Постоянный читатель журнала Akyl—kenes мог заметить, что на страницах предыдущих номеров издания было опубликовано немало статей, которые были посвящены вопросам цифровизации, развития современных IT-технологий и кибербезопасности. В этой статье предлагается полезный кейс об опасных последствиях кибератак и о мерах противодействия им. Буквально 6 мая 2021 года, когда номер уходил в печать, стало известно об атаке хакеров, которые напали на главный нефтепровод США, снабжающий бензином обширный регион от Техаса до Нью-Йорка. В результате взлома сетей нефтепровода Colonial Pipeline преступники не только похитили 100 Гб корпоративных данных, но и полностью остановили работу трубы. Злоумышленники требуют выкуп, угрожая выложить в сеть все данные компании и держать все ее компьютеры заблокированными. История повторяется?
«За безопасность надо платить, а за ее отсутствие — расплачиваться».
CSAI Group
В понедельник около полуночи, 18 марта 2019 года, сотрудники одного из крупнейших в мире производителей алюминия, имеющего производственные мощности и офисы в сорока странах мира, заметили нарушения в работе своих систем. Были обнаружены сбои, вызванные массовым заражением систем шифровальщиком, которое очень быстро распространилось по объектам инфраструктуры. После того, как угроза была зафиксирована, служба безопасности компании запустила процесс изоляции. Но время было упущено, поскольку вирус настолько глубоко успел распространиться по всей инфраструктуре, что пришлось перевести часть производства в ручной режим управления. Другими словами, был произведен «откат» к процедурам, принятым до автоматизации всех производственных процессов.
Несколько часов спустя находящаяся в Норвегии компания Norsk Hydro подтвердила, что страдает от производственных сбоев в Европе и США. Как выяснилось, она стала объектом крупной атаки вымогательского программного обеспечения, которое вынудило компанию, пытающуюся противостоять атаке, тоже переключиться на ручные операции. Выкуп хакерам не был выплачен, но общий ущерб, понесенный вследствие атаки, был оценен в 52 млн долларов США. Эта атака оказала негативное влияние на производство алюминия во всем мире. К примеру, некоторое время после атаки прессование алюминиевых профилей функционировало на половину мощности.
Благо, компания Norsk Hydro не допустила заметных провалов в организации инфраструктуры и не остановило полностью производство, оперативно среагировав на атаку.
Несколько дней спустя две американские химические компании, Hexion и Momentive, также пострадали от кибератак, вынудившие их отключить свои IT-системы для предотвращения повторяющихся инцидентов. Считается, что за всеми тремя атаками стоит одна и та же программа-шифровальщик под названием LockerGoga.
Обзор
Для защиты среды критической инфраструктуры жизненно важно сохранять целостный взгляд и рассматривать каждую часть сети, как IT (информационные технологии), так и ОТ (операционные технологии), исследовать системы и процессы в каждой зоне, анализировать векторы атаки и риски, а также принять рекомендуемые меры безопасности.
Для этого в компании CSAI используется модель
Пердью (Purdue), которая была взята из модели эталонной архитектуры Purdue Enterprise (PERA). Принятая в отрасли эталонная модель показывает все виды взаимосвязи и взаимозависимости между основными компонентами типичной промышленной системы управления, разделяя архитектуру автоматизированной системы управления технологическим процессом (АСУТП) на три зоны и подразделяя эти же зоны на шесть уровней.
Модель Пердью
Двумя основными зонами являются корпоративная и производственная зоны, также называемые сетями IT и ОТ. В модели Пердью эти две основные зоны разделены третьей зоной, промышленной демилитаризованной зоной (DMZ), целью которой является предотвращение прямой связи между системами IT и OT. Эта мера добавляет уровень разделения к общей архитектуре, которая в случае воздействия на систему в демилитаризованной зоне, изолирует выявленное нарушение безопасности в этой же зоне. В результате обеспечивается непрерывная работа всех производственных процессов.
Зона №1: IT-зона
Уровень 5: корпоративная сеть
Технически не являющаяся частью АСУТП, зона сети предприятия полагается на связь с сетями АСУТП для получения данных, которые определяют бизнес-решения.
Уровень 4: системы бизнес-логистики
Системы планирования ресурсов предприятия (ERP) управляют бизнес-операциями производственного процесса. Они устанавливают основной̆ график производства, использование материалов, их поставку и контроль за уровнем запасов.
*Это IT-часть сети, где расположены пользователи, центр обработки данных и облачный доступ. К ней также относится та часть организации, где обнаружен взлом из Интернета.
Риски:
Инфраструктурные атаки являются актуальной и неизбежной угрозой для любой организации. Было установлено, что многие из недавних атак на сети OT и АСУТП были основаны на векторах IT-атак.
Зона №2: промышленная DMZ
Эта зона представлена зоной межсетевого взаимодействия между системами IT и OT. Она обычно содержит промежуточный узел для безопасного удаленного доступа к системам АСУТП.
*Как правило, эта часть сети используется для организации удаленного доступа технического персонала. Это могут быть подключения как сотрудников компании, так и входящие соединения, которые исходят от поставщика оборудования, используемого в сети OT.
Риски:
В некоторых случаях поставщики оборудования OT требуют прямого IP-подключения к оборудованию OT на первом и втором уровнях для обеспечения поддержки, мониторинга и обслуживания. Эти действия относятся к опасной практике, если в компании не принимаются должные меры безопасности для надлежащей проверки трафика. Если стандарты безопасности третьей стороны, подключающейся напрямую к среде OT, не соответствуют требованиям, то этот тип архитектуры может потенциально привести к заражению наиболее критической части сети.
Зона № 3: производственная зона
Уровень 3: производственные операционные системы
Назначением систем третьего уровня является управление производственными процессами для создания желаемых продуктов. Оно включает в себя управление партиями; системы управления производством/операциями; лабораторные и инженерные станции, системы технического обслуживания и управления производительностью; архивные хранилища данных и программное обеспечение промежуточного уровня.
*Шлюз безопасности на третьем уровне отделяет IT-часть от OT-части сети и микросегментирует сам третий уровень. Система управления предприятием, операторы и хранилище архивных данных должны работать в отдельных VLAN, а шлюз должен контролировать, кому и с кем разрешено обмениваться информацией.
Риски:
• Нежелательные модификации производственного процесса;
• Саботаж;
• Промышленный шпионаж;
• Непатентованные системы мониторинга;
• Недостаток информации о том, какое оборудование установлено и работает ли на нем уязвимое встроенное ПО.
Уровень 2: системы управления
Системы второго уровня контролируют, мониторят и управляют физическими процессами. Это включает в себя средства управления и ПО реального времени; распределенную систему управления (DCS), человеко-машинный интерфейс (HMI); программное обеспечение системы диспетчерского контроля и сбора данных (SCADA).
Уровень 1: интеллектуальные устройства
Системы первого уровня измеряют и управляют физическими процессами. Это включает в себя датчики процессов, анализаторы, исполнительные механизмы и соответствующее оборудование, такое как программируемые логические контроллеры (PLC), устройства связи с объектами (RTU) или интеллектуальные электронные устройства (IED).
*Связь между первым и вторым уровнями лежит в основе сети АСУТП. Именно здесь HMI и PLC обмениваются данными по протоколам SCADA, а технический трафик направляется в PLC. Предлагая решение для обеспечения безопасности, необходимо принимать во внимание проблемы задержки передачи данных, время безотказной работы производственного оборудования, текущие процессы и чувствительность к любым изменениям, которые могут повлиять на производство.
Риски:
• Нежелательные модификации производственного процесса;
• Саботаж;
• Промышленный шпионаж.
Уровень 0: физический̆ процесс
Системы нулевого уровня определяют реальные физические процессы.
*Здесь происходит физический процесс. Здесь расположены полевые устройства, которые связываются с интеллектуальными устройствами на первом уровне. Устройства на нулевом уровне не являются интеллектуальными, а полевые устройства могут быть представлены клапанами, датчиками, исполнительными механизмами и прочим оборудованием. Некоторые из них являются активными, как клапан, некоторые – пассивными, как датчик температуры или давления.
Риски: Нарушение или изменение физического процесса.
Реализованный кейс в Центральной Азии
В одной из крупных энергетических компаний, работающей в Казахстане, произведено внедрение анализатора сетевых аномалий в индустриальной сети совместными усилиями системного интегратора и компании CheckPoint. Данная система позволяет администратору информационной безопасности увидеть любые аномалии, которые происходят в SCADA-трафике даже на уровне контроллеров. Мы сможем увидеть, как атаки на промышленную сеть с помощью зловредного программного обеспечения, так и изменения значений в работе и любые отклонения от нормального состояния промышленного устройства.
Также система позволила заказчику заранее подготовить инфраструктуру к кибератаке, благодаря обнаружению случая сканирования его сети злоумышленником. Сканирование сети производится извне перед подготовкой к атаке и в процессе построения плана при каждой кибератаке. Благодаря внедрению анализатора аномалий Checkpoint заказчики явно экономят время на реагирование инцидентов и имеют общую консоль мониторинга угроз на каждом филиале и подстанции, использующих индустриальное оборудование, что, в свою очередь, позволяет предотвратить остановку процессов при кибератаке и избежать крупных финансовых затрат.
При этом клиенты данной системы отмечают огромную пользу от функционала данной системы, который с помощью искусственного интеллекта строит карту технологической сети и находит забытые или зловредные устройства в SCADA сети, на поиск которых у обычного IT-отдела ушли бы месяцы. В это время выполняется работа по выстраиванию IT-архитектуры, которая выполняется системой в течение первых десяти дней после подключения. В своем большинстве IT-специалисты не могут защитить то, чего не видят. Исследования показывают, что для обнаружения проведенных кибератак может понадобиться от нескольких месяцев до трех лет. Максимальный зафиксированный срок присутствия злоумышленников в закрытой системе составляет семь лет. Анализаторы аномалий сети CheckPoint позволяют моментально выявить зловредные действия в сети и обезвредить хакера.
5 ключевых выводов
1. Выстраивание правильной сегментации. Речь идет не о наличии множества различных VLAN и/или подсетей и включении маршрутизации между ними. Подразумевается наличие между сегментами правильных мер безопасности и их применении.
Технологии «песочницы» на периметре (уровень 5), включая проверку SSL/TLS. На внутренних сегментах (уровень 4 и ниже), как минимум, должны применяться межсетевой экран, IPS, использование идентификации и контроль приложений. «Песочница» крайне важна для защиты от атак «нулевого дня», распространенного вектора атак, используемых хакерами при нацеливании на критическую инфраструктуру.
2. Предотвращение угроз жизненно важно. Их обнаружение всего лишь информирует пользователей, когда ущерб уже фактически нанесен.
3. Программный модуль IPS содержит несколько сигнатур, специально предназначенных для защиты сред АСУТП. По возможности, включив IPS в режиме предотвращения, необходимо отслеживать оповещения от этих сигнатур.
4. Контроль приложений поддерживает несколько протоколов SCADA вплоть до командного уровня и даже уровня параметров. Это позволяет создавать политику безопасности, которая разрешает отправку только определенных команд на PLC и запрещает все остальное.
5. Наличие полной картины происходящего является ключом к безопасности. Необходимо убедиться, что у IT-специалистов имеется достаточно средств для мониторинга окружающей среды. Такие инструменты, как SmartEvent, Claroty SPA и специальный SIEM, могут раскрыть много информации, которая, в противном случае, может остаться незамеченной.
CSAI Group является признанным лидером в IT-отрасли и системным интегратором решений промышленной кибербезопасности в Казахстане. Компания обладает достаточной компетенцией и ресурсами, чтобы оказать всестороннюю помощь организациям, бесплатно обследовать индустриальные сети, просчитать проект по внедрению системы кибербезопасности SCADA, провести работы по внедрению и осуществлять техническую локальную поддержку на всех уровнях. Своевременно принятые меры по IT-безопасности поможет компаниям сохранить финансы и не позволить злоумышленникам нанести вред имеющейся инфраструктуре.