать о том, что вектор атак злоумышленников немного изменился, т.е. атак с целью вывести из строя сейчас довольно мало, 90% атак происходят с целью получения какой-либо выгоды. Это может быть установка клиптомайнингов, либо шифрование и требование выкупа. Поэтому, даже если маленькая компания имеет несколько АСУТП, то все равно ей нужно побеспокоиться о своей безопасности.

В своем исследовании мы использовали поисковик Шотан. Это некий сервис, который собирает информацию из сети Интернет с устройств. Т.е. он стучится по устройствам, ему дают определенную информацию, и мы ее оцениваем. Любой сотрудник может проводить исследования на этой платформе. Важно понимать, что этот вид исследования пассивный. Надо признаться, что результаты исследований нас удивили. Поскольку мы ожидали обнаружить гораздо меньшее количество устройств, а обнаружили их более 4000. Из них ряд устройств имели критическую уязвимость, а ряд был без аутентификации. 

Если посмотреть по географии, то 1/2 доступных всех устройств приходится на Москву и Московскую область и Санкт-Петербург. 

При этом, более 40% обнаруженных устройств были сетевым оборудованием. На каждом устройстве может быть большое количество открытых портов, может быть некая их комбинация. 

На этом слайде остановимся подробнее. В технологическом сегменте используются ряд протоколов, которые также используются и в корпоративном сегменте. Тот же самый небезопасный HTTP, который может быть доступен, и через который может быть какое-либо взаимодействие. Хочу обратить внимание на данном слайде на протокол Modbus. В целом, это достаточно старый протокол, и имеет большое количество уязвимостей. Примечательно то, что в Metaspot есть модули для работы по этому протоколу и с устройствами по этому протоколу. Т.е. можно считывать данные с устройств, можно записывать в них, и наличие такого протокола извне несет серьезные риски для системы автоматизации. 

При этом было найдено большое количество устаревшего web-сервиса одной из нашумевших уязвимостей RomPager. Эти уязвимости были найдены давно, в корпоративном сегменте они уже не актуальны, но, как показала практика, в технологическом сегменте данный сервис не обновляется. И большое количество устройств имеет такие уязвимости, как переполнение буфера, которое может привести к отказу в обслуживании, либо к выполнению произвольного кода.

Большое количество устройств имело доступ без аутентификации.

Это критично. Но хочу сделать акцент на том, что 90% атак на различные системы автоматизации происходят с целью запроса выкупа, либо получения какой-то выгоды. Могут быть и таргетированные атаки, но это касается только систем автоматизации социально значимых объектов, которые являются критически важными для РФ. 

Теперь можно задаться вопросом о том, почему столько устройств доступно через интернет? Во-первых, это ошибка персонала по причине некомпетентности или перезагруженности, когда настройки были сделаны некорректно. А бывает, что новое техническое средство устанавливают без настройки. Проблема обновления АСУ ТП - это острая проблема, поскольку прежде чем устанавливать обновления, необходимо их протестировать в соответствующей среде, но для этого необходимо прежде всего эту тестовую среду создать. Это занимает довольно много времени, и довольно затратно по финансам. Не все компании могут себе это позволить, а кто-то об этом просто даже не задумывается. У заказчиков такие тестовые зоны встречаются нечасто, чтобы иметь возможность протестировать новые решения либо обновления. Большинство сотрудников, занимающихся автоматизацией, живут по принципу: «Если система работает, не трогай ее». Их, конечно, можно понять. Поскольку часто случается, когда начинается какое-то обновление, система перестает работать. По причине, например, что из-за обновления блокируются какие-то порты, либо сервер стал недоступен.

Следующая проблема - это учетная запись по умолчанию. Практически все конечные устройства имеют учетную запись по умолчанию. И специалисты при установке не изменяют эти учетные записи, не блокируют их. И в результате мы получаем то, что при исследовании достаточно найти мануал на это устройство, найти там учетную запись, которая есть по умолчанию, и попробовать войти. И в 90% случаев это будет сделано успешно. Мы сможем подключиться к устройству, и уже взаимодействовать непосредственно через него. 

Про незнание собственной инфраструктуры речь уже шла. Бывает, например, даже такое, когда у заказчика проводили аудит, у него было все хорошо структурировано, обновлена техническая документация, хороший технологический сегмент, корпоративный сегмент, все хорошо, но когда мы начали смотреть настройки межсетевого экрана, выяснилось, что он не настроен. Т.е. там стоит "any-any" и весь трафик свободно ходит. 

Также важно знать процессы различных регламентов. К ним относятся регламенты, политики, инструкции. Понятно, что ИБ строится на двух векторах: это технические средства, настройки и т.д. и процесс, основанный на политиках, регламентах и инструкциях. Эти два вектора взаимосвязаны и для эффективной защиты неотделимы друг от друга. Например, с получением удаленного доступа. Если сотруднику, например, приходит запрос о том, что необходимо предоставить где-то удаленный доступ для вендоров с целью администрирования, но у него нет такого регламента. Поэтому нужен определенный документ, который бы описывал требования по предоставлению такого доступа, и с этим документом должны быть ознакомлены все сотрудники, особенно специалисты ИБ.

Как защитить АСУ ТП от легитимного доступа?

Приходит к нам заказчик, и спрашивает, что нам делать, мы вообще не знаем, что у нас происходит? Значит нужно провести аудит безопасности. Если на каких-то устройствах не нужен удаленный доступ, то его следует блокировать. Если удаленный доступ нужен, то он должен быть безопасным. Т.е. можно использовать vpn или собственный канала и при этом следует иметь комплекс систем защиты информации. Под комплексом систем защитной информации мы понимаем не только сами средства ЗИ, но и сотрудников, которые смогут администрировать и поддерживать удаленные соединения данной системы.

Когда мы начали проводить данное исследование и рассказывать об этом заказчикам, они спросили, с чего им надо начать? Начать следует инвентаризации устройств. Нужно выписать IP-адреса, найти пограничные IP-адреса, найти внешние IP-адреса, если таковые есть. Провести изучение своей системы. Тем не менее, я рекомендую начать с аудита. Это наиболее комплексная работа, которая позволит узнать все тонкие и уязвимые места в ИТ-инфраструктуре. И зачастую при проведении аудитов нашей компанией мы находим такую информацию, которая зачастую вызывает шок у заказчика.

После того, как вы это уже определили, можно начать тестирование ИТ-инфраструктуры, смотреть по своим IP-адресам. 

Сначала внешним, потом пограничным. Можно выборочно, если у вас их большое количество. Для этих целей мы подготовили инструкцию, которую можем отправить вам на почту. Также мы проводим подробный план работы для заказчика и, если он по каким-либо причинам не может самостоятельно провести такую работу в силу недостатка времени или специалистов, тогда мы готовы провести ее сами. Также мы готовы делиться с заказчиком информацией. Вы можете нам писать на почту, мы всегда готовы помочь.

Мы рекомендуем проводить аудит и находить уязвимые места, а потом выстраивать эшелонированную систему защиты информации. 

При этом пункты 2, 3, 4 в данном слайде взаимосвязаны. Т.е., когда вы будете формировать техническое задание или техпроект на создание ИБ-системы, вы должны учитывать требования регулятора. И следующим этапом будет автоматизация, это некое верхнее звено для того, чтобы упростить жизнь специалистам ИБ. Для контроля сети есть файрвол - система обнаружения вторжений. И верхнее звено - это консоль. Это единый центр, который будет собирать ИБ-события с конечных устройств системы защиты. Также возможно описать различные действия, которые нужно будет выполнять специалистам ИБ.

Если говорить об анализе защищенности, то наша компания проводит такие работы, и в их рамках используем подход, который достаточно известен. При этом осуществляется разведка: мы вместе с заказчиком определяем активы, какие критичны, какие не критичны, для того, чтобы выстроить систему защиты и понять, что может замыслить злоумышленник. Определяем степень уязвимости угроз. Что важно в пункте 4, мы можем проверить ряд каких-либо уязвимостей, но это производится только на стенде. В данном случае ни о каком действующем объекте АСУ ТП речь не идет, даже при его плановой остановке мы не проводим. Поскольку эксплуатация уязвимостей может преобразовать любое устройство в кирпич. 

И пункт 5 - бумажная безопасность. Это типовые политики и настройки оборудования. Необходимо помимо определения уязвимостей, проходить, смотреть, как настроено оборудование, как настроены ОС. Потому что это более глубокое исследование, точечное, это нужно для того, чтобы понять какую-либо серьезную проблему. 

К нам обращаются ряд заказчиков для более глубоких исследований. Это уже анализ защищенности самого оборудования. В основном обращаются вендоры, но могут обращаться и заказчики с какими-либо устройствами. Для того, чтобы провести какое-то исследование оборудования, заказчик должен получить согласие у вендора. Поскольку исследование может превратить конкретное конечное устройство в обычный кирпич.

Мероприятие ведет Федор Трифонов - руководитель отдела технической поддержки продаж InfoWatch ARMA и Равиль Зулькарнаев - руководитель отдела защиты информации компании InfoWatch ARMA.

Согласен с правилами
Комментировать

Сейчас на главной

14 апр. 2025 г., 02:39:29
Ирина НИКУЛИНА: «EKF Impulse – это комплексный подход к проектированию, развертыванию и эксплуатации зарядной инфраструктуры»

Ирина Никулина, руководитель направления Электрозаправочные станции компании «Электрорешения» (представитель бренда EKF в России) отвечает на вопросы аналитического отдела iXBT.pro.

1 апр. 2025 г., 09:47:22
Линейно-интерактивный ИБП Ippon Pacific 1000: стабильная энергия для малого бизнеса

ИБП Ippon Pacific 1000 — устройство, которое отлично вписывается в сценарии использования, характерные для совсем небольшого офиса или рабочих мест предпринимателей-фрилансеров. Устройство эффективно защищает подключенное оборудование от перепадов напряжения и кратковременных отключений электропитания. Диапазон доступных настроек достаточен для разных сфер применения, ИБП будет одинаково уместно смотреться и на рабочем месте фрилансера, и в составе серверной стойки.

29 мар. 2025 г., 22:14:16
«Полигон»: оборудование для ИТ-инфраструктуры

Мероприятие научно-производственного предприятия «Полигон», ведущего российского производителя сетевого оборудования. В рамках встречи Иван Лялин, коммерческий директор ООО «ТВК Инзер» (ГК АО НПП «Полигон»), рассказал о структуре компании, разработках, особенностях производства, а также работе с партнёрами.

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

17 февр. 2025 г., 17:44:19
PT NAD и PT Sandbox - защита от целевых атак

Мероприятие серии «ПРОдемо:Лаборатория программных решений» — специального проекта команды OCS Soft. В рамках встречи Дмитрий Щербатюк, пресейл-эксперт по информационной безопасности OCS, рассказал о системе поведенческого анализа сетевого трафика для обнаружения скрытых кибератак PT NAD и экспертной песочнице для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox.

13 февр. 2025 г., 12:06:48
Формула изменений: проверьте себя на готовность к изменениям

Продолжаем разговор о технологии достижения результата. В первой статье мы говорили об алгоритме постановки цели, который соответствует данным нейрофизиологии. Надеюсь, вам удалось качественно сформулировать свою актуальную цель.

6 февр. 2025 г., 19:36:17
Максим БРЫКСИН: "Эстетика, технологичность, последние тренды – как все это совместить в крупной бытовой технике»?

Актуальная задача для производителя, предлагающего свои продукты для пользователя и его дома, – предоставить максимально комфортные решения, которые не только упростят жизнь, но и подарят наслаждение от его использования. Какие новые решения могут быть реализованы у вас дома и помогут по-новому организовать ваше время и пространство рассказал Максим Брыксин, менеджер по продукту компании Midea.

30 янв. 2025 г., 14:43:18
Синергия железа и ПО: что появилось в результате партнерства двух крупных игроков российского рынка ИТ

С цифровизацией бизнеса и госуправления каждый год растут объемы обработки данных и потребности в ресурсах для их хранения. Российские вендоры благодаря наработанному опыту и профессиональным командам разрабатывают и производят передовые отечественные решения.

27 янв. 2025 г., 01:12:37
Как правильно сформулировать вашу актуальную цель, чтобы мозг понимал вас

Тема постановки цели и достижения результата очень популярна сейчас. И это не только модное веяние времени. Деятельность человека целенаправленна. Так звучит одна из аксиом науки праксеологии – теории о человеческой деятельности. Существует масса рекомендаций о постановке целей. Как понять, к каким советам нужно прислушаться?