Промислові системи управління — 2016: вразливість і доступність



Автоматизовані системи управління технологічними процесами (АСУ ТП, ICS) використовуються в наші дні повсюдно — від «розумних будинків» до атомних електростанцій. Однак складна організація таких систем, вимога безперервності технологічного процесу і можливість доступу до АСУ ТП через загальний Інтернет роблять їх легкоуязвимыми для хакерських атак.

При цьому кількість вразливих компонентів АСУ ТП з року в рік не зменшується. Практично половина виявлених у 2015 році вразливостей має високу ступінь ризику, причому найбільшу кількість вразливостей знайдено в продуктах найвідоміших виробників. Зокрема, повсюдно в АСУ ТП використовуються словникові паролі та пароль за замовчуванням, що дозволяє без зусиль отримати до них доступ і перехопити управління.

Такі висновки містяться в дослідженні компанії Positive Technologies, в якому проаналізовані дані про уразливість АСУ ТП за період з 2012 по 2015 рік, а також дані про доступність компонентів АСУ ТП через Інтернет в 2015 році. Нижче представлені основні результати цього дослідження.

Методика дослідження

В якості основи для дослідження була використана інформація із загальнодоступних джерел, таких як бази знань вразливостей (ICS-CERT, NVD, CVE, Siemens Product CERT, Positive Research Center), повідомлення виробників, збірники експлойтів, доповіді наукових конференцій, публікації на спеціалізованих сайтах і в блогах. Ступінь ризику уразливості компонентів АСУ ТП ми визначали на основі значення CVSS другої версії.

Збір даних про доступність компонентів АСУ ТП в мережі Інтернет здійснювався шляхом сканування портів ресурсів, доступних у мережі Інтернет, за допомогою загальнодоступних пошукових систем: Google, Shodan, Censys. Після збору даних був проведений додатковий аналіз на предмет взаємозв'язку з АСУ ТП. Фахівці Positive Technologies склали базу даних ідентифікаторів АСУ ТП, що складається приблизно з 800 записів, що дозволяють на основі банера зробити висновок про використовуваному виробу та його виробника.

Результати

В рамках дослідження були розглянуті уразливості компонентів близько 500 виробників автоматизованих систем управління. В результаті виявлено 743 уразливості в АСУ ТП. Експерти Positive Technologies в 2015 році самостійно виявили 7 нових вразливостей (дві з них мають високий ступінь ризику), докладна інформація про яких була спрямована виробнику.

Нагадаємо, що згідно з нашим попереднім дослідженням «Безпека промислових систем в цифрах», з 2009 по 2012 рік кількість виявлених вразливостей АСУ ТП зросла у 20 разів (з 9 до 192). В останні роки (2012-2015) кількість виявляються щорічно вразливостей залишається стабільним (близько 200). Це можна пояснити зростаючим інтересом виробників обладнання до своєчасного виявлення і усунення вразливостей та взаємодії із дослідниками.



Загальна кількість вразливостей, виявлених у компонентах АСУ ТП

Лідерами у рейтингу найбільш вразливих компонентів АСУ ТП є продукти Siemens, Schneider Electric і Advantech. Однак кількість виявлених вразливостей залежить від поширеності продукту і від того, чи дотримується виробник політики відповідального розголошення. Як наслідок, цей рейтинг не безпосередньо свідчить про захищеність конкретних рішень того чи іншого виробника.



Кількість вразливостей в компонентах АСУ ТП різних виробників

Найбільшу кількість вразливостей було виявлено у SCADA-компонентах і програмованих логічних контролерах, мережевих пристроях промислового призначення та інженерному, а також у компонентах людино-машинних інтерфейсів і терміналах віддаленого доступу і управління, що відповідає даним попереднього звіту за 2012 рік.

Основна частка вразливостей має високу і середню (по 47%) ступінь ризику. При цьому, якщо оцінювати рівень небезпеки уразливості виходячи з можливості реалізації головних загроз інформаційної безпеки (порушення конфіденційності, цілісності і доступності), то більше половини виявлених вразливостей мають високу метрику по такому важливому показнику, як порушення доступності. У сукупності з можливістю віддаленої експлуатації вразливостей і слабкими механізмами аутентифікації це значно підвищує ризик проведення атак на АСУ ТП.



Розподіл вразливостей за ступенем ризику

Оскільки дані про процес усунення вразливостей не публікуються, у дослідженні використані дані, отримані експертами Positive Technologies безпосередньо від виробників. Докладна інформація про виявлені уразливості, що вже усунуті виробниками, представлена на сайті компанії. За даними 2015 року, лише 14% вразливостей усунені протягом трьох місяців, 34% усувалися більше трьох місяців, а решту 52% помилок — або зовсім не виправлені, або виробник не повідомляє про час усунення.



Частка усунених вразливостей в компонентах АСУ ТП

Разом з тим в даний час тільки для 5% відомих вразливостей є опубліковані експлойти. Даний показник значно знизився порівняно з 2012 роком: тоді можна було знайти експлойти для 35% вразливостей.

Найбільшу кількість вразливостей відносяться до таких типів, як відмова в обслуговуванні (DoS), віддалене виконання коду (Code Execution) і переповнення буферу (Overflow). Експлуатація таких вразливостей зловмисником може призвести до відмови в роботі якого-небудь обладнання або до його несанкціонованої експлуатації, що, враховуючи вимоги до штатної роботи АСУ ТП, неприпустимо.



Поширені типи вразливостей компонентів АСУ ТП

Станом на березень 2016 року виявлено 158 087 компонентів АСУ ТП, доступних в мережі Інтернет. Найбільша кількість компонентів АСУ ТП доступно за протоколами HTTP, Fox, Modbus і BACnet, і в більшості випадків для авторизації в таких системах використовується словниковий пароль.

Найбільше число доступних компонентів АСУ ТП було знайдено в США (43%), Німеччини (12%), Франції, Італії та Канаді (приблизно по 5%). Низька кількість АСУ ТП, виявлених в Азії, пов'язане з використанням локальних і маловідомих на світовому ринку рішень. Росія займає 31 місце з 600 доступними компонентами (це менше 1% загального числа знайдених компонентів).



Число компонентів АСУ ТП, доступних в мережі Інтернет (за країнами)

За поширеністю компонентів АСУ ТП лідирують компанії Honeywell (17%), SMA Solar Technology (11%), Beck IPC (7%). Найбільш поширеними компонентами в мережі Інтернет є системи для автоматизації будівель компанії Tridium (25 264), що входить до складу групи компаній Honeywell, а також системи моніторингу та управління електроенергією, в тому числі на основі технологій сонячних батарей компанії SMA Solar Technology (17 275).

В ході дослідження були також знайдені автоматизовані системи, що управляють виробничими процесами різних підприємств, транспортом і водопостачанням. У багатьох випадках зловмиснику не обов'язково володіти якимись спеціальними знаннями, щоб отримати до них доступ: серед знайдених в мережі Інтернет компонентів АСУ ТП тільки дві третини можна умовно назвати захищеними.



Частка вразливих і безпечних компонентів АСУ ТП, доступних через Інтернет

Отримані дані говорять про відсутність адекватного захисту АСУ ТП від кібератак в 2016 році. Навіть мінімальні превентивні заходи, такі як використання складних паролів і відключення компонентів АСУ ТП від мережі Інтернет, дозволять значною мірою знизити ймовірність проведення атак, несучих помітні наслідки.

Повний текст дослідження «Безпека АСУ ТП в цифрах — 2016» можна знайти на www.ptsecurity.ru/research/analytics
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.