Риск реален: атаки на OT-инфраструктуру

Риск реален: атаки на OT-инфраструктуру

Раньше многие считали, что атаки на изолированную OT-инфраструктуру (Operational Technology) на практике невозможны, поскольку всё работает в специальной сети, отделённой от корпоративной среды и интернета. Однако вредоносные программы Stuxnet, NotPetya, Triton (Trisis) и Snake (Ekans) поменяли представление специалистов об этом. Мы оценим риски для сетей ОТ и проанализируем методы защиты.

 

 

 

 

  1. Введение
  2. Роль "воздушного зазора" в безопасности OT
  3. Риски и смысл конвергенции IT—OT
  4. Ключевые методы защиты OT
  5. Выводы

 

Введение

Операционные технологии, или ОТ, являются критически важным сегментом сети, используемым предприятиями, которые производят товары или занимаются физическими процессами. Такие отрасли, как производство, химическая, нефтегазовая и горнодобывающая промышленности, транспортная и логистическая сферы, используют специализированные технологии для управления объектами: сборочными и производственными площадками, энергосистемами. Контроль, мониторинг и управление в соответствующей области были постепенно автоматизированы за последние несколько десятилетий, и специализированные комплексы, которые решают эти задачи, представлены промышленными системами управления (АСУ ТП), диспетчерского контроля и сбора данных (SCADA) или просто OT.

Сети, в которых они работают, традиционно были отделены от корпоративной среды информационных технологий (IT) и от интернета, часто отграничены «воздушной прослойкой». Они обычно управляются оперативным персоналом, а не IT-специалистами — и не зря. Производственные мощности могут приносить компании миллионы долларов в час, а для обычных граждан инфраструктура, обеспечивающая чистую воду и энергию, попросту жизненно важна. Когда эти системы выходят из строя даже на несколько минут, это может принести сотни тысяч долларов убытка и даже подвергать риску работников и живущих поблизости людей.

Проще говоря, IT — это управление данными, а ОТ — создание вещей. И поскольку системы OT были полностью изолированными, мир операционных технологий чувствовал себя невосприимчивым к взлому, который стал повседневным фактом для IT-сред.

Но недавние атаки на ОТ изменили привычный порядок вещей.

Количество кибератак в этих системах и в инфраструктурах ОТ в целом растёт, и они наносят реальный ущерб. Вероятно, первая такая атака произошла десять лет назад, когда червь Stuxnet поразил объекты иранской ядерной программы. Это была система с «воздушным зазором», то есть она не имела связи с внешними сетями, но, тем не менее, была взломана. В 2017 году активность вымогателя NotPetya прервала производство и закрыла офисы. В том же году вредоносная программа Trisis/Triton нанесла ущерб средствам безопасности в оборудовании для добычи нефти и газа. А в 2020 году появился шифровальщик Ekans (он же Snake), который специально предназначен для АСУ ТП.

 

Роль «воздушного зазора» в безопасности OT

Во-первых, «воздушный зазор» никогда не обеспечивал полной безопасности, хотя изоляция действительно усложняла взлом системы ОТ. Получение физического доступа всегда было возможным с помощью инструментов социальной инженерии, таких как оставление заражённой USB-флешки на парковке или уверенный проход на территорию организации под видом сотрудника.

Во-вторых, если вы думаете, что ваша OT-среда отделена «воздушной прослойкой», то вы, вероятно, ошибаетесь. Доступ для технического обслуживания к промышленным машинам, удалённое обновление инструментов АСУ ТП или встроенного ПО — всё это оставляет потенциальные уязвимости в среде OT, о которых вы, возможно, даже не подозреваете.

Но самое главное — то, что сети IT и OT объединяются, подвергая операционные технологии атакам через мир информационных. Объединение данных с производством позволяет компаниям быстрее реагировать на изменения рынка, удалённо управлять системами и контролировать их. Однако эти бизнес-преимущества сопряжены с реальными рисками. Разведывательные и загрузочные компоненты новых вредоносных программ, специально созданных для OT-оборудования, используют IT-среду и её сетевые соединения для получения доступа к промышленным системам управления.

Например, представители упоминавшегося выше семейства Trisis/Triton содержат компоненты, предназначенные непосредственно для систем мониторинга и обеспечения безопасности нефтехимических заводов. Такая атака направлена именно на ОТ. Но процессы, процедуры и методы, которые используются для проникновения в эти системы, являются не чем иным, как методами разведки и доставки из арсенала IT-кибератак.

 

Риски и смысл конвергенции IT—OT

Несмотря на дополнительный риск, конвергенция IT и ОТ всё же происходит — просто потому, что это имеет финансовый и операционный смысл. Операционные группы внедряют сложные системы управления, использующие программное обеспечение и базы данных, которые работают на IT-системах. Такие устройства, как термостаты и клапаны с поддержкой Wi-Fi, могут контролироваться и управляться удалённо через IT-инфраструктуру, а финансовому директору обычно не нравятся затраты на отдельные сети или отдельные группы, необходимые для их работы.

Объединение миров IT и OT обеспечивает большую эффективность процессов и бизнеса. Таким образом, конвергенция идёт, и мы должны признать, что она разнообразно увеличивает киберриски.

Во-первых, она расширяет то, что называется «поверхностью цифровых атак». Проще говоря, у взломщиков появляется гораздо больше устройств-мишеней. Число веб-серверов, филиалов, удалённых и домашних работников, устройств IoT стремительно растёт, и каждая из этих сущностей является потенциальной точкой входа в IT-сеть — а в конечном итоге и в вашу среду OT. Аналогичным образом многие системы OT, которые сейчас подключены к IT-сети, могут быть устаревшими и намного легче поддаваться взлому.

Мало того, киберкриминал изобретает всё более изощрённые способы реализовать угрозы. Подобно тому, как компании проходят через цифровые преобразования и разрабатывают универсальное программное обеспечение, злоумышленники применяют те же методы для создания очень сложных и универсальных вредоносных программ. В их атаках используются различные механизмы проникновения в IT-среду (и во всё большей степени — в среду OT), а также обхода средств защиты компании.

И если говорить об инструментах безопасности, то сейчас их накопилось так много, что управление угрозами в некоторых отношениях стало более трудным, чем когда-либо. Опросы показали, что у большинства крупных предприятий есть от 30 до 90 различных инструментов такого рода от почти всех поставщиков. Эти продукты имеют разные консоли управления и требуют обученного персонала, который бы в них разбирался. В слишком многих случаях у сотрудников службы безопасности нет времени, чтобы вникнуть в специфику работы каждого инструмента. Киберугрозы могут буквально затеряться в этой неразберихе.

И, наконец, нормативные акты, регулирующие борьбу с кибернарушениями и защиту личной информации, ещё больше усложнили процесс обеспечения безопасности для менеджеров IТ и ОТ. Существуют общие стандарты, такие как PCI DSS (Спецификация безопасности данных индустрии платёжных карт), GDPR (Общий регламент защиты данных) и NIST Cybersecurity Framework (Структура кибербезопасности от Национального института стандартов и технологий США), которые организация должна понимать и соблюдать. Существуют также отраслевые стандарты и нормативы от различных глобальных и местных регуляторов, таких как Международная организация по стандартизации (ISO) или Американский национальный институт стандартов (ANSI), которые определяют, как и где должны применяться защитные меры.

 

Ключевые методы защиты OT

Говоря прямо, ваша среда OT является привлекательной целью, и если она ещё не подверглась атаке, то это непременно произойдёт в будущем.

Во многих случаях, когда речь идёт об АСУ ТП или SCADA, наблюдается огромный дефицит инвестиций в безопасность. Причин для этого много, но независимо от них ситуация нуждается в исправлении. Неважно, объединяет ли ваша организация IT и OT: вы в любом случае должны защищать операционные технологии с помощью нескольких ключевых методов обеспечения безопасности, перечисленных далее.

  1. Признайте, что риск для вашей организации растёт, и принимайте меры.
  2. Установите инструменты, обеспечивающие широкий обзор сети OT, а также IТ. Это включает в себя обнаружение и инвентаризацию устройств, а также контроль доступа (в том числе — к приложениям и трафику) только для авторизованного персонала.
  3. Используйте стратегию сегментации. Внедряйте шлюзы со строгими политиками безопасности между средами IT и OT, а также между различными уровнями вашей сети OT. Цель состоит в том, чтобы каждая система и подсистема выполняла только свою работу. Сегментация предотвращает распространение атаки из одного места по всей системе.
  4. Замените открытую модель доступа на основе доверия стратегией доступа с нулевым доверием. Установите элементы управления доступом, которые аутентифицируют пользователей, позволяют им взаимодействовать только с теми системами, которые им необходимы для выполнения своей работы, а затем контролируют их при подключении к сети. Такой принцип должен соблюдаться для всех субъектов, но особенно важно применять его для подрядчиков и поставщиков.
  5. Используйте автоматизацию, помогающую анализировать действия и ускоряющую вашу реакцию. Внедрите инструменты для регистрации активности, аналитику для поиска ненормального поведения в журналах и системы безопасности, которые могут реагировать на обнаруженную угрозу. Учитывая скорость, с которой могут происходить современные атаки, автоматизация и оркестровка необходимы для выявления угроз и принятия мер в считаные секунды.
  6. Организуйте процессы аудита и тестирования систем в случае взлома и создайте правила для резервного копирования и восстановления.

Ничто и никто не может гарантировать, что никакая атака никогда не пройдёт через вашу защиту. Но без эффективной стратегии вы обязательно будете атакованы и пострадаете.

Существует множество инструментов, предназначенных для защиты ваших IТ и ОТ от различных типов атак и на разных стадиях проникновения. Ищите интегрированный набор инструментов (будь то программное обеспечение, аппаратное или оба сразу) — особенно тех, которые предназначены для решения уникальных задач сред OT. Такой подход будет наиболее надёжным.

Инструменты защиты, которые могут обмениваться информацией об угрозах, координировать ответ и управляться как единое целое, упростят вашу безопасность, в то же время не ставя её под угрозу. Хорошим примером является Fortinet Security Fabric — открытая экосистема со множеством поставщиков, разработанная для реализации преимуществ режима целостной безопасности.

 

Выводы

Времена иллюзий давно прошли, теперь специалистам и OT-операторам приходится сталкиваться с реальными киберугрозами. С другой стороны, здесь есть возможность проявить себя, максимально защитив свою организацию от атак вредоносных объектов вроде Stuxnet. Для этого придётся проанализировать риски и обратить внимание на перечисленные в нашем материале нюансы, но результат будет того стоить.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru