Аудит безопасности АСУ ТП

image

Ландшафт угроз для систем промышленной автоматизации и промышленного интернета вещей (IIoT) развивается по мере расширения возможности соединения между разнородными устройствами и сетями. Крайне важно планировать и реализовывать эффективные стратегии защиты и корректировать меры безопасности. Для получения объективного состояния объектов необходим аудит безопасности АСУ ТП, о котором и пойдет речь в этой статье.

Согласно отчету Symantec об угрозах безопасности в Интернете за 2018 год, за последний год число уязвимостей, связанных с системами промышленного управления (ICS), увеличилось на 29%. Принимая во внимание ценные и критически важные для безопасности процессы, которые эти системы соединяют и контролируют, нарушения безопасности могут иметь дорогостоящие, широкомасштабные и опасные последствия.

Объекты промышленности и организации нефтегазового и энергетического комплекса являются одним из ключевых интересов современных злоумышленников, что связано со следующими направлениями их деятельности:

• бизнес-разведка и промышленный шпионаж со стороны конкурентов;
• акты вандализма и угрозы кибертерроризма.

Основные угрозы


Успешные атаки на технологические сегменты могут привести к различным последствиям, которые варьируются от минимального прерывания производственных процессов до критичных сбоев и длительных отключений.

Хакеры


Отдельные лица или группы со злым умыслом могут поставить технологическую сеть на колени. Получив доступ к ключевым компонентам АСУ ТП, хакеры могут развязать хаос в организации, который может варьироваться от перебоев в работе до кибервойн.

Вредоносное ПО


Вредоносное ПО, включая вирусы, шпионское и вымогательское ПО, может представлять опасность для систем АСУ ТП. Несмотря на то, что вредоносное ПО может быть предназначаться для конкретной системы, оно все же может представлять угрозу для ключевой инфраструктуры, которая помогает управлять сетью АСУ ТП.

Террористы


В тех случаях, когда хакеры обычно руководствуются извлечением прибыли, террористы руководствуются желанием причинить как можно больше хаоса и ущерба.

Сотрудники


Внутренние угрозы могут быть такими же разрушительными, как и внешние угрозы. Необходимо предусмотреть риски нарушения безопасности как от ненамеренной человеческой ошибки до недовольного сотрудника.

Уязвимости


Основными типами уязвимостей промышленных сегментов являются следующие:

• Уязвимости в ПО.
• Неиспользуемое ПО.
• Простые пароли.
• Пароли по умолчанию.
• Отсутствие базовых настроек безопасности.
• Периметр АСУ ТП.
• Отсутствие разграничений доступа.
• Слабые или отсутствующие механизмы безопасности в АСУ ТП.

Это обусловлено как призрачной надеждой на ограничение или отсутствие сетевого доступа в технологические сегменты; невозможностью проведения патчинга «боевых» системы; legacy; политикой обработки и реакции вендоров на уязвимости в ПО.

Аудит безопасности АСУ ТП


Проведение аудита безопасности АСУ ТП и систем SCADA позволяет оценить защищенность ключевых элементов промышленной сетевой инфраструктуры от возможных злонамеренных внутренних и внешних воздействий:

• системы управления технологическими процессами (АСУ ТП);
• системы диспетчеризации (SCADA);
• используемые каналы связи и протоколы передачи информации;
• корпоративные системы и бизнес-приложения коммерческого учета;
• контрольно-измерительные приборы и аппаратура телеметрирования.

Анализируя активы и процессы технологических сегментов будут выявлены угрозы безопасности, надежности и непрерывности процессов. Аудит безопасности — хороший задел для начала, который должен включать три простых шага:

Инвентаризация активов


Хотя это и кажется простым и предсказуемым, большинство операторов не имеют полного представления об активах, которые им необходимо защищать, таких как программируемые логические контроллеры (ПЛК), системы диспетчерского управления и сбора данных (SCADA) и другие. Необходимо разделить активы на классы с общими свойствами и присвоить атрибуты данных для каждого ресурса. Это является важной отправной точкой в защите АСУ ТП, потому что если компания не знает, что именно ей нужно защищать, оно и не сможет защитить это.

Инвентаризация сети


Инвентаризация сетевых устройств позволит компаниям понять физические активы, которые подключены к сети. Этот шаг приведет к пониманию того, как эти активы связаны через сетевую архитектуру. Прозрачность конфигурации сети позволит понять как злоумышленник может получить доступ к сетевым устройствам. Физическая и логическая карта сети предприятия позволит компаниям добиться успеха на третьем этапе аудита безопасности.

Инвентаризация потоков данных


Понимание потоков данных имеет решающее значение. Поскольку многие протоколы, используемые в промышленной автоматизации, не имеют опций для защиты трафика, многие атаки могут быть выполнены без какого-либо эксплойта — просто при наличии доступа к сети и понимания протокола. Понимание требований к порту, протоколу, конечным точкам и временным параметрам (детерминированным или нет) может помочь понять, где данные должны проходить через сетевые узлы, определенные на предыдущем этапе.

С безопасностью не существует правила «установи и забудь». В постоянно меняющемся ландшафте угроз лучшие практики вчерашнего дня уже не актуальны. Начав с аудита безопасности, компании получают необходимую информацию об активах и потоках данных в рамках АСУ ТП, готовя их к реализации углубленной программы защиты технологических сегментов от угроз. Учитывая возможные убытки, интеллектуальную собственность и возмоджную угрозу жизни, как никогда важно, чтобы были приняты необходимые меры для повышения уровня безопасности АСУ ТП.

Рекомендуется к ознакомлению: NIST Special Publication 800–82 (Revision 2) Guide to Industrial Control Systems (ICS) Security.

© Habrahabr.ru