Удаленный доступ, администраторы и АСУ ТП

Удаленный доступ, администраторы и АСУ ТП

Тотальная автоматизация технологических и бизнес-процессов предприятия не только применяется для улучшения и контроля производственных процессов,  но и часто является инструментом повышения эффективности бизнеса. Однако топ-менеджерам, которые вкладывают время и средства ради конкурентного преимущества, обещанное разработчиками ПО и средств АСУ ПТ, следует разобраться в рисках безопасности АСУ ТП.

 

 

 

1. Удаленный доступ и АСУ ТП

2. Доверяй администраторам, но проверяй

3. Как контролировать привилегированный доступ к АСУ ТП?

 

 

Удаленный доступ и АСУ ТП

В результате внедрения автоматизации технологический процесс промышленной компании напрямую зависит от  собственных или нанятых системных администраторов. Возможность автоматизированного управления сложными системами удобна и является результатом внедрения средств АСУ ТП. И как любое удобство, открывает возможность удаленного управления. Как результат, в промышленной сети регулярно находят SOHO маршрутизаторы или 3G-модемы, которые используются для удаленного администрирования. Кроме того, в России закрепилась практика, что производители технологического оборудования требуют удаленного доступа к своему оборудованию, чтобы обеспечить сопровождение. В итоге, масса затраченных сил, средств, время высококвалифицированных специалистов могут привести к тому, что предприятия фактически оказываются беззащитными перед атаками злоумышленников.

Хакеры спят и видят, как можно заработать на шантаже и вымогательстве, недобросовестные бизнесмены жаждут разорить зазевавшегося конкурента, террористы мечтают не просто разрушить сложное производство, но и добиться максимальное количество жертв. В качестве примера можно привести скоординированную целевую атаку хакеров на энергетические предприятия Украины, в результате которой несколько регионов этой страны остались без света. Атака была выполнена с помощью троянской программы, которая перехватила идентификационные данные администраторов. В дальнейшем хакеры дистанционно выключили электроэнергию на нескольких подстанциях и уничтожили прошивку контроллеров, через которые работали. Все это произошло благодаря возможностям удаленного доступа к технологическому оборудованию для привилегированных пользователей. Также не стоит забывать о нечистых на руку сотрудниках компаний, предоставляющих услуги ИТ-аутсорсинга.

Подобные случаи демонстрируют, что неосторожные, недостаточно квалифицированные сотрудники, а также – мотивированные злоумышленники, при использовании инфраструктуры предприятия в состоянии спровоцировать масштабные инциденты и аварии на производстве, вплоть до экологических катастроф и человеческих жертв, если речь идет об опасных объектах промышленности или энергетики. К счастью, пока до подобных трагедий атаки на АСУ ТП хакеры довести не смогли. Однако аудиторы, которые проверяют защищенность российских критически важных объектов, регулярно находят несанкционированно установленные 3G-модемы, домашние маршрутизаторы, пароли по умолчанию и другие проблемы безопасности.

Так в ходе исследования, проведенного Уральский Центр Систем Безопасности (УЦСБ), обнаружилось, что в 17% случаев был обнаружен удаленный доступ к технологической сети из общекорпоративной. Как правило, администраторы ИТ организовывали канал для удаленного управления компьютерами АСУ ТП. Доступ к пользовательскому интерфейсу самих АСУ ТП часто был защищён паролем, по которому ограничивался набор пунктов меню системы управления. Однако базовые операционные системы были установлены в основном с настройками по умолчанию, а встроенные в PLC механизмы защиты были отключены.

Таким образом, получив доступ к общекорпоративной сети атакуемого предприятия с значительной долей вероятности можно получить доступ и в технологическую сеть предприятия. При этом никакие действия административный аккаунтов отслеживаться и анализироваться не будут.

 

Доверяй, но проверяй

Нельзя сказать, что руководители компаний вовсе не понимают масштаба проблемы. Иногда они признают, что администраторам в случае небольшого сбоя в конфигурациях рабочих станций совсем не обязательно ехать на технологическую площадку. Кроме того, не все пользователи технологического оборудования достаточно квалифицированы, чтобы самостоятельно обслуживать промышленные устройства, а производители не могут держать своих специалистов на всех объектах клиентов. Удаленный доступ позволяет оптимизировать решение подобных задач, но его нужно правильно организовать.

Обескураживающими выглядят результаты исследования компании Positive Technologies, в ходе которого в 2015 году обнаружила более 146 тысяч компонентов SCADA, доступных напрямую из интернета. При этом лидером по числу доступных систем является США — там их было выявлено более 48 тысяч. В России также были обнаружены доступные из Сети компоненты SCADA — 1433 штуки, причем около 400 из них оказались уязвимыми к тем или иным типам известных атак. Конечно, часть из найденных компонентов являются демонстрационными системами, часть — ловушками для хакеров, но большинство из них, скорее всего, могут быть атакованы внешними нападающими. Таким образом, сам по себе удаленный доступ к компонентам АСУ ТП, вероятно, только усугубляет проблему безопасности.

Дело в том, что недостаточно просто взять и разрешить удаленный доступ — это не избавляет от ключевой проблемы: бесконтрольности ИТ-специалистов в пределах своих полномочий. Мало того, практика показывает, что в периоды экономической нестабильности и угрозы увольнения некоторые системные администраторы пытаются создать для себя некую «подушку безопасности»,  симулируя проблемы и «героически» их решая, доказывая тем самым свою нужность. А иные вступают в сговор (добровольно или под угрозой «коллег») и создают почву для шантажа собственного руководства.

«Поэтому в дополнение к существующим системам информационной безопасности всё чаще и чаще начинают применять системы контроля доступа внутренних и внешних поставщиков ИТ-услуг, владельцев учетных записей с расширенными правами и пользователей с повышенными рисками. Кроме того, при необходимости администратор может записывать рабочие сеансы для последующего просмотра с целью аудита, управления инцидентами, проведения расследований и т. д.», — объясняет Кирилл Викторов, директор по развитию компании «АйТи БАСТИОН».

В финансовой сфере уже давно такие стандарты, как PCI DSS или СТО БР ИББС, имеют ряд соответствующих пунктов. Аналогичные требования есть и для промышленных предприятий, относящихся к категории критически важных объектов. Речь идет о приказе ФСТЭК России №31 от 14 марта 2014 года «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Пока его положения являются  рекомендательными, но в случае принятия федерального закона о критической инфраструктуре, который уже несколько лет обсуждается Государственной Думой, ситуация может кардинальным образом измениться.

 

Как контролировать привилегированный доступ к АСУ ТП?

Как уже отмечалось, что-либо серьезно менять в архитектуре ИТ-систем АСУ ТП крайне болезненно. Дело в том, что в промышленных системах практически невозможно применение программных агентов, размещаемых в  технологической сети. Реализация поддержки всех протоколов, применяемых в АСУ ТП, также представляет определенную сложность. Межсетевые экраны, которые контролируют каналы для подключения к технологической сети, имеют свои особенности — они минимизируют задержки управляющих сигналов, что означает пониженные требования к безопасности. Иногда даже шифрование не используется, поскольку это может создать неприемлемые для управления АСУ ТП задержки. Такие ослабления компенсируются организационными мерами, но без поддержки технологий работают они не так эффективно.

Чтобы АСУ ТП могла соответствовать своему назначению, она должна работать в режиме реального времени и анализировать все команды, вводимые при сеансах  удаленного управления, и в случае обнаружения запрещенных команд отправлять соответствующее уведомление администратору безопасности. Крайне желателен функционал распознавания команд графического интерфейса для анализа  протоколов RDP и VNC в реальном времени, а также запись действий администратора в командной строке в видеофайл. Все это существенно упрощает выявление причин сбоев или инцидентов безопасности, а также помогает разобраться в случае сложных ошибок персонала.

Этим требованиям, например, отвечает решение компании «АйТи БАСТИОН», которое может работать в том числе и в промышленных системах. Решения рассматриваемого класса появились несколько лет назад в Западной Европе — там, где практически все крупные промышленные и энергетические корпорации массово используют услуги ИТ-аутсорсинга. Чтобы снизить риск неисполнения SLA и выявлять, по чьей вине произошли инциденты, необходимы были специализированные продукты для контроля действий внешних администраторов. А с ухудшением экономической ситуации возникла острая необходимость в контроле над собственными «обиженными» системными администраторами.

Одно из лучших решений в этом классе было разработано специалистами в рамках проекта, выполняемого для французского энергогиганта Total. Позже разработчики были выведены в отдельную компанию, получившую название WALLIX. В продукте Wallix AdminBastion реализован не просто контроль сеансов удаленного администрирования, но и строгая аутентификация администраторов, что важно для последующего расследования инцидентов. Существенное преимущество — продукт поддерживает технологические протоколы, которые не учтены в аналогичных продуктах других производителей.

Сейчас бренд WALLIX широко известен в нашей стране. В частности, компания «АйТи БАСТИОН» провела сертификацию продукта Wallix AdminBastion во ФСТЭК России  на соответствие ТУ и 4 уровню РД НДВ с предоставлением исходных кодов для анализа. Ориентируясь на потребности российских заказчиков и текущую геополитическую обстановку, компания «АйТи БАСТИОН»  перенесла функционал продукта на российскую операционную систему AstraLinux, в составе которой может поставляться заказчику. Новый продукт получил наименование «СКДПУ», производится на территории РФ с минимальной долей импортных комплектующих. Кроме того, продукт получил функционал контроля для сериальных интерфейсов взаимодействия. Таким образом, данный продукт может помочь предприятиям, эксплуатирующим критически важные объекты, реализовать требования приказа ФСТЭК России №31.

«На сегодняшний день  наша компания предлагает рынку решение СКДПУ, производящееся в России, которое в в настоящее время проходит сертификацию на отсутствие НДВ по 2-му уровню контроля. Как и предписывается законодательством, в нем используется лицензированное ядро WALLIX, которое не превышает 10% от общего программного кода. Всё остальное — отечественное», — утверждает Александр Новожилов, генеральный директор компании «АйТи БАСТИОН».

Решение может работать как программно-аппаратный комплекс внутри периметра безопасности или  виртуальный аплайнс. В обоих случаях решение легко устанавливается и помогает быстро выяснить, кто, где, когда и как использует то или иное устройство или систему. В следующем материале мы подробнее рассмотрим преимущества обоих подходов развертывания и технические особенности решения.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru