Безопасность промышленных предприятий в реалиях кибератак


Г. Шахновский, Н. Зейналов, Д. Хаит
Когда мы слышим о "кибератаках" или "компьютерной безопасности", нам представляются вирусы на нашем персональном компьютере, или хакеры, пытающиеся проникнуть на наш корпоративный сервер или Web-сайт. Эти проблемы кажутся нам далекими от производственных процессов, поскольку ассоциируются со связью в Интернете.

Мы уверены, что наши системы не связаны напрямую с Интернетом, и не допускаем мысли, что какие-либо вирусы или хакеры каким-либо образом проникнут в наши важнейшие системы управления производством, трубопроводами или нефтепереработкой. Мы в значительной степени уверены, что все неприятности, происходящие через Интернет, не побеспокоят нас.

Также думали и операторы по бурению нефти в Аляске до холодной январской ночи 2003 года. Сначала операторы заметили, что они периодически теряют связь между панелями управления и серверами АСУ-ТП, подключенными к буровым участкам. Потом они заметили, что контроллеры на буровых участках периодически выпадают из связи. В течение смены ситуация сильно осложнилась, и появилась вероятность отказа системы управления с последующей остановкой операций. Далее персонал IT доложил, что система автоматизации подверглась массивной вирусной атаке - пять операторских PC, прогонявших стандартную версию приложения базы данных, создали сильнейший поток трафика, который заблокировал все маршрутизаторы и коммутаторы во всей сети автоматизации. Послужившие причиной нарушения компьютеры были отключены, система автоматизации была отсоединена от корпоративной сети, и ситуацию удалось спасти. Производственные и буровые операции избежали прямого удара, ограничившись потерей текущих данных на несколько часов. Конечно, удар, пришедшийся на IT персонал, был значительный, поскольку отнял несколько дней на отслеживание и залатывание всех уязвимостей системы автоматизации. Но было ясно, что просто повезло, что система не подверглась полной атаке, т.к. во время атаки DCS управлялась запатентованной HMI не на базе Ethernet. Тем не менее, вскоре эту систему планировалось заменить системой на базе Ethernet, поэтому в следующий раз обстоятельства могли сложиться намного хуже.

Анализ системы защиты показал, что на системе был установлен хороший брандмауэр, но каким-то образом вирус его обошел. Вероятно, в руководствах брандмауэра произошел сбой конфигурации, но это также могло произойти по причине инфицирования портативного компьютера, подключенного к сети (несколькими месяцами позднее это произошло на нефтеперерабатывающем заводе в Луизиане). Вероятным виновником являлся модем дозвона.

Мы можем никогда не узнать, каким образом вирус проник в это оборудование, но это факт, что однажды вирус попал в систему, он нашел очень легкую цель и мог реально начать свою вредную деятельность. Коммутаторы, отделяющие систему автоматизации от корпоративной сети, не были рассчитаны на защиту систем управления от вирусов - они были предназначены для ограничения трансляций и упрощения управления сетью; компьютеры с уязвимым программным обеспечением подвержены инфицированию.

Практика показывает, что IT Безопасность не является безопасностью Системы Управления. Независимо от того, каким путем вирус проникает внутрь, существует ряд причин, лежащих в основе того, чтобы этот случай вообще мог произойти. Во-первых, во многих компаниях обычно полагаются на IT департамент и в отношении обеспечения безопасности систем, обычно находящихся в сфере деятельности отделов АСУ-ТП.

Конечно, IT департаменты достаточно хороши для обеспечения безопасности систем, таких как Windows серверы и базы данных подлежащих оплате счетов. К сожалению, в большинстве нефтяных компаний важнейшие системы управления, прогоняющие процессы день за днем, являются непонятными и сложными для IT специалистов.

Например, многие системы управления производственными процессами имеют необычные операционные системы и приложения, такие как VxWorks или RSLogix™, которые существенно отличаются от типичных IT операционных систем и приложений, таких как Windows® и MS-Word®. Это означает, что многие из проверенных решений IT защиты не функционирует правильно, или, если они прогоняются, являются помехой для технологических систем.

Более того, цели IT безопасности отличаются от целей в мире АСУ-ТП. Менеджер IT безопасности видит конфиденциальность данных как первостепенную задачу, тогда как производственный менеджер, прежде всего, фокусирует свое внимание на безопасности людей и завода. Это различие в целях перерастает в огромную разницу в приемлемой практике защиты. Например, применение стандартной процедуры блокирования при помощи пароля неприемлемо для большинства операторских станций - здесь операторский доступ по умолчанию требуется в большей степени, нежели блокировка, что противоречит IT представлениям. Представьте возможный удар, когда, в сложившихся аварийных условиях реактора, оператор начинает паниковать и неправильно три раза вводит свой пароль, заставив панель управления полностью заблокировать доступ на следующие 10 минут. Блокировка при помощи пароля является хорошей политикой для защиты IT серверов, но, определенно, не подходит для работы в операторской обычной нефтяной компании или нефтеперерабатывающего завода.

Мы не утверждаем, что решения IT безопасности непригодны для оборудования непрерывных производственных процессов переработки углеводородов. Фактически, исследования в крупных нефтяных компаниях показали, что 90% всех стратегий и технологий IT безопасности хорошо применимы в управлении промышленными процессами. Необходимо четкое понимание того, как приоритеты и потребности промышленных процессов отличаются от существующих в IT мире приоритетов с последующим модифицированием технологий IT защиты на нужное применение их в мире АСУ-ТП. Это требует тесного сотрудничества и командной работы IT персонала и персонала управления производственными процессами, а не слепого копирования процедур IT защиты на АСУ-ТП.

Многие компании также полагают, что проблемы безопасности возникают за пределами нефтеперерабатывающего завода и проникают в нее очевидными путями, с чем можно справиться при помощи одного межсетевого экрана (брандмауэра). Все решение безопасности этих компаний построено на установке одного брандмауэра между производственной сетью и сетью управления, полагая, что такой брандмауэр будет окончательным защитным фильтром и предотвратит несанкционированное проникновение в систему управления. Однако когда проблема рождается изнутри, межсетевые экраны не приносит большой пользы. Для понимания этого можем рассмотреть вирус под названием Slammer Worm и изучить, как он воздействует на системы управления со времени своего создания в 2003 году. Согласно отчетам, представленным в Информационном Архиве Нарушений Промышленной Безопасности (RISI) США, один этот вирус отвечает за большую часть задокументированных аварий прерывания процесса, чем какой-либо иной источник. Некоторые из его "достижений" включают повреждение систем распределения энергии АСУ-ТП, инфицирование системы мониторинга параметров безопасности (SPDS) на ядерной станции и прерывание операций по добыче нефти в Мексиканском Заливе.

Особенно интересным является то, что вирус Slammer worm пользуется как минимум пятью различными путями проникновения в системы управления. В одном случае он проник в нефтяную систему управления через обслуживающий портативный компьютер, который сначала использовался дома (и был инфицирован), а затем был перенесен на предприятие.

В другом случае, он повредил HMI через модем дозвона, который применялся для дистанционной поддержки. В третьем случае он проник прямо через плохо сконфигурированный брандмауэр. Во всех этих примерах на месте были установлены межсетевые экраны, но вирус либо обходил их, либо проникал через уязвимости, неучтенные при установке брандмауэра. Slammer является всего лишь одним из примеров.

Анализ семидесяти пяти нарушений безопасности в отношении систем управления в промежутке между 2002 и 2006 годами показывает, что более половины внешних атак проникают через вторичные пути, такие как соединения дозвона, беспроводные системы и мобильные устройства. В таких случаях брандмауэр выполняет свою работу, но дает сбой стратегия защиты.

Рис.1 - Уязвимость АСУ-ТП вирусам и кибератакам

В некоторых случаях брандмауэр пропускает прямые атаки и вирусы. Это обычно является не слабостью самого брандмауэра, а слабостью специалистов или способа его конфигурирования. Типичный брандмауэр IT-стиля требует значительного опыта в проектировании, вводе в эксплуатацию и обслуживании, и сложность этой задачи часто недооценивается. Статистика "ошибок конфигурирования межсетевых экранов" показывает, что многие IT брандмауэры в крупных корпорациях обладают слабо составленным набором правил, и подвержены атакам.

Если эту статистику распространить на защищаемые брандмауэрами производственные системы, не удивляет то, что кибератаки в конце концов достигают систем управления в случае установки только одного брандмауэра.

Брандмауэры не являются слабой технологией - фактически, они представляют собой фантастический инструмент защиты, но промышленность пользуется ими неправильно, полагая, что одним этим устройством можно решить все проблемы безопасности.

Во время аудита безопасности, проводимого на крупном нефтеперерабатывающем заводе, было обнаружено, что только 55% компьютеров Windows 2000/XP в операторских имеют патчи, предотвращающие Бластерные инфекции, и еще меньше (38%) имеют установленные патчи для защиты от Sasser Вируса. Оба эти патча были одобрены поставщиками систем управления во время исследований. Однако практика показала, что даже малоопытный хакер способен проникнуть в такую систему управления в течение нескольких часов.

Реальные устройства управления, такие как PLC или DCS, являются еще более легкими мишенями, чем PC. В исследованиях CERN, Европейской лаборатории для физиков в области высокой мощности, 25 промышленных контрольных приборов были протестированы при помощи стандартного инструментария IT защиты (например, Nessus и Netwox), который мог быть свободно загружен неопытным хакером. Почти треть устройств провалила тесты, обычно из-за сбоя связи, крушения системы и незащищенных действий.

Для экспертов в данной области эти результаты не были так уж удивительны большинство PLC и DCS, используемых в настоящее время, не предлагают механизмов авторизации, целостности или конфиденциальности, и могут полностью контролироваться любым лицом, способным "перебрасывать информацию" на устройство. Невозможно было легко исправить их, или ввести в них свойства защиты, даже после обнаружения проблем безопасности.

Нашей задачей является осознание того, что любая стратегия защиты, независимо от того, является ли она физической или киберзащитой, должна базироваться на концепции "Глубокой Защиты". Эффективная защита создается определением границ с последующим наслоением нескольких решений защиты, так, что если одно из них обходится, другие обеспечат безопасность. Также она базируется на принципе применения многослойной технологии защиты.

Применение промышленных стандартов, таких как ANSI/ISA-99, дало этой стратегии название модели защиты "зон и каналов". Промышленное оборудование сначала разделяется на ряд различных зон защиты, на основании их функций, типичных пользователей и потенциальной последовательности сбоя. Далее, каналы защиты используются для связи между зонами, с промышленными брандмауэрами и кодирующими устройствами, управляющими каналами. Например, на нефтеперерабатывающем заводе Система Интегрированной Защиты (SIS) может находиться в одной зоне, система управления процессом - в другой зоне, архив данных - в третьей зоне, а IT-сеть - в четвертой зоне. Нарушения защиты в любой из этих систем могут привести к различным последствиям, поэтому имеет смысл рассмотреть каждую индивидуально.

Глубокая защита для зоны начинается с создания нужного электронного периметра вокруг зоны системы управления, с последующим упрочнением устройств внутри нее. Периметр защиты для зоны определяется правилами и технологией. Прежде всего, правило определяет, что принадлежит к сети системы управления, а что нет. Затем зонный брандмауэр действует как канал передачи данных между другими зонами и контрольными устройствами в пределах зоны.

Рис.2 - Подразделение АСУ-ТП на уровни управления

Высказывание "Мои локальные сети не подключены, мой сервер пользуется отдельной сетевой картой для подключения к PCN и корпоративной сети" не показывает безопасность сетевых структур, и является всего лишь прекрасным способом инфицирования нескольких производственных сетей и систем управления одновременно.

Аналогично, применение маршрутизаторов или коммутаторов вместо хороших брандмауэров обычно неприемлемо.

После защиты электронного периметра зоны необходимо построить вторичные уровни безопасности на самих устройствах системы управления. Для этих компонентов управления (таких как HMI и История), базирующихся на традиционных операционных системах IT, таких как Windows и Linux, можно воспользоваться проверенными IT стратегиями установки патчей и антивирусного (A/V) управления.

Наконец, для таких важных устройств, как PLC, RTU и контроллеры DCS, где патчи и антивирусные решения в настоящее время не существуют, рекомендуется применение оборудования промышленной безопасности нового поколения. Это быстро развивающееся решение безопасности основано на применении недорогих защитных модулей, устанавливаемых прямо перед каждым требующим защиты контрольным устройством (или группой устройств). В отличие от традиционных межсетевых экранов, это устройство пропускает на физическом уровне только прописанные заранее команды управления, например, PLC, и не пропускает какую-либо другую команду.

Оборудование промышленной безопасности обеспечивает локальную защиту важнейших контрольных приборов, подобно тому, как персональные брандмауэры (такие как Брандмауэр Windows®) и антивирусное программное обеспечение обеспечивает локальную защиту настольных компьютеров. При этом даже если хакер или вирус проникают через брандмауэр периметра, они сталкиваются с рядом сфокусированных на системах управления защитных устройств, которые им придется взломать для того, чтобы причинить какой-либо ущерб.

Примером решения защиты данного типа являются решение Защиты Устройствами Tofinо-M. Малогабаритное и надежное решение Tofinо-M просто в установке, и не имеет сложности и проблем в конфигурировании, которыми обладают типичные IT брандмауэры.

Инженеры наладчики просто подсоединяют его между устройствами АСУ-ТП и остальной сетью, подключают питание и уходят. Его можно конфигурировать, проводить его мониторинг и управлять от Центральной Платформы Управления (ЦПУ), расположенной где-либо в корпоративной сети.

Поскольку устройство сфокусировано на защите небольшого числа важнейших элементов системы управления, а не всей сети, это оборудование можно персонально сконфигурировать на соответствие требованиям защиты только защищаемых им устройств. Группирование устройств Tofinо-M позволяет обеспечить надежную и глубокую защиту производственного процесса в целом.

Литература:

1. Ensuring Reliable Production in a Dangerous Cyber World

2. Making Cyber Security Work in the Refinery

Обновлено: 11.03.2015