Атаки на АСУ ТП

Главные вкладки

В последние несколько десятилетий наметились тенденции к автоматизации процессов производства. На многих предприятиях внедряются автоматизированные средства управления (АСУ) операциями производственного цикла, технического процесса (ТП). Это влечет за собой значительное увеличение объемов обрабатываемой информации.

С развитием технологий АСУ ТП постепенно преобразовались из закрытых управляющих устройств в многоуровневые промышленные сети на базе стандартных сетевых протоколов, которые имеют множество сходных признаков с активно используемыми корпоративными сетями. К сожалению, это касается и уязвимостей, которые тесно связаны с угрозами кибербезопасности. Эти сети подвержены заражению компьютерными вирусами, взлому, выводу из строя ПО и другим видам внешнего воздействия. Это оказывает существенное влияние на производственные процессы, и с каждым годом количество подобных инцидентов увеличивается.

Классификация и способы атак на АСУ ТП

Кто и зачем вмешивается в технологические процессы?

Специалисты по информационной безопасности выделяют несколько типов нарушителей для АСУ:

  • Враждебные государства проводят атаки на АСУ ТП
  • Террористические организации
  • Промышленные шпионы и представители ОПГ
  • Хактивисты

Действия киберподразделений силовых структур враждебных государств направлены на нарушения функционирования объектов инфраструктуры, что может привести к разрушениям и человеческим жертвам. Данный вид атак является одним из наиболее опасных при кибервойнах. Специалисты полагают, что в ближайшие годы этот вид будет наиболее распространенным. Человечество уже видело применение этого типа атак на практике: так называемая операция Stuxnet, в ходе которой ЦРУ взрывало иранские заводы по производству оружейного урана с помощью компьютерного вируса.

Атаки на АСУ ТП

Основной целью террористов является возникновение паники среди населения. Поскольку традиционные теракты имеют больший резонанс в обществе, чем проведение кибератак, такой вид воздействия в ближайшем будущем вряд ли будет часто встречаться.

Промышленные шпионы и представители ОПГ проводят атаки для получения прибыли. Их действия приводят к подрыву инфраструктуры, что обычно выгодно конкурентам, а также к нарушению сохранности данных.

Хактивистами являются настроенные против государства люди. Их акции редко наносят существенный урон и используются в основном для донесения нарушителями собственных политических взглядов.

Наибольший ущерб промышленной инфраструктуре наносят действия хакеров ввиду многочисленности данной группы. Эти операции преследуют различные цели: от выявления уязвимостей для их последующего устранения до манипулирования приборами учёта с целью воровства готовой продукции.

Существует еще одна категория нарушителей, которые имеют доступ к оборудованию, что упрощает процесс нарушения информационной безопасности. Это проявившие служебную халатность или обиженные на начальство сотрудники и инсайдеры, специально внедренные в производственные компании. Известны случаи, когда сотрудники играли в компьютерные игры или смотрели видео на рабочем оборудовании, настраивали выход в Интернет и подключали в сеть личные устройства.

Основные методы, как выполняются атаки на АСУ ТП

  1. Самый распространенный способ – непосредственная отправка команд оборудованию. Его простота объясняется тем, что большая часть используемого в промышленности софта не требует идентификации пользователя. Злоумышленникам достаточно проникнуть в технологическую сеть предприятия и установить связь с нужным объектом.
  2. С помощью специальных утилит преступники могут перехватить управляющий экран. В этом случае все совершаемые ими движения курсора будут видны оператору, а сами злоумышленники будут ограничены правами активного пользователя.
  3. В некоторых случаях внесение правок в базу данных позволяет также изменить и связанные с ней объекты.
  4. Технология Man-in-the-Middle используется, когда злоумышленникам известны параметры функционирования. В этом случае они могут менять информацию на главном экране и получить полный контроль над любой системой.
  5. Взлом датчиков производства и подача на них неправильных данных для препятствия правильной работе оборудования.


Цели атак на АСУ ТП

Объектом несанкционированного доступа в технологическую сеть может стать любое предприятие или его структурное подразделение. Средства для проведения подобных атак подбираются с учетом особенностей атакуемых систем и обычно имеют узкоспециализированное действие. Практика показывает, что злоумышленники имеют оборудование и ПО для проведения целевых атак, при этом возможно одновременное воздействие на различные блоки и комбинирование специально созданных и общедоступных средств.

Стандартная АСУ ТП обычно состоит из двух или трех сетевых уровней. Многие предприятия используют среду для управления производственными процессами, которая встраивается в единую корпоративную ЛВС с подразделениями, управляющими финансовой и организационной деятельностью компании. Нередки случаи, когда к локальной технологической сети подключены отделы снабжения и продаж.

Сами АСУ ТП на верхнем уровне имеют станции инженеров и операторов, а также серверы. На среднем уровне расположены программируемые контроллеры, а на нижнем находятся исполнительные механизмы и подключенные непосредственно к оборудованию датчики. Связь между различными уровнями обеспечивается коммутационными узлами, а доступ к датчикам осуществляется через полевые шины по специальным протоколам: Modbus, Profibus, Foundation Fieldbus, DeviceNet, HART и множество других. Обычно их разработчики не предусматривают установку дополнительных средств защиты. Зачастую на верхних уровнях архитектуры используются IP и Ethernet сети, а промышленные устройства снабжаются стандартными портами и используют общие протоколы.

Вероятнее всего, атаки будут направлены на отрасли, где перебои в работе компонентов могут привести к наибольшему ущербу и человеческим жертвам. Это предприятия ТЭК и энергетические компании, транспорт, нарушение деятельности которых имеет экономические последствия и может спровоцировать катастрофу в гуманитарной или экологической сфере. Также в зоне риска находится транспортная инфраструктура.

Источник атак на АСУ ТП

Эксперты выделяют следующие пути проникновения злоумышленников в закрытые АСУ.

  • Открытые двери. Большинство АСУ производством, транспортом и энергоснабжением можно обнаружить в Интернете, воспользовавшись стандартными поисковиками. Исследователи обнаружили в открытом доступе более 140 тысяч компонентов АСУ ТП. Это позволяет преступникам изучать их и использовать для взлома методы, которые изначально не рассматривались как источники угрозы.
  • Один ключ на все замки. Количество использующих АСУ организаций постоянно увеличивается при практически неизменном числе разработчиков промышленного ПО. Одна и та же платформа может использоваться в несвязанных между собой отраслях. Известен случай, когда уязвимость была обнаружена в обслуживающих большой адронный коллайдер, атомные электростанции, аэропорты и железнодорожные станции, трубопроводы и химические заводы в разных странах системах. Однажды обнаруженная уязвимость дает возможность атаковать различные объекты по всему миру.
  • Несоответствие технологий защиты растущему уровню угроз. Базовые компоненты устаревают и обновляются недостаточно часто, что ведет к сохранению уязвимостей в течение нескольких лет. А развитие автоматизированных средств облегчает работу хакеров.
  • Термин АСУ ТП возник в 80-у годы XX века, когда автоматизация начала проводиться на крупных предприятиях. Со временем компьютеризированные устройства для управления жизнеобеспечением и распределением электроэнергии развивались по пути уменьшения компонентов и удешевления их изготовления. Это привело к повсеместному их использованию в бытовых целях. Производители технически не в состоянии обеспечить должный уровень безопасности своих разработок, так как большая часть аналогичных гаджетов доступна через Интернет.

Анализ риска

Исследования показывают, что для обнаружения проведенных кибератак может понадобиться от нескольких месяцев до трех лет (см. например исследование Positive Technologies). Максимальный зафиксированный срок присутствия злоумышленников в закрытой системе составляет 7 лет. Через 10-14 дней после проникновения обнаружить взломанные компоненты становится сложнее, так как преступники начинают применять действующие учетные записи и штатные средства администрирования. Установленные системы защиты могут идентифицировать произошедшее как вирусную атаку, для устранения которой выполняют проверку антивирусами, форматируют жесткие диски и переустанавливают ОС. Это приводит к уничтожению доказательств атаки, которые могли бы помочь в дальнейшем.

АСУ ТП работают по специальным сетевым стандартам и должны обеспечивать непрерывность производственного цикла, что делает невозможным остановку технологического процесса для сбора и анализа полученных данных. Для обеспечения их безопасности необходимо учитывать специфику функционирования конкретного предприятия и применять комплексный подход для противодействия угрозам.

Системы ИБ должны отвечать требованиям:

  • максимально подробно выполнять анализ уязвимостей всех компонентов системы с помощью контроля сетевых соединений (межсетевой экран, IDS/IPS), используемых программ (антивирус), передаваемых через периметр файлов (шлюзовой антивирус с песочницей, DLP) и действий пользователей (контроль привилегированных пользователей);
  • выявлять многоступенчатые таргетированные атаки;
  • предоставлять информацию в удобном виде для специалистов по безопасности и в области автоматизации;
  • учитывать особенности исследуемой системы, не влиять на ее работу в процессе проверки.