Кибербезопасность промышленных IoT-сценариев

Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Сегодня мы сталкиваемся с целым рядом значимых событий, которые свидетельствуют о становлении сферы кибербезопасности промышленного Интернета вещей (Internet of Things, IoT). Рост числа зарегистрированных атак на промышленные системы и случаев использования Интернета вещей для осуществления противоправных действий, только добавляет остроты этой теме.

IoT в руках злоумышленников

Ведется много разговоров об Industry 4.0 и Интернете вещей, которые, вроде бы, положительно влияют на экономику отдельных отраслей, целых государств и улучшают жизнь граждан. Создаются различные специализированные ассоциации, а в России даже в Ростехрегулировании появился технический комитет ТК194, который будет заниматься стандартизацией киберфизических систем, в том числе Интернета вещей. Однако есть и другая сторона явления: активно растет число атак на промышленные системы и случаев использования Интернета вещей для осуществления противоправных действий.

В прошлом году возник ботнет Mirai. В нынешнем году число IoT-ботнетов многократно увеличилось («Амнезия», Hajime, BrickerBot, Persirai). Не проходит месяца, чтобы какой-нибудь исследователь не сообщил о взломе автомобиля, унитаза, вибратора с встроенной видеокамерой, кардиостимулятора, инсулиновой помпы, стелек или холодильника, подключенных к Интернету. А уж что говорить о промышленном Интернете вещей (раньше это называлось системами промышленной автоматизации), который ломают очень активно! Можно упомянуть Stuxnet, атаки на энергосистему Украины и на канализацию в Брисбене, шифровальщик WannaCry, выведший из строя пять заводов Renault и попавший на ряд железнодорожных объектов... Совсем недавно исследователи обнаружили вредоносный код CrashOverride – четвертый из созданных специально для промышленных систем (перед ним были Stuxnet, BlackEnergy и Havex).

Тут надо сразу оговориться, что речь идет об известных вредоносах, ориентированных именно на системы, хотя кибератаки и раньше наносили ущерб физическим объектам. Вспомним историю с ПО, украденным советскими разведчиками в США и затем использованным на газопроводе в СССР: состоялся взрыв, приведший к остановке работы трубопровода. Известна и история с инсайдером на Игналинской АЭС, произошедшая в 1989 г. Да, в те времена никто не собирал индикаторы компрометации, и в современных базах инцидентов нет значений хешей вредоносных файлов. Но это не означает, что атак не было и они не повлияли на физический мир. Тот же WannaCry, который является «исконно офисным» вирусом, немало навредил промышленным объектам (заводам Renault, поликлиникам, вокзалу в Франкфурте, заводу по производству телекоммуникационного оборудования).

Имеется и много других примеров, которые свидетельствуют, что сегодня виртуальный и физический миры объединены, а для воздействий на второй из первого не всегда нужны особые знания. При этом появление CrashOverride показывает, что компетенции злоумышленников растут, и можно спрогнозировать увеличение числа вредоносных программ, специфических для разных отраслей, систем промышленной автоматизации и промышленных протоколов.

Чем ответит отрасль кибербезопасности и ОТ?

Возникает вопрос, как защитить современные промышленные системы автоматизации? У ИТ и OT (operational technology; между OT и IoT есть различия, но в данном контексте ими можно пренебречь) много общих проблем защиты. Разработано немало стандартов и требований по регулированию специфических вертикалей, мировой рынок ИБ-решений для IoT растет, но все же пока остается фрагментированным и не очень большим.

Крупные игроки рынка ИБ только подступаются к новому сегменту, используя для этого традиционные ИТ-подходы, не всегда работающие в области IoT. Миры ИТ и IoT различаются по масштабам, спектру платформ, специфическим протоколам, воздействию на физический мир, срокам жизни и автономности решений и др., поэтому использовать привычные межсетевые экраны, антивирусы, PKI, системы анализа сетевого трафика в промышленных сегментах не получается.

Отрасль OT пока тоже не желает активно заниматься ИБ – за исключением крупных поставщиков (Siemens, ABB, Rockwell, Schneide и др.), чье оборудование уже столкнулось с проблемами информационной безопасности. Вообще сегодня именно ИБ-инциденты являются драйверами развития отрасли. Так, NetGear запустила программу bug bounty после обнаружения уязвимостей в ее оборудовании. D-Link была оштрафована в январе 2017 г. из-за реализации множества атак, осуществленных на основе уязвимостей в ее оборудовании. Американская федеральная торговая комиссия инициировала Home Inspector Challenge для выявления ИБ-проблем в IoT-оборудовании.

Концепция активной обороны промышленного IoT

Что в такой непростой ситуации делать потребителю? Следуя концепции активной обороны, можно выделить пять последовательных сценариев, позволяющих наращивать защитный потенциал в зависимости от конкретных задач и модели угроз.

1. Данный сценарий подразумевает использование «правильной» архитектуры, т.е. базиса системы защиты. В случае с промышленными сетями это – сегментирование, управление цепочками поставок оборудования и запчастей, поддержка, устранение уязвимостей, управление патчами и обновлениями и прочие задачи, которые даже не всегда относятся к защите. Они лишь создают основу для реализации последующих сценариев. Данный сценарий – наименее затратный, но весьма эффективный; в нем задействованы встроенные механизмы ИБ на уровнях сетевой инфраструктуры (сегментирование, 802.1x или Port Security, VLAN и т.п.), СУБД, ОС и приложений АСУ ТП.

2. Начинается использование традиционных средств защиты, но пока – в пассивном режиме. Пассивная защита не требует (или почти не требует) постоянного участия человека в ее процессе. По сути, речь идет об установке разных средств защиты, которые работают в соответствии с заданными политиками, зачастую статическими. К таким средствам относятся классические межсетевые экраны, системы обнаружения атак, антивирусы, системы контроля над доступом (NAC), системы защиты оконечных устройств (HMI, серверов АСУ ТП и т.п.). Разумеется, речь идет о решениях, учитывающих специфику промышленных сетей, – их протоколы, число промышленных устройств (десятки и сотни тысяч), возможность работы в агрессивной среде, требования к задержкам и т.п. Этот сценарий лучше всего описан в нормативных документах – скажем, американском NIST Cyber Security Framework или российском Приказе №31 ФСТЭК.

3. Человек активно вовлекается в процесс защиты, и к инструментам второго уровня добавляется аналитика. Начинаются проведение пентестов, внедрение систем мониторинга аномальной активности, систем управления логами и других инструментов управления инцидентами, анализ вредоносного кода. В рамках данного сценария необходимо непрерывное участие высококвалифицированного персонала, способного обнаруживать то, что пропускают традиционные средства сетевой безопасности.

4. Этот сценарий (хотя грань между ним и предыдущим достаточно условна) подразумевает выстраивание процессов Threat Intelligence и Threat Hunting, в рамках которых разрозненные следы несанкционированной активности, обнаруженные на предыдущем этапе, аккумулируются в индикаторах компрометации (IoC), бюллетенях и отчетах об угрозах, в формализованных описаниях угроз, которые можно предоставлять общественности, в том числе в рамках центров распространения информации об угрозах (ISAC, CERT, CSIRT, ГосСОПКА).

5. Происходит больший сдвиг от оборонительной тактики к наступательной. На этом этапе идентифицируются уже не только атаки, но и сами атакующие, против которых затем предпринимаются различные действия – возбуждение уголовного преследования, перехват управления командными серверами C&C, разделегирование вредоносных доменов и т.п. Это – нечастый сценарий, который применяется, скорее, на государственном уровне или монополистами, имеющими соответствующие возможности и ресурсы.

Очевидно, что чем дальше мы отходим от первого сценария, тем больше ресурсов (временных, людских, финансовых) требуется. При этом уровень защитных возможностей возрастает непропорционально затратам. Всегда ли надо стремиться реализовать последний сценарий обеспечения ИБ на промышленном предприятии? К счастью, нет. Многие, закрепившись на втором уровне, так на нем и остаются, поскольку не сталкиваются с АРТ и иными угрозами, которые требуют серьезной аналитики и присутствия человека. Зачем тратить деньги на избыточный и редко используемый сервис! Таким предприятиям не нужны SOC и  CSIRT, посменно работающие группы аналитиков и специалистов, реагирующих на инциденты. Их устраивает автоматическая защита, обеспечиваемая межсетевыми экранами, системами обнаружения вторжений и антивирусами, ведь они борются с традиционными нарушителями, а не с представителями иностранных спецслужб или с кибертеррористами. А вот крупным корпорациям, военным и госструктурам, использующим системы управления технологическими процессами, популярными средствами защиты не обойтись. Нужны еще инструменты непрерывного мониторинга и люди, способные правильно пользоваться этими инструментами (или внешние подрядчики).

По моим оценкам, до 60% организаций с той или иной степенью детализации реализуют первый, архитектурный сценарий (хотя в своих офисных сегментах они, вполне возможно, воплощают уже третий-четвертый сценарий). Еще 30% переходят ко второму сценарию, внедряя специализированные, но все еще пассивные промышленные средства защиты. И только единицы начинают примериваться к защите своих промышленных IoT-сетей с помощью третьего или четвертого сценария. Однако рост числа «промышленных» вредоносных кодов (Stuxnet, BlackEnergy, Havex, Crash Override) может изменить эти пропорции уже в ближайшее время.

Тэги: 
Оцените материал:
Total votes: 15

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.