Уязвимости промышленных сетей и их защита

©Dmitry Gaich 2020

На современном этапе, в условиях глобальной конкуренции, промышленность зачастую становится объектом кибершпионажа. Большой интерес в этой связи привлекают промышленные сети, поскольку доступ к ним даёт возможность как управления процессом производства, так и саботажа.

Существуют три уровня компонентов промышленной сети:

  • сегмент диспетчерского управления и мониторинга (ICS, SCADA)
  • сегмент управления (PLC)
  • полевые устройства, обычно напрямую подключаемые к PLC

Доступ в сеть на уровне ICS и SCADA даёт возможность вмешаться в автоматизированный процесс управления, задать свои параметры, внедрить вредоносное ПО или же остановить всё производство. Анализ инцидентов, происходящих в промышленных сетях, проведённый лабораторией Касперского, показывает, что вредоносное ПО является причиной аварий в 35% случаев, 23% занимают ошибки другого ПО, 19% — ошибки в АСУ ТП, 11% — ошибки операторов[1].

Так, например, в Украине в 2015 г. атаки на энергосеть «Прикарпатьеоблэнерго» привели к отключению на несколько часов около 1000 подстанций в Ивано-Франковской области. Расследование показало, что 100 предприятий этой сети получили письма с целевым фишингом, а после кражи учётных записей с доступом в АСУ ТП, подстанции были выключены дистанционно (SSH бэкдор) в ручном режиме. Параллельно происходила DDos атака на ситуационный колл-центр, а вредоносный модуль KillDisk отключал ряд технологических процессов и повреждал данные на серверах АСУ ТП.

В 2018 году США обвинили Россию во взломе американской энергосети. В совместном докладе ФБР и министерства внутренней безопасности утверждалось, что российские хакеры получили доступ к компьютерам в целевых отраслях промышленности и собрали конфиденциальные данные, включая пароли, логины и информацию о производстве энергии. Поскольку в докладе не приводится факта выявленного саботажа, взлом расценивается как подготовка будущих атак, имеющих целью нечто большее, чем просто разведка[2].

Компания «Positive Technologies», занимающаяся вопросами кибербезопасности, в 2017 г. провела исследование на примере 11 американских компаний с целью выявить наиболее важные уязвимости, которым подвержены системы промышленного контроля, чем чреват взлом таких систем сторонними пользователями и неавторизованный доступ в промышленные сети. Основные выводы, сделанные аналитиками компании, приведены ниже[3].

Промышленные сети слабо защищены от атак из корпоративных информационных систем

В 73 процентах протестированных случаев взломщик смог войти в периметр сети и получить доступ к корпоративной информационной системе. Большинство случаев взлома происходит из-за неправильной настройки сети. Внутренний хакер, уже находящийся в корпоративной информационной системе, мог войти в промышленную сеть в 82 процентах случаев.

Большинство атак легко реализовать

Из векторов атак, которые повлекли за собой проникновение в промышленную сеть из корпоративной информационной системы, 67 процентов были низкого или обычного уровня сложности. Проведение таких атак требует лишь использования существующих пробелов в конфигурации устройств и сегментов сети, а также уязвимости операционных систем, эксплойты для которых доступны онлайн.

Администраторы используют небезопасные способы управления системами

В компаниях, где был возможен доступ к промышленной сети из корпоративной информационной системы, всегда имелись уязвимости в сегментации сети или в фильтрации трафика. В 64 процентах случаев эти пробелы были созданы администраторами  при создании механизмов удалённого администрирования. В 18 процентах компаний компоненты систем промышленного контроля даже не были изолированы в отдельный сегмент сети.

Слабые пароли и устаревшее программное обеспечение – недостатки всех компаний

Было обнаружено, что во всех проверенных компаниях в корпоративных информационных системах использовались слабые пароли и устаревшее ПО с известными уязвимостями. Эти недостатки становятся причиной, по которой атаки могут успешно продолжаться и привести к тому, что злоумышленники получат максимум доменных привилегий и контроль всей инфраструктуры предприятия.

Неправильная настройка сети является причиной семи из десяти уязвимостей.

Интерфейсы администрирования серверов для корпоративных информационных систем и интерфейсы систем управления базами данных (DBMS), позволяющие подключиться стороннему пользователю, являются серьёзной угрозой.

Уязвимости исходного кода

Используя такие уязвимости, как дистанционное исполнение команд и загрузка произвольных файлов, взломщик может проникнуть в периметр промышленной компании, если его веб-приложение запущено на сервере, подключённом к локальной сети. А поскольку веб-приложения не рассматриваются в качестве составной части корпоративной информационной системы промышленных предприятий, их безопасность зачастую не принимается во внимание. Согласно проведённому исследованию, 43% веб-приложений в промышленных корпоративных системах характеризуются низким уровнем безопасности.

Высокий уровень возможности проникновения сохраняется в половине из 10 корпоративных информационных систем промышленных предприятий.

Устаревшие версии ПО, веб-сервера, операционные системы и приложения часто содержат критические уязвимости. Эксплойты для таких уязвимостей можно найти онлайн. Пробелы в настройках также могут быть очень опасными – чрезмерные права в управлении базами данных  или привилегии на веб-сервере, при получении к ним доступа, позволяют исполнять команды с максимумом привилегий. При наличии у сервера в сети интерфейса интранет, даже ограничение привилегий не сможет остановить атаку на сервер во внутренней инфраструктуре.

Векторы проникновения в периметр корпоративной информационной системы

Большое количество успешных векторов атак против периметра промышленных компаний используют уязвимости в веб-приложениях. В частности, так называемую «инъекцию SQL», загрузку произвольных файлов и исполнение удалённой команды.

Почти в каждой компании использовались слабые, «словарные», пароли для администрирования веб-серверов или удалённого доступа через протоколы управления, что позволяет получить доступ к локальной сети в трети случаев.

Устаревшие системы управления содержимым и веб-серверы содержат многочисленные уязвимости, эксплойты для которых находятся в открытом доступе. Взломщик легко может этим воспользоваться.

Ошибки конфигурации системы, такие как некорректные уровни доступа для пользователей веб-приложений, могут стать причиной взлома сервера в периметре корпоративной информационной системы.

Для определения уровня сложности взлома корпоративной сети из Интернета, эксперты учитывали способности и инструменты, необходимые для проникновения, а также находящиеся в открытом доступе эксплойты и другие факторы успешной атаки. Несложные атаки включали случаи, когда для получения контроля над сервером требовалось лишь обойти базовые ограничения на загрузку сторонних файлов, или использовать находящийся в открытом доступе эксплойт с минимальными изменениями кода для атаки целевой системы. Атаки считались тривиальными, если дополнительных действий со стороны взломщика не требовалось. Например, если значение пароля администратора сервера не было изменено от значения по умолчанию, злоумышленник мог использовать встроенные функции для выполнения команд на сервере. Такие тривиальные атаки составили 17 процентов, 58% — низкий уровень сложности проникновения, 17% — средний и 8% -высокий.

Перехват доступа из корпоративных в промышленные сети

В бизнесе применяется множество подходов к построению сетей, из сегментации и защиты. Несмотря на это, различные ошибки в реализации этих подходов и администрировании повторяются во многих компаниях. На основе этого эксперты выработали общую схему по построению безопасных сетей:

  • промышленная сеть должна быть полностью сегрегированна от корпоративной информационной системы и внешних сетей, особенно интернета;
    • информация о промышленном процессе и состоянии оборудования должна отправляться в корпоративную информационную систему через отдельный шлюз. Наиболее безопасным вариантом станет выделенная зона согласно требований NIST 800-82 (раздел 5.5.5). Команды управления не должны поступать на компоненты системы промышленного контроля или хосты шлюза из корпоративной информационной системы;
    • информационная система управления собирает данные из шлюзов нескольких промышленных объектов, которые могут находиться в различных географических точках. Сегмент корпоративной информационной системы, содержащий компоненты информационной системы управления, отделяется от других сегментов, он может включать рабочие станции аналитики и управления для обработки данных;
    • контроль промышленного процесса, администрация и безопасность промышленной сети должны выполняться только специальным персоналом внутри промышленной сети.

К сожалению, эти правила зачастую выполняются только на бумаге, или не выполняются вообще. Проверка возможностей внутреннего проникновения показывает наличие различных векторов атаки на промышленные сети.

Корпоративная сеть

В корпоративной информационной системе обычно используется специальная подсеть информационной системы управления (MIS) для сбора и обработки данных компонентов ICS. Аналитики и менеджеры получают данные из этой подсистемы.

Для обеспечения максимума безопасности промышленного сегмента, сервера, расположенные в шлюзе, такие как связь открытой платформы (OPS) или система исполнения производства (MES), дублируются в сегменте MIS во избежание воздействия корпоративной информационной системы на сервера шлюза.

Сегмент шлюза

Шлюз обеспечивает передачу данных с серверов ICS на сервера MIS в корпоративной информационной системе. В различных компаниях шлюзы реализуются по-разному. Например, могут использоваться OPS, MES, серверы, базы данных и другие решения. Команды управления, отправляемые на шлюз или промышленную сеть, блокируются. Самой безопасной реализацией сети является размещение серверов шлюзов в отдельных зонах (т.н. «демилитаризованных» зонах, DMZ).

Промышленная сеть

Управление процессом возможно только с операторских рабочих станций ICS в промышленной сети. Компоненты ICS могут быть географически разделены.

Эти компоненты не должны быть доступны из корпоративной информационной системы и других внешних сетей. В промышленной сети доступ в интернет должен быть запрещён.

Типичная схема атаки

Типичная атака, позволяющая войти в промышленную сеть изнутри с использованием сегмента корпоративной локальной сети, подразделяется на три этапа:

  1. Получение и повышение привилегий в хостах корпоративной информационной системы.
  2. Реализация атаки для закрепления в системе.
  3. Получение доступа к критическим системам и атака промышленной сети.

На каждом этапе могут использоваться различные методы, но при этом взломщики стараются действовать с максимальной эффективностью и скрытностью. При анализе проникновений учитывалось максимальное количество сценарий атак и обнаружение уязвимостей и соответствующих пробелов в безопасности.

Получение и повышение привилегий в хостах корпоративной информационной системы

Если у злоумышленника отсутствуют привилегии в корпоративной информационной системе (например, он не является служащим или подрядчиком целевой компании), ему понадобится доступ к этой сети. Это может быть выполнено с использованием доступных сетевых соединений, гостевых WiFi-сетей, или выполнением атаки из интернета. После получения доступа к корпоративной информационной системе, основной задачей атакующего становится получение и повышение привилегий на серверах и рабочих станциях сотрудников, а также сбор информации о топологии, устройствах и программном обеспечении в сети.

Первый этап атаки

Реализация атаки для закрепления в системе

После получения максимальных локальных привилегий на одном или нескольких хостах корпоративной системы, взломщик продолжает атаку на доступные ресурсы для закрепления позиции и обнаружения устройств, которые могут быть использованы для доступа в промышленную сеть.

Продолжение атаки на корпоративную сеть включает использование брешей в ПО, операционных системах, веб-приложениях, сегментации сети и аутентификации пользователей. Атакующий может также использовать информацию из хранилища файлов (учётные данные входа или файлы конфигурации оборудования), доступного для пользователей локальной сети. Цель атакующего – получить максимальные привилегии в домене и определить точки входа в промышленную сеть, а также собрать информацию.

Администраторы с привилегиями могут получить учётные данные пользователей из операционной системы, используя, например, ПО типа «Mimikatz», которое позволяет обходить антивирусную защиту на большинстве компьютеров с устаревшим ПО.

Второй этап атаки

Получение доступа к критическим системам и атака промышленной сети

В целом, вторая фаза заканчивается, когда атакующий получает привилегии администратора домена и несколько аккаунтов привилегированных пользователей. Теперь взломщик обладает информацией о процессах, системах и конфигурации оборудования компании. Информация может быть использована для проникновения в промышленную сеть.

Атакующий может использовать привилегии и собранную информацию для выявления существующих связующих каналов подключения к промышленной сети и  их использования. Привилегии также можно применить для реконфигурации сетевых устройств с целью установки нового канала подключения.

Третий этап атаки

При проверке американских компаний было выявлено, что эти новые каналы для удалённого администрирования могли быть созданы как в выделенной зоне, так и непосредственно в промышленной сети. Что касается паролей, их можно было извлечь из файлов конфигураций, резервных копий системы, или из обычных офисных файлов пользователей. Некоторые сотрудники, имеющие привилегированные права, использовали сохранение сессий удалённого подключения к промышленной сети (например, RDP), при этом ввод пароля не требовался вовсе.

Другим недостатком явилось некорректное разграничение прав пользователей. При создании администраторами такого разграничения в некоторых случаях для всех групп пользователей (инженеров, диспетчеров, и даже подрядчиков) использовался один шаблон.

Неправильная настройка брандмауэров приводила к тому, что было возможно подключиться к хостам или шлюзам промышленной сети через HTTP или нестандартные порты. Такие порты просто не были включены в правила фильтрации. Кроме того, доступ к брандмауэрам обычно легко получить, например, пароли могут храниться в двустороннем алгоритме Cisco Type 7, для взлома которого имеются инструменты, размещённые в публичном доступе.

В одной компании был обнаружен административный веб-интерфейс для источника бесперебойного питания, находящегося в промышленной сети, но доступного из сети корпоративной. Пароль был тем, который по умолчанию устанавливает производитель. При отсутствии в фильтрах некоторых портов TCP, через этот интерфейс было возможно подключиться к сети через Telnet и протокол SSH. Повлиять на производственный процесс можно было, просто отключив или переконфигурировав этот источник бесперебойного питания.

Другим примером бреши в правилах фильтрации трафика стала возможность доступа в систему управления базами данных MES (такую как Microsoft SQL Server). Исследования показали, что в 18 процентах случаев, пароль легко взламывался методом подбора. А в ряде случаев, уязвимость в Oracle давала возможность выполнить команду и без ввода пароля. При использовании данной уязвимости атакующий может не только читать, удалять или фальсифицировать данные SCADA или прерывать операции с помощью отключения сервера, но также и получить контроль над хостами промышленной сети.

Эти уязвимости можно устранить, переместив сервера в особую зону (DMZ). Однако, во многих компаниях нет отдельного шлюза для отправки данных с серверов SCADA в корпоративную информационную систему. Сервера OPS и MES размещены в промышленной сети и имеют два сетевых интерфейса. Взломав один такой сервер, злоумышленник немедленно получает доступ к другим устройствам в промышленной сети. Поэтому промышленная сеть должна быть изолирована от корпоративной информационной системы.

В целом, специалисты сходятся во мнении, что избежать кибератак и утечек данных невозможно, поэтому основными задачами по защите промышленных сетей на сегодняшний день являются:

  • быстрая идентификация и реагирование на текущие угрозы безопасности;
  • блокировка бреши в системе безопасности и предотвращение утечки конфиденциальных данных;
  • изучение прошлых происшествий для дальнейшего усиления защиты и предотвращения повтора инцидентов;
  • заблаговременное предотвращение атак посредством обеспечения безопасности всех уязвимых элементов[4].

Подводя итог, можно отметить ряд рекомендаций по защите промышленных сетей, предлагаемых канадской компанией «Public Safety»:

  • сегментация сети;
  • защита соединений удалённого доступа;
  • защита беспроводных сетей;
  • своевременная установка патчей безопасности;
  • строгое соблюдение политик доступа и разграничения прав;
  • усиление системного компонента (проверка системы на уязвимости, отключение ненужных функций и т.п.);
  • мониторинг неавторизованного доступа;
  • безопасность физического доступа и оборудования (физический доступ к критическим элементам ICS должен выполняться на авторизованном оборудовании, которое должно обеспечивать соответствующую защиту);
  • обнаружение и защита от вредоносного ПО;
  • обучение персонала;
  • периодические проверки и аудит;
  • своевременное обновление политики учёта и управления конфигурацией сети;
  • планирование действий и реагирования на чрезвычайные ситуации[5].

Другими словами, промышленные сети подвержены различного рода уязвимостям, однако же, всё вышеперечисленное даёт возможность максимально обезопасить их от неавторизованного доступа и предотвратить серьёзные последствия, которые такое вмешательство может принести.


  [1]  Kaspersky Industrial Cybersecurity. Обзор.Решения, август 2016 г.

[2] https://www.vox.com/world/2018/3/28/17170612/russia-hacking-us-power-grid-nuclear-plants

[3] Positive technologies. Industrial companies attack vectors, 2018.

[4] https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/defensive-strategies-for-industrial-control-systems

[5] https://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2012/tr12-002-en.aspx

Поделиться ссылкой: