В этом году исполняется 10 лет со дня обнаружения Stuxnet. Вредоносный компьютерный червь попал в заголовки по той причине, что целился в системы диспетчерского контроля и сбора данных (SCADA).
Код Stuxnet, обширный и изощренный, размером более 500 килобайт, сумел проникнуть в устройства и сети Windows, несколько раз копируя себя, прежде чем искать дополнительное программное обеспечение. Он был нацелен на программируемые логические контроллеры (ПЛК), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования.
Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями (OT). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету, что делает их более уязвимыми для атак киберпреступников, государств и хакеров. Фактически, согласно исследованию Fortinet «State of Operational Technology and Cybersecurity Report», 74% организаций, использующих OT, в последние 12 месяцев сталкивались с заражением вредоносным ПО, которое наносило ущерб производительности, доходам, доверию к бренду, интеллектуальной собственности и физической безопасности.
Наиболее значительные атаки на OT-среды и ICS
Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие, мы можем увидеть, насколько далеко продвинулись технологические возможности преступников. Однако, возможно, еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре, но и физической, негативно влияя на отдельных сотрудников и целые компании. Stuxnet, пожалуй, один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру.
Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие, а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры.
2011: Duqu
Венгерские исследователи в области кибербезопасности обнаружили вредоносное ПО, идентифицированное как Duqu, которое по структуре и дизайну очень напоминало Stuxnet. Duqu был разработан для кражи информации путем маскировки передачи данных под обычный HTTP-трафик и передачи поддельных файлов JPG. Ключевым выводом из открытия Duqu стало понимание важности разведывательной работы для преступников — часто вредоносный код для кражи информации является первой киберугрозой из запланированной серии дополнительных атак.
2013: Havex
Havex — это достаточно известный троян для удаленного доступа (Remote Access Trojan —RAT), впервые обнаруженный в 2013 году. Havex, относящийся к группе угроз GRIZZLY STEPPE, предназначается для систем ICS и связывается с сервером C2, который может развертывать модульные полезные нагрузки.
Его специфическая для ICS целевая нагрузка собирала информацию о сервере для открытой платформы связи (OPC), включая CLSID, имя сервера, идентификатор программы, версию OPC, информацию о поставщике, состояние выполнения, количество групп и пропускную способность сервера, а также была способна подсчитывать теги OPC. Взаимодействуя с инфраструктурой C2, вредоносное ПО Havex представляло значительную угрозу в контексте своей способности отправлять инструкции, которые предоставляют расширенные и неизвестные возможности вредоносному ПО.
2015: BlackEnergy
В 2015 году было обнаружено, что вредоносное ПО BlackEnergy применялось для использования макросов в документах Microsoft Excel. Вредоносная программа проникала в сети через фишинговые электронные письма, отправленные сотрудникам. Хотя тактика, использованная этими злоумышленниками, была относительно простой, событие доказало, что киберпреступники действительно могут манипулировать критически важной инфраструктурой в больших масштабах.
2017: TRITON
Вредоносная программа TRITON, обнаруженная в 2017 году, была нацелена на системы промышленной безопасности. В частности, оно преследовало систему средств инструментальной безопасности (SIS), модифицируя встроенные в память прошивки для добавляя вредоносный функционал. Это позволило злоумышленникам читать или изменять содержимое памяти и активировать собственный код, наряду с дополнительным программированием безопасного отключения, блокирования или изменения способности промышленного процесса к отказу. TRITON — первое известное вредоносное программное обеспечение, специально разработанное для атаки на системы промышленной безопасности, защищающие человеческие жизни.
Данные исследования Fortinet State of Operational Technology and Cybersecurity Report:
- 74% опрошенных организаций отметили, что за последние 12 месяцев их OT-среды подвергались атакам, повлекшим за собой потерю данных, нарушение деятельности или/и нанесшим ущерб репутации бренда;
- 78% опрошенных компаний ограничили централизацию видимости кибербезопасности;
- 64% затрудняются успевать за изменениями;
- 62% увеличивают бюджеты на обеспечение кибербезопасности.
Решение проблем безопасности ICS / SCADA
ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств, систем, элементов управления и сетей, которые управляют производственными процессами. Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS).
Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности, а вот безопасность OT является несколько новой территорией. С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили «воздушный зазор», который защищал их системы OT от хакеров и вредоносных программ. В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации, прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры. Отчасти это происходит потому, что существующие вредоносные программы эффективно работают против устаревших систем, развернутых в сетях OT, которые, вероятно, не были исправлены или обновлены, учитывая отсутствие дополнительных ресурсов на доработку.
Ряд вызовов сыграли свою роль в эволюции кибератак, которые влияли на системы ОТ на протяжении многих лет. Среди них:
- недостаточность инвентаризации устройств OT. Организации не могут защитить активы — будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой;
- недостаточность удаленного доступа к сети. Большинство технологий, лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и протоколах связи;
- устаревшее аппаратное и программное обеспечение. Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы, которые несовместимы или слишком деликатны для поддержки современных технологий защиты. Часто такое оборудование развернуто в средах, где системы не могут быть отключены для исправления или обновления;
- плохая сегментация сети. Среды OT, как правило, функционируют используя установки полного доверия, такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты, ограничивающие данные и приложения, которые могут мигрировать из одного сегмента в другой, в ICS в целом используется не очень часто;
- ограниченный контроль доступа и управление разрешениями. Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными, элементы управления и процессы, которые предписывали доступ, часто становятся запутанными.
К счастью, риски, которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и, как следствие, более приоритетными для многих крупных организаций. Правительственные органы, включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team — ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure — CPNI) в Великобритании, в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.
Международное общество автоматизации (International Society of Automation — ISA) также разработало стандарты, основанные на фреймворке «зон и каналов» (zones and conduits), которая устраняет наиболее острые недостатки безопасности сети ICS и предоставляет рекомендации по улучшению управления. Аналогичным образом, некоммерческая организация ICS-ISAC сосредоточена на обмене знаниями о рисках, угрозах и передовых практиках, чтобы помочь предприятиям развить ситуационную осведомленность для поддержки местной, национальной и международной безопасности.
В связи с потенциальными последствиями атаки для физической безопасности сотрудников, клиентов и сообществ, безопасности ICS/SCADA следует уделять первоочередное внимание. Это также означает, что нельзя игнорировать соблюдение нормативных требований. К счастью, применяя многоуровневый подход к безопасности цифровых промышленных систем, организации могут значительно улучшить свою общую защищенность и стратегию снижения рисков.