Защита промышленных контроллеров от сетевых атак

С приходом IIoT, Индустрии 4.0 и предиктивной аналитики промышленные контроллеры остаются ключевым звеном автоматизации. Однако важно учитывать, что их архитектура и протоколы обмена данными формировались в эпоху физически изолированных OT-сетей, где безопасность обеспечивалась во многом за счёт закрытости периметра. Сегодня цифровая трансформация предполагает сквозную передачу данных от полевых устройств в облака и корпоративные ERP-системы. IIoT, в свою очередь, опирается на открытые стандарты и распределённые архитектуры, что фактически стирает демилитаризованную зону (DMZ) и подключает ОТ-сети к внешним каналам связи. В этих условиях вопросы защищённости промышленных контроллеров выходят на первый план. Даже при сохранении их надёжности и функциональности возрастает риск внешнего воздействия — злоумышленник может использовать штатные команды протоколов обмена для вмешательства в технологический процесс.

О том, как оценить защищённость промышленных контроллеров, какие типы уязвимостей могут возникать и какие методы защиты применять в современных условиях, рассказывает руководитель разработки аппаратного обеспечения Айсорс Сергей Овдий.

Что такое промышленный контроллер?

Современное производство невозможно представить без автоматики. Основа современной автоматизации — промышленные контроллеры. Это специализированные вычислительные устройства для автоматического управления машинами, установками и производственными процессами. Они принимают аналоговые и дискретные сигналы датчиков, опрашивают ведомые устройства, выполняют заложенную программу и выдают команды на исполнительные механизмы. Промышленные контроллеры делятся на два типа – ПЛК (программируемый логический контроллер) и РСУ (распределенная система управления). Они решают похожие, но разные по масштабу задачи.

ПЛК циклично считывает сигналы датчиков, выполняет логическую программу и отдаёт команды исполнительным механизмам.

РСУ объединяет множество контроллеров в единую сеть, управляет непрерывным технологическим процессом, предоставляет операторам централизованный человеко-машинный интерфейс (ЧМИ) для мониторинга и управления всем объектом в режиме реального времени. РСУ обеспечивает резервирование узлов, расширенную диагностику, архивирование данных, автоматическую поддержку параметров по сложным алгоритмам.

Для обеспечения непрерывного обмена данными ПЛК и РСУ объединяет промышленная сеть, которая связывает все устройства, а также ПО верхнего уровня для контроля и прямого управления технологическими и физическими процессами. Такая сеть называется OT-сеть.

Оценка защищённости промышленных контроллеров

Различие между OT-сетью и ИТ-сетью заложено на уровне базовых приоритетов. В ИТ-сетях утечка данных считается наиболее серьёзным инцидентом. В OT-сетях на первом месте доступность (оборудование должно работать непрерывно), затем целостность, потом уже конфиденциальность. Промышленную систему часто невозможно остановить для установки обновления безопасности, поскольку простой обходится дороже потенциальной атаки.

Промышленные сети выстраиваются по уровням модели Purdue (ISA-95). Уровни 0-3 составляют OT-среды, уровни 4-5 — корпоративную ИТ-среду, а между ними демилитаризованная зона (DMZ). Модель Purdue лежит в основе стандарта IEC 62443 и описывает, где находятся системы, а IEC 62443 определяет, как их защищать. Такая архитектура предполагала физическую изоляцию OT-сети от внешнего мира.

Можно выделить основные классы уязвимостей промышленных контроллеров:

1. Отсутствие аутентификации. Позволяет удалённо переконфигурировать устройство и обновлять прошивку без каких-либо учётных данных.
2. Слабые пароли и брутфорс-атаки. Контроллеры допускают подбор паролей.
3. Подделка запросов. Контроллер позволяет атакующему загрузить вредоносную программу.
4. Хранение паролей в открытом виде.
5. Выход за границы памяти. Приводит к непредсказуемому поведению устройства и нарушению целостности данных.
6. DoS-уязвимости. Ряд контроллеров подвержен атакам типа «отказ в обслуживании», способным нарушить работу всей промышленной системы управления.

Методы защиты промышленных контроллеров от сетевых атак

Сетевая атака на промышленный контроллер — попытка несанкционированного воздействия на ПЛК или РСУ через сеть передачи данных. Цель: нарушение технологического процесса, хищение данных, повреждение оборудования или использование контроллера для дальнейшего проникновения в OT-сеть. Если атака на ПЛК воздействует локально, то сетевая атака на РСУ способна затронуть весь производственный комплекс.

Для защиты от сетевых атак необходим комплекс мер: организационно-технические, технологические и процессные решения.

Основным международным стандартом в области кибербезопасности промышленных систем является серия МЭК 62443 (IEC 62443). В РФ она принята в виде серии ГОСТ Р:

• ГОСТ Р 56205-2014 (IEC/TS 62443-1-1:2009) — устанавливает терминологию, концептуальные положения и модели безопасности систем промышленной автоматики.
• ГОСТ Р МЭК 62443-2-1-2015 — определяет элементы для создания системы управления кибербезопасностью в промышленных системах.
• ГОСТ Р МЭК 62443-3-3-2016 — устанавливает требования к безопасности систем и определяет уровни безопасности.

Эти стандарты закладывают фундамент для построения эшелонированной защиты на всех уровнях — от отдельных устройств до всей системы управления предприятием.

Сегментация ОТ-сети

Сегментация сети – основная организационно-техническая мера. Она делит сеть на логические или физические части – сегменты (зоны). В ОТ-сети необходима физическая или логическая изоляция ПЛК, РСУ и SCADA-системы от ИТ-инфраструктуры и интернета.

Физическая изоляция – самый радикальный, дорогой и надёжный способ. Она позволяет физически разделить критические системы и остальную сеть на разном оборудовании, исключив любую возможность сетевого соединения. Применяется для критических систем наивысшего уровня.

Логическая изоляция – метод, позволяющий гибко разделять сеть без прокладки новых кабелей. Основные инструменты – виртуальные сети и подсети. VLAN – самый распространённый способ, с помощью которого разделяется один физический коммутатор на несколько независимых сетей. Это просто, гибко и не требует дополнительного оборудования. Однако это базовая мера, которой недостаточно для полной защиты: критически важно дополнять её межсетевыми экранами. Формирование подсетей – это разделение сетей на разные IP-подсети с помощью маршрутизаторов или L3-коммутаторов, что позволяет управлять трафиком между сегментами.

Глубокая проверка пакетов и мониторинг аномалий в протоколах

Эффективным технологическим решением для защиты промышленных контроллеров от сетевых атак является глубокая проверка пакетов (DPI) с функциями обнаружения аномалий.

DPI анализирует содержимое пакетов промышленных протоколов и позволяет выявлять аномалии и вредоносные программы, которые не определяются при обычном мониторинге.

Технология работает следующим образом:

1. Непрерывный пассивный анализ. DPI-решения подключаются к зеркалированному порту промышленного коммутатора и анализируют копию трафика, не вмешиваясь в работу сети и не создавая дополнительной нагрузки на ПЛК.
2. Изучение «нормального» поведения. Система в течение некоторого времени изучает, какое устройство с каким общается, какие команды передает. Далее формируется базовая линия нормальной работы.
3. Выявление отклонений. В режиме реального времени система сравнивает текущий трафик с базовой линией. Любое отклонение фиксируется как инцидент безопасности.

Для обнаружения угроз DPI-системы используют комплекс методов:

1. Сигнатурный анализ: поиск известных шаблонов вредоносного трафика, подобно антивирусу. Метод эффективен против известных угроз.
2. Поведенческий анализ: выявление любых отклонений от ранее изученной модели нормального поведения сети.
3. Анализ на соответствие стандартам: проверка структуры пакетов и полей данных на строгое соответствие спецификациям протокола.
4. Машинное обучение: использование нейронных сетей и вероятностных алгоритмов для автоматического выявления сложных, ранее неизвестных аномалий.
5. Байесовский подход: не просто фиксирует отклонения, но и помогает объяснить их причину, моделируя причинно-следственные связи в сети.

Внедрение белых списков команд

Более тонким и мощным инструментом является создание белых списков на уровне протокольных команд и сетевых потоков. Это позволяет контролировать не просто запуск ПО, а сами технологические команды, передаваемые между контроллерами и системой управления.

В OT-сетях разделяют два фундаментальных подхода, которые решают разные задачи и находятся на разных уровнях:

1. AWL – белые списки приложений. Это классический и наиболее широко известный подход. AWL работает на конечных устройствах и разрешает запуск только заранее одобренных исполняемых файлов. В статичных средах это чрезвычайно эффективный метод блокировки запуска любого вредоносного ПО.
2. DPI и белые списки на уровне протоколов и команд. Этот подход работает на уровне сети. Система DPI пассивно анализирует трафик и сравнивает каждую команду промышленного протокола со списком разрешенных операций. Этот метод позволяет контролировать не факт запуска программы, а ее действия в сети.

Внедрение белых списков — это мощный и необходимый шаг к обеспечению безопасности. Это не разовое действие, а непрерывный процесс, который со временем становится проще по мере накопления опыта и данных о поведении сети.

Выводы

Защита промышленных контроллеров от сетевых атак — непрерывный процесс. Он требует стратегического многоуровневого подхода, сочетающего технологии, организационные меры, отраслевые стандарты и вовлечение персонала.

Фундаментальная незащищённость протоколов и невозможность оперативного обновления оборудования делают традиционные ИТ-подходы к защите недостаточными. Эффективная защита промышленных контроллеров выстраивается по эшелонированному принципу: сегментация сети предотвращает доступ к уязвимым устройствам, мониторинг аномалий в протоколах выявляет подозрительную активность, белые списки команд блокируют вредоносные воздействия. Такой подход компенсирует врождённые уязвимости OT-среды, не требуя модификации промышленного оборудования.