Как повысить защищенность АСУ ТП? Практические советы по первоочередным мерам Пора действовать © ОАО «ЭЛВИС-ПЛЮС», 2012 г. Руслан Стефанов Руководитель направления ИБ АСУТП ОАО «ЭЛВИС-ПЛЮС» 2012 год

Автоматизация и ИБ ИБ зиждется на ограниченности и счетности защищаемого множества информации Но рост степени автоматизации, а именно числа компонентов АСУТП и особенно взаимосвязей между ними, ставит сложную проблему Стратегия ясна: разбиваем сложное на простое (ISA- 99 – зоны и каналы)

Целесообразность затрат на ИБ Критерий целесообразности: выгода от автоматизации не должна быть меньше затрат на ИБ

Целесообразность затрат на ИБ Иначе лучше жить в каменном веке ручного управления

Вывод 1. Автоматизация и ИБ неразрывны. Вывод: Думать об ИБ АСУТП надо начинать с оценки экономического эффекта от внедрения АСУТП

Наглядная модель безопасности АСУТП Как «на пальцах» показать и обосновать направления и приоритеты защиты АСУТП? Для этого сравним вероятностные подходы промышленной и информационной безопасности к оценке угроз Немного теории…

Промышленная безопасность Основные угрозы Отказ оборудования Непреднамеренные ошибки Природные явления Меры противодействия Заводские испытания Опытная эксплуатация Модернизация Приработка Эксплуатация Старение (износ)

Основные источники угрозы Злоумышленники (иностранные разведки, террористы, инсайдеры, хакеры) Вредоносное ПО (черви, вирусы) Информационная безопасность АСУТП Время необходимое для 100% успеха атаки Blue team Red team Переменная часть графика Вероятность Zero-day не равна 0!

Цели злоумышленников Вредоносное ПО (хакеры) – как правило, не направлено непосредственно на АСУТП, но ведет к отказу в обслуживании в различных видах (полный отказ, потребление ресурсов системы, отказ служб и сервисов при отсутствии контроля) Инсайдеры – сокрытие следов экономических преступлений, месть Террористы – чрезвычайные ситуации различного масштаба Иностранные разведки – влияние на внутреннюю и внешнюю политику государства

Деструктивные воздействия Потеря управляемости технологического процесса Несанкционированное управление исполнительными механизмами Потеря видимости технологического процесса Фальсификация измерений датчиков Модификация параметров технологического процесса Параметры нормального режима Уставки противоаварийной защиты Отказ в обслуживании Авария или останов технологического процесса Деградация вычислительных ресурсов Сокрытие следов преступлений Экономических Уголовных

Вероятности Время необходимое для 100% обнаружения Red team Blue team Переменная часть графика Никто не знает о готовящейся атаке! Основные задачи подразделений ИБ Обнаружить Нейтрализовать

Качественный критерий защищенности АСУТП ВЕРОЯТНОСТЬ ОБНАРУЖЕНИЯ ЗЛОУМЫШЛЕННИКА И УСПЕШНОГО ПРОТИВОДЕЙСТВИЯ ( P ) ВЕРОЯТНОСТЬ ПРОВЕДЕНИЯ УСПЕШНОЙ АТАКИ ( Q ) P >> Q МНОГО БОЛЬШЕ

АСУТП как «черный ящик» В начальных условиях имеем на всем графике P < Q Согласно критерия должно быть P >> Q Вывод Надо приложить немалые усилия, чтобы повысить защищенность Как улучшить начальные условия? Q = q ч.я. P = p ч.я.

Рассмотрим внутреннюю архитектуру Техническая политика многих компаний явно определяет, что эти две подсистемы должны быть реализованы независимо и при помощи разных средств Это правильно и с точки зрения ИБ Почему? АСУТП Что внутри АСУТП? Подсистема Управления Подсистема Защиты q п.у. p п.у. p п.з. q п.з.

АСУТП как комплекс независимых подсистем (горизонтальная структура) Теперь вероятности P и Q складываются из отдельных вероятностей подсистем управления и защиты [P = p п.у. + p п.з. - p п.у. * p п.з. ] [Q = q п.у. * q п.з. ] Начальные условия значительно лучше (полиномы 2-й степени)

Вывод 2. Деление целого на независимые части. Описанная модель работает максимально эффективно при следующем условии: подсистемы разделены и независимы (не связаны) Вывод: необходимо избегать одинаковых или общих мер и решений для реализации функций разных подсистем Не использовать один и тот же способ удаленного доступа для обоих подсистем Использовать оборудование различных производителей Метод: горизонтальное разделение системы на подсистемы (например: сегментирование, резервирование, но не дублирование, так как дублированные элементы зависимы), снижающее вероятность возникновения аварии из-за нарушения работы одной из нескольких подсистем

АСУТП как многоуровневая система (вертикальная структура) С точки зрения вероятностей отличий нет: [P = 1 – (1 - p 1 )(1 - p 2 )(1 - p 3 )] [Q = q 1 * q 2 * q 3 ] АСУТП SCADA Контроллер Датчики и приводы

Вывод 3. Defense-in-Depth Описанная модель работает максимально эффективно при двух условиях: соблюдается строгая подчиненность между уровнями (отсутствуют «обходные» пути) существует только один путь доступа к системе Вывод: необходимо избегать обходных и дублированных путей доступа к критичным компонентам системы Не использовать одновременно несколько способов (протоколов) удаленного доступа Не использовать дублирование и резервирование Метод: вертикальное разделение системы на уровни (например: сегментирование, стратегия Defense-In- Depth), снижающее вероятность проникновения к конечной цели через промежуточные объекты

Конфликт информационной и промышленной безопасности Не использовать дублирование и резервирование! Как решить этот конфликт? Можно не использовать дублирование и резервирование там, где это не требуется Можно построить две несвязанные и полностью дублирующие друг друга АСУТП (не реально) Здесь потребуется тесное сотрудничество между специалистами ИБ и АСУТП, чтобы определить оптимальный баланс между промышленной и информационной безопасностью, а также экономическими затратами

Вывод 4. Абсолютной защиты нет! А вот это проблема! Zero-day уязвимости, программные закладки и ошибки Безопасность приложений Какая бы не была защита, атакующий всегда имеет преимущество! Нужно готовить меры по минимизации последствий и аварийные планы восстановления Вероятность Zero-day не равна 0! Атакующий имеет фору!

Вывод 5. Передний край обороны. Вывод: необходимо стремиться обнаружить атаку на ранних подступах к критичным компонентам системы Метод: создание электронного периметра (например: обнаружение вторжений, приманки honeypot) Не забывать про физический периметр и физическую защиту

Что делать? (Приоритеты) 1. Готовьтесь к худшему: подготовка планов и ревизия ресурсов для аварийного восстановления критичных сервисов, обучение персонала Никто Вам не поможет! Защиты против 0-day угроз нет и не может быть! 2. Будьте бдительны: выявление актуальных угроз из всех возможных Происходят ли в Вашей АСУТП странные события и подозрительная активность? Создайте систему обнаружения подозрительных событий и атак. 3. Действуйте: Примите все остальные возможные меры и средства по защите АСУТП, начиная с наиболее простых и доступных.

Готовьтесь к худшему! Разрабатывайте и проверяйте осуществимость планов восстановления после аварий Вспомните, где лежат дистрибутивы, лицензионные ключи, ЗИП, бекапы и прочее необходимое при реализации плана восстановления Выполните шаги по процедуре восстановления Используйте новые или другие проверенные методы повышающие эффективность восстановления Виртуализация и создание снимков системы Точки восстановления ОС

Будьте бдительны! Следите за публикациями ICS-CERT и других источников Ни одно технологическое нарушение или инцидент не должны остаться без выяснения причин его возникновения! Собирайте информацию о технологических нарушениях и инцидентах, анализируйте результаты расследований Используйте имеющиеся средства регистрации и анализа событий (журналы устройств и программного обеспечения) Внедряйте новые средства и системы, имеющие функции предупреждения и оповещения ПО антивирусной защиты и контроль приложений (белые списки) Системы обнаружения подозрительной активности (network, host IDS) Security information and event management (SIEM) Приманки-ловушки (honeypot)

Действуйте! Используйте доступные меры: от простого к сложного Усиленная аутентификации «Белые списки» приложений и ПО антивирусной защиты Защита периметра и сегментация Защита удаленного доступа Архитектурные решения Помните! Затраты на внедрение решений ИБ не должны превышать выгоду от автоматизации, иначе лучше жить в каменном веке ручного управления!

Усиленная аутентификация Наш опыт в проведении аудитов и тестов на проникновение привел к следующим выводам: Почти все АРМы и серверы доступны из корпоративной сети Даже, если технологическая сеть изолирована, есть USB На одном обследуемом объекте системный блок АРМа был закрыт в тумбочке на ключ Почти везде есть удаленный доступ к АРМ (RDP, Radmin) Даже, если удаленный доступ закрыт, уязвимости используемых не обновляемых версий ОС Windows позволяет его получить Везде используются слабые пароли (3-4 символа, максимум 6, стикеры с паролями на столах дежурного персонала) Хеши таких паролей подбираются максимум за сутки Все пароли из 6 символов были паролями «по умолчанию» и присутствовали в проектной и технической документации производителя

Успешная атака на АРМ дежурного подстанции

Пароль на столе дежурного Курьезный случай: При проникновении на АРМ с Windows 7 было обнаружено, что пользователь использовал при аутентификации встроенную возможность ОС для подсказки пароля. Подсказка содержала … Пароль! Пароль

Усиленная аутентификация (вариант 1) Решение для АРМ АСУТП Ревизия и смена паролей для всех учетных записей SmartCard считыватель с функцией эмуляции клавиатуры Программатор и карточки SmartCard Пароль вводится при поднесении карточки к считывателю (курсор должен быть в поле ввода пароля) И уровень защиты повышен и оператору удобно!

Усиленная аутентификация (вариант 2) Драйвер Коннектор Приложение

Усиленная аутентификация Плюсы Применение сложных паролей, которые намного труднее подглядеть, запомнить или подобрать (повышение уровня защищенности) Удобнее чем вводить пароль с клавиатуры, даже если пароль «111» (повышение эргономичности рабочего места) Возможность определения признака «внутренний/внешний» при помощи журналов (расследование инцидентов)

ПО антивирусной защиты Оценка необходимости ПО антивирусной защиты Плюсы Вредоносное ПО все-таки проникает в АСУТП и с ним необходимо бороться Индикатор возможных угроз, требующих дальнейшего внимания и расследования Минусы Низкая эффективность противодействия уникальному и ранее неизвестному вредоносному ПО (0-day уязвимости)

«Белые списки» приложений Решения McAfee, Kaspersky Lab Плюсы Фильтрация по принципу: запрещено все кроме того, что разрешено В настоящее время это решение активно внедряется в АСУТП за рубежом

Защита периметра и сегментация Подход на основе «зон» и «каналов» изложен в ANSI/ISA-99

Защищенный удаленный доступ Современный подход к организации обслуживания и эксплуатации требует наличия удаленного доступа Активно используются (через Интернет и Интранет): Доступ с использованием веб-технологий (к прикладному ПО) Терминальный доступ (к активным сетевым компонентам, серверам, АРМ и прикладному ПО) VPN доступ (в технологическую сеть) Dial-Up доступ (к отдельным устройствам по коммутируемым каналам связи) Там где это возможно, доступ должен предоставляться по запросу на время необходимое для проведения работ. Затем доступ должен быть закрыт.

Решения на рынке Проведенные нами исследования показали, что на мировом рынке присутствует около 30 специализированных зарубежных решений и 3 российских, как для производителей, так и операторов АСУТП: Tofino, Wurdltech, Industrial Defender, Cisco, Waterfall, MatriconOPC, McAfee, EDF, Revere Security, Tenable Nessus, Canvas (SCADA+ Pack GLEG) и другие Станкоинформзащита, ОКБ САПР, MaxPatrol Ведутся активные работы по созданию новых решений (Kaspersky Lab). Наблюдается тенденция поглощения крупными вендорами АСУТП производителей защищенных решений для промышленных сетей Siemens и RuggedCom Belden/Hirschmann и Tofino Industrial Security

Заключение Еще раз: Готовьтесь к худшему! Будьте бдительны! Действуйте!

Спасибо за внимание ! , МОСКВА, Зеленоград, проезд 4806, д. 5 стр. 23 тел. (495) , факс (499) Руслан Стефанов Моб: