Дослідження: уразливості промислових систем управління в 2014 році



В ході естонських киберучений НАТО у квітні 2015 року стало відомо, що основним киберподразделению Північноатлантичного Альянсу вже не такі цікаві пристрої на Android або веб-камери: фокус уваги військових хакерів змістився в бік систем <a href=«habrahabr.ru/company/pt/blog/257879/>Windows SCADA.

Місяць тому дослідили Dell відзначили, що в 2014 році стався двократне зростання числа зловредів, розроблених для атак на магазинні POS-системи і SCADA-системи, а сьогодні ми розповімо про деяких цифрах і спостереженнях у сфері АСУ ТП (ISC/SCADA), зібраних нашими експертами за останні три роки.

Промислові системи управління за останні роки вийшли на принципово новий рівень завдяки розвитку інформаційних технологій і мережі Інтернет. Однак новий виток автоматизації несе свої проблеми: некоректне застосування технологій захисту і обробки даних призводить до серйозних вразливостей.

У зв'язку з цим промислові системи управління все частіше стають мішенню зловмисників і киберармий. На зміну окремим черв'якам Stuxnet (2010) і Flame (2012) прийшли більш витончені схеми багатоступеневих атак. Так, для поширення трояна Havex в 2014 році хакери зламували сайти виробників ПЗ для управління промисловими підприємствами (SCADA) і заражали офіційні дистрибутиви SCADA-систем, які потім використовувалися на підприємствах, що дозволило зловмисникам отримати контроль над системами управління в кількох європейських країнах.

У 2012 році експерти Positive Technologies випустили аналітичний звіт «Безпека промислових систем в цифрах». Нижче представлені результати нашого нового дослідження, яке дає можливість оцінити зміни, що відбулися з 2012 по 2015 рік.

Серед загальних тенденцій, які ми спостерігаємо в процесі робіт з аналізу захищеності АСУ ТП, можна відзначити наступні.

Відкриті двері. Багато системи, що управляють виробництвом, транспортом, водопостачанням та енергоресурсами, можна знайти в Інтернеті за допомогою загальнодоступних пошукових систем. На січень 2015 року дослідники Positive Technologies виявили таким чином більше 140 000 різних компонентів АСУ ТП. Причому власники таких систем не усвідомлюють, наскільки добре їх ресурси «видно зовні». Ми виявляємо можливості для атак на АСУ ТП через kiosk mode і хмарні сервіси, через сенсори і фізичні порти, через індустріальний Wi-Fi і інші види доступу, які найчастіше взагалі не розглядаються як загрози.

Один ключ до багатьох замків. Швидке зростання кількості організацій, які впроваджують АСУ ТП, при обмеженому числі виробників призводить до стану, коли одна і та ж SCADA-платформа використовується для управління критично важливими об'єктами в різних галузях. Приміром, наші експерти виявили уразливості в системі, що управляє Великим адронним колайдером, кількома аеропортами Європи та атомними електростанціями Ірану, найбільшими трубопроводами та установками водопостачання в різних країнах, потягами та хімічними заводами в Росії. Будучи одного разу знайдена, подібна уразливість дозволяє зловмисникам атакувати безліч різних об'єктів по всьому світу.

Загрози розвиваються швидше, ніж захист. Складна організація АСУ ТП і вимога безперервності технологічних процесів призводять до того, що базові компоненти систем управління (індустріальні протоколи, ОС, СУБД) застарівають, але не оновлюються, і їх уразливості не усуваються роками. З іншого боку, розвиток автоматизованих інструментів значно збільшує швидкість роботи хакерів. В рамках конкурсу Сrіtісаl Infrastructure Attack на форумі PHDays IV протягом двох днів було зламано кілька сучасних платформ SCADA, які використовуються на промислових підприємствах.

«Божевільний будинок». Термін АСУ ТП (автоматизована система управління технологічним процесом) з'явився в 80-е роки, коли основними об'єктами автоматизації були великі промислові підприємства. Однак здешевлення і мініатюризація техніки призвели до того, що комп'ютеризовані пристрої, що керують життєзабезпечення будівель, системами моніторингу та розподілу електроенергії, активно входять у повсякденне життя. При цьому ні виробники, ні споживачі не приділяють належної уваги безпеці цих систем: в даному дослідженні показано, як багато подібних пристроїв доступна через Інтернет.

Методика дослідження

Для збору інформації про уразливість використовувалися бази вразливостей (ICS-CERT, NVD/CVE, SCADA Strangelove, Siemens Product CERT та ін), збірники експлойтів (SAINTexploit, Metasploit Framework, Immunity Canvas і ін), повідомлення виробників, а також доповіді наукових конференцій і публікації на спеціалізованих сайтах.

Небезпека вразливостей визначалася на основі CVSS v. 2. Необхідно враховувати, що на статистику впливають такі фактори, як відсутність типових описів вразливостей або політика розголошення: виробники часто недооцінюють ризик або зовсім не розголошують інформацію про уразливості (більш детально про ці фактори можна прочитати в повній версії звіту). Таким чином, реальна ситуація з безпекою АСУ ТП може бути навіть гірше, ніж показує наша статистика.

Збір даних про доступність АСУ ТП в мережі Інтернет здійснювався пасивними методами, з використанням загальнодоступних пошуковиків (Shodan, Project Sonar, Google, Bing і результатів сканування портів. Аналіз даних проводився з використанням бази даних фингерпринтов, що складається з 740 записів, які дозволяють на основі банера зробити висновок про виробника та версії продукту. Більшість фингерпринтов відносяться до протоколів SNMP(240) і HTTP(113), приблизно третина — до різним промисловим протоколами (Modbus, DNP3, S7 і інш.).

Кількість вразливостей

Всього в рамках дослідження виявлена 691 уразливість в компонентах АСУ ТП. Помітний різкий ріст після 2009 року: за три наступних роки (2010-2012) число виявлених вразливостей АСУ ТП виросло у 20 разів (c 9 до 192). Після цього середньорічна кількість виявлених вразливостей стабілізувався (181 у 2014 році).



Кількість вразливостей АСУ ТП

Аналіз вразливостей


Рівень небезпеки виявлених вразливостей також зберігає тенденції 2012 року. Основна кількість вразливостей має високу (58%) і середню (39%) ступінь небезпеки.

Якщо розглянути вектори CVSS, то більше половини вразливостей мають високу метрику по такому важливому показнику, як доступність. Також високий показник віддаленої експлуатації, що в сукупності з слабкими механізмами аутентифікації підвищує ризик атак.

Оскільки у відкритому доступі інформація про процес усунення вразливостей не публікується, у дослідженні використані дані, отримані експертами Positive Technologies від виробників. Ситуація виглядає більш гнітючою, ніж у 2012 році, коли більшість недоліків безпеки (близько 81%) були оперативно ліквідовані виробниками ще до того, як про них ставало широко відомо, або протягом 30 днів після нескоординированного розголошення інформації. За даними на I квартал 2015 року, лише 14% вразливостей були усунені протягом трьох місяців, 34% усувалися більше трьох місяців, а решту 52% помилок – або просто не виправлені, або виробник не повідомляє час усунення.



Усунення вразливостей АСУ ТП

Уразливості по виробникам

Список виробників, що лідирують за кількістю вразливостей в продуктах, практично не змінився: Siemens (124 уразливості), Schneider Electric разом з набутою нею компанією Invensys (96), Advantech (51), General Electric (31). У той же час загальний список виробників з виявленими уразливими виріс. На діаграмі нижче представлені компанії з найбільшим числом вразливостей; решта 88 виробників об'єднані в рядку «Інші».



Уразливості в АСУ ТП різних виробників (за ступенем ризику)

Географія доступності та вразливості АСУ ТП

Всього в рамках дослідження виявлено 146 137 компонентів АСУ ТП, до яких можна отримати доступ через Інтернет. Найбільш поширеними є системи для автоматизації будівель Tridium (Honeywell), а також системи моніторингу та управління електроенергією, в тому числі на основі технологій сонячних батарей (SMA Solar Technology). Найбільша кількість доступних компонентів — це PLC/RTU, на другому місці системи моніторингу та управління інверторами. Далі йдуть мережні пристрої і HMI/SCADA-компоненти.

Цілком природно, що країни — технологічні лідери мають високий рівень автоматизації, і тому концентрація промислових систем цих країн в Інтернеті досить висока. Лідером, як і раніше, залишається США (33%), але на другому місці вже не Італія, а Германия, причому з великим відривом (19%). В цілому Європейський регіон показав помітне зростання інтернет-доступності промислових систем. З іншого боку, в Азіатському регіоні поширені локальні, мало відомі на світовому ринку компоненти АСУ ТП, які не завжди вдається ідентифікувати.



Поширення доступних АСУ ТП

Шляхом аналізу версій доступних компонентів АСУ ТП було виявлено більше 15000 вразливих компонентів. Найбільша кількість знаходиться в США, далі йдуть Франція, Італія і Німеччина, що узгоджується із загальною картиною поширеності цих систем. З іншого боку, необхідно зауважити, що в компонентах, найбільш поширених в мережі Інтернет, виявлено мало вразливостей. В цілому уразливими виявилися більше 10% доступних АСУ ТП.



Розподіл вразливих компонентів АСУ ТП по країнам



Розподіл вразливих компонентів АСУ ТП по країнам

У ході форуму з інформаційної безпеки Positive Hack Days (пройде 26-27 травня в Москві) експерти Positive Technologies представлять докладний звіт про результати дослідження вразливостей промислових систем управління в 2014 році. Там же можна буде взяти участь у конкурси по злому АСУ ТП.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.