Захист АСУ ТП: чому це важливо зараз і як впровадити надійне рішення

Мене звуть Філіп Хмельов, я — Senior Sales Engineer у компанії BAKOTECH, і сьогодні я розповім вам про те, до чого призводять атаки на автоматизовані системи управління технологічним процесом, чому важливо вміти їх відбивати, і головне — як правильно це зробити, не порушуючи технологічний процес.

Забігаючи наперед, ще й познайомлю вас з можливостями та практикою застосування рішення Nozomi Networks для цих задач. Але почнімо з початку.

Існує поширена думка, що в ізольованому середовищі ніхто не може нас атакувати. Насправді ж, автоматизовані системи управління технологічним процесом (АСУ ТП), навіть перебуваючи в ізольованій мережі, так само є дуже беззахисними перед різноманіттям ландшафту сучасних загроз.

Приклади атак на АСУ ТП та їх наслідки

Stuxnet

Однією з перших атак, що дала поштовх розвитку захисту АСУ ТП, була атака Stuxnet. Якщо ви читаєте цю статтю, то, швидше за все, знаєте, про що мова. Для тих, хто не в курсі, коротко поясню: це черв’як, за допомогою якого було здійснено атаку на об’єкти ядерної промисловості Ірану. Внаслідок цієї атаки було суттєво порушено процес збагачення урану і це, своєю чергою, загальмувало розвиток програми приблизно на 2 роки.

Факт у тому, що атака відбулася якраз в ізольованому середовищі — за однією з версій, інсайдер просто заніс на флешці черв’як, який поширився і знайшов цільову систему для злому. Згодом він захопив управління над центрифугами для збагачення урану і привів їх у неробочий стан. Сталося це далекого 2010 року.

Colonial Pipeline

Є й свіжіші приклади — торішня атака на Colonial Pipeline, яка стала найбільшою атакою на АСУ ТП у США. Colonial Pipeline — це один із найбільших нафтопроводів на території США, який тягнеться через кілька штатів і качає нафту через пів країни.

Одна з версій свідчить, що ця атака — результат компрометації облікових даних, які невідомо як потрапили «не в ті руки». Компанія FireEye проводила розслідування і заявила, що ніяких фішингових атак або зломів не відбувалося — скоріш за все, пароль був загублений давно і злитий кудись у даркнет.

Як виявилося, до атаки причетне злочинне угруповання DarkSide. Це організована група хакерів, яка створила своєрідну бізнес-модель Ransomware-as-a-Service, тобто хакери DarkSide розробляють та продають інструменти злому програм-вимагачів зацікавленим особам, які потім проводять атаки. І тепер ми живемо у світі, де не треба бути хакером, щоби щось зламати — достатньо мати гроші, а спеціально навчені люди все зроблять «під ключ».

DarkSide, потрапляючи в систему, насамперед проводив комплексний аналіз середовища, в якому виявився: перевіряв дані, IP-адреси і навіть мову системи, щоб унеможливити попадання до Європи чи СНД.

Коли він знайшов цільову систему, просто зашифрував окремі її частини, щоб вона працювала, але нічого не можна було зробити. Система видавала вікно з інструкціями щодо сплати викупу, сума якого становила $5 млн у перерахунку на біткоїни.

Власне, це й зробили, щоб повернути контроль над нафтопроводом — у кількох штатах виникли великі пробки біля АЗС, які паралізували деякі залежні галузі інфраструктури. Наприклад, одна з авіакомпаній навіть скоротила кількість рейсів, тому що банально виник дефіцит авіапалива.

Є думка, що це — поодинокі атаки. Але насправді з 2010 року на АСУ ТП їх сталося чимало. Ось лише деякі з них:

Чому ж атаки на АСУ ТП почастішали

Є три головні причини, чому атаки на АСУ ТП набирають обертів за останнє десятиліття:

  • Зближення IT та OT. Інтеграція IT/OT — світова тенденція. Багато рішень з IT можуть значно допомогти в OT-середовищі — різні системи моніторингу, оркестрації та інші все частіше доповнюються даними з ОT, надаючи повнішу картину того, що відбувається. Рішення стають універсальнішими, з’являється загальна стандартизація, нові протоколи, інтернет речей.
  • Висока мотивація. Політичні мотиви та конкуренція у бізнесі народжують ринок зацікавлених замовників, а виконавці були завжди. Хакерська атака стає непоганою зброєю на політичній арені — навіщо воювати і привертати до себе увагу світової громадськості, якщо можна тихо обрубати ворогові ресурсний потенціал і загнати країну мало не в кам’яний вік?
  • Слабка захищеність АСУ ТП. У всьому світі АСУ ТП не пов’язані з проривними здобутками та передовими технологіями. Дуже часто все відбувається навпаки — це старі системи та потужності, що працюють на операційних системах на кшталт Windows XP або Windows 2000. Я колись сам працював на заводі, ми мали чудове обладнання, але працювало все це на застарілих ОС. Причина не лише в економії — оновлювати АСУ ТП дуже складно, для цього здебільшого потрібно зупиняти технологічний процес, а це не завжди можливо. Головний принцип захисту в АСУ ТП — активно не втручатися в роботу системи.

До останнього пункту варто додати, що АСУ ТП не можна захистити «класичними» рішеннями для IT. АСУ ТП працюють на інших протоколах, які найчастіше свої у кожного окремого виробника. Тому прості рішення типу IPS/IDS просто проаналізують індустріальний трафік і пропустять загрозу, а антивірус активно впливає на кінцеві системи, що може призвести до нестабільної роботі.

Варто зазначити, що й збитки також деформуються. Нещодавно сталася кібератака на лікарню, внаслідок якої відключили електрику. У лікарні знаходилася людина на системі штучного життєзабезпечення. Резервні генератори не впоралися із навантаженням, система відключилася і людина загинула.

Як працює спеціалізоване рішення на прикладі Nozomi Networks

Nozomi Networks — компанія, яка фокусно займається захистом АСУ ТП. Портфоліо продуктів виглядає так:

А тепер — по черзі

Guardian

Основний продукт. Серце, мозок та душа всієї системи. Guardian — це головний сенсор у системі, та її частина, яка відповідає за основне призначення — пасивний моніторинг АСУ ТП в реальному часі.

Може бути розгорнутий як на внутрішніх потужностях у вигляді віртуального пристрою, так і бути представленим у вигляді фізичного сервера від вендора. Це рішення закриває такі завдання, як виявлення активів та оцінка ризиків, виявлення аномалій та загроз, розслідування інцидентів та інші опції. Guardian — пасивний сенсор, який не втручається у роботу системи.

Однією з ключових особливостей будь-якого рішення для захисту АСУ ТП — воно повинно мати режим навчання нормальній поведінці. Річ у тім, що в OT немає такого різноманіття процесів, як у IT — навпаки, там все дуже консервативно та циклічно, на цьому базується вся суть роботи АСУ ТП. Якщо режиму навчання немає, рішення не підходить для OT.

Як правило, одним Guardian’ом неможливо покрити всю топологію OT-мережі, тому нормальна практика використовувати кілька пристроїв Guardian, які можна об’єднати та підключити до центральної консолі.

Central Management Console (CMC)

Інструмент централізованого керування та моніторингу сенсорами Guardian. На відміну від багатьох інших вендорів, які займаються безпекою в АСУ ТП, центральна консоль у Nozomi — це інструмент агрегації готових даних з пристроїв Guardian, де й відбувається вся аналітика.

Один із варіантів використання консолі — каскадна модель. Це коли є кілька підприємств, наприклад, холдинг. У всіх підприємствах стоїть кілька сканерів, у кожному підприємстві є своя CMC. Але материнському підприємству (або центральному SOC) також потрібно отримувати дані з усіх підприємств.

На такий випадок можна зробити кілька шарів — підключити консолі на дочірніх підприємствах у таку консоль у материнській компанії, і отримувати дані централізовано з усього холдингу.

Smart Polling

Допоміжне рішення, яке дає змогу точково опитати пристрої в мережі. Рішення Nozomi працюють повністю в пасивному режимі, але часто замовники хочуть мати можливість отримати додаткову інформацію про пристрої, операційні системи, прошивки, програмне забезпечення.

Smart Polling не є активним сканером, але дозволяє точково опитати пристрої за певним протоколом і отримати інформацію, яка цікавить. Не замінюємо пасивне виявлення, а доповнюємо його.

Threat Intelligence

База сигнатур, загроз та маркерів компрометації. Поширюється за передплатою, оновлюється вендором. Threat Intelligence постійно збагачує сенсори Guardian новими даними, щоб рішення могло швидше і точніше виявляти загрози, що виникають, і реагувати на них.

Виявлення відхилень від норми, записаної в режимі навчання, — це, звичайно, добре, але необхідно розуміти, до чого веде те чи інше відхилення. Для цього існує Threat Intelligence. Схожий компонент є у будь-яких рішеннях, але важливо розуміти наповнення.

Містить у собі 4 механізми:

  1. Packet Rules — дозволяє заглянути всередину кожного пакета та визначити шкідливу мережну активність та аномалії, щоб збагатити та розширити перевірки, які вже виконуються для мережевого трафіку. Можна також створювати власні правила.
  2. Yara Rules — використовуються для виявлення передачі шкідливих файлів через мережу. Набір правил Yara надаються Nozomi і можуть бути розширені користувачем.
  3. Маркери компрометації, написані популярною мовою STIX. Вони надають інформацію про шкідливі домени, URL-адреси, IP-адреси і т.д. Оновлюються вендором, але є можливість написати і власні правила.
  4. База вразливостей, яка допомагає зрозуміти потенційні ризики у вашій інфраструктурі.

Asset Intelligence

Помічник, який доповнює режим навчання. Суть проста — вендор систематично додає інформацію про нормальну поведінку АСУ ТП залежно від виробника, та використовує її ще до того, як система навчилася.

Наприклад: у нього закладена інформація про те, що обладнання Siemens має працювати за протоколом Siemens S7, а в режимі навчання виявляється, що воно працює за іншим протоколом. Без Asset Intelligence будь-який режим навчання в будь-якому рішенні запише це як норму, але насправді це аномалія, яку система помітить і покаже.

Remote Collectors

Пристрій, призначений для моніторингу невеликих, але важливих сегментів, де нема потреби встановлювати сенсор Guardian. Буває так, що фізично немає можливості охопити деякі дрібні, але важливі частини АСУ ТП за допомогою повноцінного сенсора Guardian.

Наприклад: є підстанція, на якій лише кілька пристроїв і невеликий обсяг трафіку в цьому сегменті мережі. Встановлювати туди цілий Guardian дорого та недоцільно. Натомість використовується колектор, який перенаправляє трафік з підстанції на сенсор і дозволяє розширити область покриття.

Vantage

SaaS-платформа. Працює у хмарі та не використовує ваші апаратні ресурси. Хмарна платформа, яка дозволяє заощаджувати ресурси і досить просто масштабувати пристрої у розрізі всього підприємства. Унікальне ліцензування передбачає покупку підписки на задану кількість ассетів, при цьому віртуальні пристрої Guardian не обмежуються за кількістю.

Платформа надає розширені можливості аналітики у межах великого підприємства, що дозволяє спростити роботу з величезною кількістю даних для користувача системи.

Приклад розгортання

Підсумовуючи все сказане вище, ось схема складання всіх елементів в єдину систему:

  1. Guardian як сенсор встановлюється у необхідний сегмент, де є індустріальний трафік.
  2. Колектор встановлюється в дрібніші сегменти та підключається до Guardian.
  3. Декілька Guardian підключаються до центральної консолі.
  4. Консоль підключається до головної консолі, якщо це потрібно.

Як уже говорилося, можна розгортати рішення як на своїх потужностях, так і використовувати передналаштовані сервери від вендора.

Причому техпідтримка на фізичне обладнання надається вендором — не потрібно бігати і шукати виробників, якщо потрібна допомога. Варіантів потужностей за кількістю трафіку та підключених пристроїв безліч — можна знайти рішення на будь-який смак.

Дуже важливий момент у тому, що Nozomi має цілу низку нативних інтеграцій. Наприклад, можна інтегрувати рішення з вашою SIEM-системою та збагатити її даними з OT. Також є можливість інтеграції з файрволами, причому Nozomi тут може виступати таким собі активним моніторингом, віддаючи команду на файрвол про блокування трафіку (звісно ж, якщо його можна блокувати).

Підсумуємо

Захист АСУ ТП є критично важливим, тому що атака на промислові об’єкти завдає більше збитків, ніж викрадення даних у бізнесу або впровадження ransomware в якийсь офіс.

Простій соцмереж або неробочий банкінг — це, звичайно, неприємно, але не зрівняється із ситуацією, коли цілі міста можуть опинитись бути без світла чи води, чи коли не можуть працювати цілі вузли інфраструктури, і це не кажучи про можливі техногенні катастрофи.

Компанія Nozomi Networks фокусно працює над захистом АСУ ТП, вони мають цілу лабораторію фахівців, яка займається оновленням сигнатур та дослідженням ландшафту загроз. Жодне рішення нічого не варте без належної професійної підтримки з боку вендора, яка допомагає вам йти в ногу з часом і не переживати за потенційне інтелектуальне відставання від зловмисників.

Сподобалась стаття? Натискай «Подобається» внизу. Це допоможе автору виграти подарунок у програмі #ПишуНаDOU

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

АСУ ТП на основе FPGA и нет проблем, вообще, совсем.
radiy.com

Підписатись на коментарі