Безопасность SCADA систем: угрозы и защита систем автоматизации промышленных процессов

С момента первой атаки на иранскую АЭС в Бушере прошло уже много лет и в отрасли информационной безопасности появилось большое количество различных решений, предназначенных для обеспечения защиты АСУ ТП в целом и компонентов SCADA, в частности.

В этой статье мы поговорим о том, каким угрозам подвержены современные SCADA системы и какими средствами, с учетом текущий геополитических реалий, необходимо обеспечивать безопасность этих систем.

“Неактуальные” угрозы

Начинать построение системы защиты необходимо с выполнения требований регуляторов (но об этом мы поговорим чуть дальше), а также с получения представления о том, как злоумышленник может проникнуть в нашу инфраструктуру. Лучшим способом узнать как нас будут ломать является проведение тестирования на проникновение (пентест). По своей сути пентест представляет собой реализацию атак на инфраструктуру, имитирующих действия реального злоумышленника.

И здесь сразу возникает ряд моментов, на которые хотелось бы обратить особое внимание. Начнем с того, что у многих специалистов, обслуживающих АСУ есть мнение, что если промышленная сеть изолирована и не имеет связи с корпоративным сегментом, в нее нельзя проникнуть извне, то и угрозы безопасности для нее не актуальны, и следовательно, не надо заботиться о защите инфраструктуры промышленной сети.

Однако, по факту с безопасностью все, мягко говоря, не так хорошо. Изоляция промышленной сети создает иллюзию безопасности, в результате чего, в ней используются устаревшие операционные системы (Windows 7 и старше), отсутствуют средства защиты (в лучшем случае есть антивирус с устаревшими базами), некорректно организована сегментация (используется единое адресное пространство для всей сети без изоляции наиболее критичных АСУ), не закрываются уязвимости в программном обеспечении и многое другое.

И кроме того, в большинстве случаев физическая изоляция промышленной сети все-таки отсутствует, и вместо нее изоляция осуществляется на логическом уровне.

Продолжая тему защиты промышленной сети, еще одной проблемой является ее неполная изоляция. То есть на отдельных узлах в промышленной сети могут быть установлены две сетевые карты, одна смотрит в промышленную сеть, а другая в корпоративную. Обычно, это делают специалисты на местах для удобства передачи данных между корпоративным и промышленным сегментами. При никто особо не задумывается над вопросами обеспечения информационной безопасности, просто так удобнее. В результате фактически изоляция не соблюдается и по факту промышленная сеть совсем не изолирована от угроз, исходящих из корпоративной сети, то есть угроз из Интернета.

Промышленная vs. корпоративная

Корпоративная сеть содержит в себе те сервисы, которые используются административным персоналом и менеджментом – электронная почта, Active Directory, файлообменные сервисы и многое другое. Соответственно, все эти сервисы представляют собой так называемую поверхность атаки, то есть источники потенциальной эксплуатации уязвимостей и проникновения в сеть.

Как уже говорилось ранее, в большинстве предприятий корпоративная и промышленные сети физически не разделены, то есть они отделяются друг от друга на логическом уровне с помощью межсетевых экранов. Соответственно, возможна ситуация, когда злоумышленники, скомпрометировав узел администратора в корпоративной сети смогут получить доступ на межсетевой экран, разделяющий сети и через него, уже смогут проникнуть в промышленную сеть. Таким образом, путь проникновения злоумышленника в промышленную сеть будет проходит через корпоративную, со всеми ее сервисами и системами, взаимодействующими с интернет. Поэтому, при рассмотрении безопасности промышленной сети необходимо в обязательном порядке рассматривать и защищенность корпоративной сети.

Проводим пентест

Как мы уже говорили ранее, тестирование на проникновение позволяет выявить вектора атак, которые могут использовать злоумышленники. При тестировании на проникновение промышленных предприятий пентесту подвергается корпоративный сегмент. В промышленном сегменте никакие действия по выявлению и эксплуатации уязвимостей не проводятся, по причине высокой опасности таких активностей для самого технологического процесса и АСУ ТП. Поэтому, конечной целью тестирования на проникновение является получение доказательств компрометации компьютера администратора. Фактически такими доказательствами является компрометация учетной записи с правами доменного администратора, получение скриншотов с АРМ администратора, подобранные пароли и т. д.

При пентесте мы используем три вида нарушителей. Внутренний нарушитель — это доменный пользователь, который имеет штатный набор прав доступа. Пентестер начинает тестирование с этими правами и далее поднимает свои привилегии, перехватывает трафика, подбирает пароли и так далее. Нарушитель Гость имеет физический доступ на территорию предприятия, но не имеет никаких прав и доступов. Фактически при такой модели пентестеру предлагается только сетевая розетка и далее он должен сам добыть себе права.

Внешний нарушитель действует из-за пределов контролируемой зоны предприятия. У него нет ни прав, ни физического доступа на территорию предприятия. Пентестер проникает в сеть либо из Интернет, либо из внешний сети, не связанной с сетью данного предприятия.

Как уже говорилось, пентест в промышленной сети не проводится, но если на предприятии есть полигон, на котором дублируются SCADA системы и ПЛК из реальной промышленной сети, то на таком полигоне вполне можно провести анализ уязвимостей и тестирование на проникновение для выявления дополнительных векторов атак.

Нормативная база

Базовые требования к системе ИБ значимых объектов критической инфраструктуры вытекают из требований нормативной базы. На эту тему написано уже достаточно много статей, поэтому глубоко погружаться в эту тему мы не будем, но рассмотрим основные моменты.

Основным нормативным актом для нас является ФЗ №187 “Федеральный закон о безопасности критической информационной инфраструктуры Российской Федерации”. Данный нормативны акт определяет основные требования к обеспечению безопасности объектов критической инфраструктуры, к которым естественно относятся и АСУ ТП. Далее на основе требований Постановления правительства РФ №127, а также приказов ФСТЭК № 235 и 239 мы проводим категорирование значимых объектов критической инфраструктуры. В результате категорирования ЗОКИИ получают одну из трех категорий и набор защитных мер, которые необходимо реализовать на основании приказа №239.

По сути, эти защитные меры и являются основой для создания системы ИБ. Совместив их с требованиями, полученными по результатам пентеста мы можем построить действительно эффективную систему защиты.

Строим систему защиты

В рамках данной статьи мы не будем делать упор на решениях конкретных вендоров, рассматривая преимущественно общие концепции построения систем защиты. При создании системы защиты мы можем воспользоваться как решениями, имеющими сертификаты, так и решениями, прошедшими оценку соответствия в форме испытаний. Кроме того, мы можем использовать механизмы защиты, встроенные в программное обеспечение SCADA и операционную систему.

Начнем с подсистем идентификации и аутентификации. Здесь, как правило используется функционал ОС для управления учетными записями, также может использовать Active Directory, или аналогичное решение LDAP.

Следующим важным элементом защиты является подсистема межсетевого экранирования. Эта подсистема в свою очередь может быть разделена на несколько модулей: периметровое межсетевое экранирование, защита наиболее критичных АСУ, однонаправленные шлюзы.

С периметровым экранированием все более-менее понятно. Это файрволлы которые разделяют корпоративную и промышленную сети. Как правило здесь используются достаточно производительные модели корпоративного уровня.

Для защиты наиболее критичных АСУ используются промышленные файрволлы, которые умеют работать со специализированными промышленными протоколами. Отличительными чертами таких решений является промышленной исполнение, возможность монтажа на DIN рейку, повышенные требования к режимам эксплуатации.

Наконец, однонаправленные шлюзы, которые также называют диодами данных. Это устройства, обеспечивающие одностороннюю передачу данных. То есть, если у вас есть критичный сегмент, из которого необходимо передавать данные и при этом, ни одного байта не должно попасть из-вне в этот критичный сегмент, то диод гарантирует вам такую передачу. Не вдаваясь глубоко в технические особенности работы данного класса решений стоит отметить, что однонаправленных шлюзов есть ограничения, связанные с протоколами, используемыми для передачи данных.

Так, если с передачей пакетов на основе UDP и SPAN трафика особых проблем нет, то протоколы, основанные на TCP поддерживаются далеко не полностью. Это ограничение необходимо учитывать при планировании использования однонаправленных шлюзов.

Совместно с межсетевыми экранами часто используют средства обнаружения атак. Как правило на периметровых МЭ данный функционал активируется с помощью подписок. Поэтому, при выборе конкретного устройства необходимо учитывать его производительность при осуществлении инспекции трафика.

В последнее время ряд российских разработчиков предлагает комплексные решения, сочетающие в себе представленный функционал. Такие решения позволяют обеспечить базовую защиту для промышленных систем, на которых еще не установлено никаких средств защиты.

Классическими средствами защиты, используемыми в промышленной сети являются средства антивирусной защиты и анализа защищенности. Антивирусы, используемые совместно со SCADA системами должны обладать рядом особенностей. В частности, они должны меньше нагружать защищаемый узел, не требовать перезагрузки при установке, быть совместимыми с используемым ПО SCADA.

Средства анализа защищенности не должны оказывать какого-либо негативного влияния на технологическое оборудование.

Еще одной подсистемой, получившей широкое распространение в системах защиты промышленных сетей является подсистема контроля действий привилегированных пользователей. Компоненты данной подсистемы используются в качестве посредника между пользователями и RDP/SSH серверами, к которым они подключаются для работы со SCADA системами. Далее осуществляется запись сеанса пользователя в формате видеофайла. Такая фиксация позволяет сохранить информацию обо всех действиях пользователей, выполняемых со SCADA системами.

Контроль внесения изменений в конфигурации также является важной задачей, без которой эффективная работа с изменениями может быть серьезно затруднена. Нам необходимо контролировать изменения, вносимые в настройки сетевого оборудования, ПО SCADA, а также прошивки и уставки ПЛК. Для каждого из этих направлений необходимо использовать специализированные решения, позволяющие сравнивать текущие параметры настройки с эталонным образцом и выявлять внесенные изменения. Решения для контроля конфигураций SCADA и ПЛК должны поддерживать соответствующее ПО SCADA и протоколы для работы с ПЛК.

Еще одним немаловажным моментом является контроль трафика, выявление новых узлов и каналов коммуникации, появление удаленного доступа в промышленный сегмент, выполнение потенциально опасных команд на ПЛК и выявление других подозрительных активностей.

Для этих целей используются специализированные решения, которые получают с коммутаторов или TAP устройств копию трафика и находят в нем признаки подозрительных активностей. Здесь также важным моментом является необходимость поддержки данными решениями промышленных протоколов, используемых в сети.

И наконец, для централизованного сбора и управления событиями безопасности используются решения класса SIEM (Security Information Event Management), которые осуществляют сбор, анализ и хранение событий ИБ, приходящих от других средств защиты, сетевого оборудования, Active Directory и других компонентов.

Не стоит забывать о подсистеме резервного копирования. По всем методикам обеспечения ИБ реализация резервного копирования является одной из задач службы информационной безопасности, а не сисадминов или специалистов других подразделений.

Вместо заключения

В заключении немного поговорим о том, как на практике реализуется процесс внедрения средств защиты для промышленной сети. В отличие от корпоративной сети, в промышленной мы не можем просто остановить какой-либо сервис для внедрения средств защиты. Здесь необходимо согласовывать технологические окна, позволяющие обеспечить необходимый уровень доступности компонентов технологического процесса.

Внедрять систему защиты лучше поэтапно. На первом этапе необходимо внедрить периметровые межсетевые экраны и систему SIEM. Далее необходимо защитить наиболее критичные АСУ, установить средства защиты на узлы SCADA. Все внедряемые компоненты должны быть подключены к SIEM. И на третьем этапе мы внедряем оставшиеся средства защиты.

При таком поэтапном подходе мы можем снизить количество технологических перерывов в работе промышленной сети.

Автор: Бирюков Андрей Александрович, эксперт-преподаватель Академии Информационных Систем, руководитель группы защиты АСУ ТП