Свен Шрекер, главный архитектор IoT Security Solutions Group корпорации Intel Security — личность довольно известная Поэтому мы решили перевести одну из его недавних статей, посвящённых информационной безопасности в промышленности. Приятного чтения!

История промышленной автоматизации кажется мне весьма захватывающей. Новые технологии подхватили производственные процессы из индустриальной эпохи, катапультировав их прямо в век информации. Когда казалось, что производительность уже достигла своего пика, интернет помог поднять эффективность производства до невообразимых уровней. 

К сожалению, промышленная автоматизация ворвалась в современный, управляемый данными и связанный с интернетом мир, и промчалась мимо цифровой безопасности, нисколько не замедляя своего темпа. 

Добро пожаловать в цифровую эпоху, когда анонимный хакер в виртуальном пространстве может проникнуть в системы промышленной автоматизации. Как же обеспечить безопасность этих систем, в то же время удовлетворяя потребностям бизнеса? 

От команд оперативных технологий (OT) по-прежнему требуется высокая отказоустойчивость и доступность. От команд информационных технологий (ИТ) требуют взаимосвязанности, безопасности предприятия и соответствия нормам и предписаниям. Обе эти команды должны задействовать новых специалистов: аналитиков данных, которым необходим сбор, обмен и анализ данных в режиме реального времени для каждого бизнес-решения. В данной статье обсуждается ситуация с безопасностью в современных системах промышленной автоматизации, технологические и организационные проблемы ее совершенствования, и динамическая модель для внедрения безопасности и доверия в системы промышленного управления (industrial control systems – ICS) и систем контроля и сбора данных (SCADA).

У преступности и конфликтов новый адрес


Физические взломы и атаки на системы SCADA и ICS-это в значительной степени феномен двадцатого века. Большинство атак сегодня осуществляется злоумышленниками, имеющими высокую мотивацию и необходимые ресурсы. Эти люди часто являются опытными программистами, работающими на киберпреступные группировки с других континентах. Холдинги и даже государства постоянно ведут невидимую схватку с врагом, поскольку под угрозой находятся производственные мощности и критическая инфраструктуру. Вот несколько примечательных примеров:

  • Наиболее известная атака на систему промышленной автоматизации была совершена в 2010 году, когда компьютерный червь Stuxnet атаковал промышленные программируемые логические контроллеры в иранском ядерном обогатительном комбинате, тонко манипулируя данными обратной связи центрифужных установок. Считается, что это была одна из первых кибератак, осуществленных на государственном уровне, хотя заказчик атаки так и не был установлен официально.
  • В декабре 2014 года Федеральное агентство Германии подтвердило, что немецкий металлургический завод был взломан через электронную почту, что позволило хакерам проникнуть в производственную сеть организации. Система управления завода была скомпрометирована, а заводская печь не была остановлена вовремя. В результате был нанесен «огромный физический ущерб» производственной системе. Это событие отправляет нас в новую эру киберфизических атак с угрозами безопасности для людей.
  • В декабре 2014 года ведущий поставщик систем промышленной автоматизации исправил ряд недостатков в своих контроллерах удаленных терминальных блоков, используемых в нефте-и газопроводах. Недостатки включали скрытые функции, обход аутентификации и жестко закодированные учетные данные, которые могли позволить удаленные эксплойты устройств. Хотя до сих пор не было зарегистрировано никаких нарушений, существование подобных уязвимостей может привести к крайне тяжелым последствиям.

К сожалению, подобные инциденты безопасности возникают всё чаще (мы писали недавно про ещё одну историю, когда хакеры атаковали американскую газораспределительную систему. Для атаки использовался классический Ransomware, вирус-вымогатель) а ущерб от них постоянно растёт. Актуальный список предупреждений, рекомендаций и сообщений об атаках можно найти на веб-сайте группы реагирования в чрезвычайных ситуациях в области кибербезопасности (ICS-CERT).

Атака на данные


Сбор и анализ данных — это конкурентное оружие нашего времени. На их основе генерируются аналитические идеи, которые оптимизируют процессы в каждой области бизнеса. Нередко производители вкладывают сотни миллионов долларов, чтобы добиться повышения эффективности на 10-20 процентов. Эффективность увеличивается благодаря данным (и выводам из них), полученных в результате анализа потребительского использования и спроса, закупок, оптимизации цепочки поставок, производственных процессов производства, прогнозного планирования и многого другого. Аккуратно изменяя эти данные, злоумышленники могут де-оптимизировать процессы компании, которая даже не заметит этого. Даже самая лёгкая манипуляция данными может нанести ущерб бизнесу, который и так вечно балансирует на грани.

Мифы и заблуждения о безопасности


Целый ряд мифов и заблуждений препятствовал развитию системы безопасности промышленной автоматизации. К наиболее распространенным относятся:

  • «Наши технологические системы надёжно защищены, потому что производственная линия не подключена к интернету». Это популярное и очень опасное заблуждение. Крайне маловероятно, что какая-либо система управления производством действительно изолирована. Даже один пользователь, который может получить доступ к производственной системе, войдя в Интернет, или который подключается к системе с помощью ноутбука или планшета, создает уязвимости в системе безопасности. Достаточно вспомнить случаи с иранским ядерным обогатительным комбинатом и немецким сталелитейным заводом.
  • «Мы используем 20-летнюю проприетарную систему, которая не уязвима для современных средств и методов атаки». Уязвимость в устаревших проприетарных системах иногда заключается в коммуникациях, протоколах и даже архитектуре системы, а не только в самой системе. Безопасность через неизвестность больше не работает. Переход от физического мира к виртуальному/управляемому данными, основанному на программном обеспечении, создает совершенно новые проблемы безопасности. Если в данных есть ценность, хакеры найдут способ получить к ним доступ.
  • «Поставщики систем безопасности поставят волшебную коробку, которая защитит наши технологические линии точно так же, как брандмауэры и системы обнаружения вторжений защищают наши ИТ-системы». Нет никакого универсального устройства, позволяющего гарантировать безопасность всех подключенных к интернету систем.

Модель развертывания системы безопасности


Создание постоянной цепочки доверия


Современные клиент-серверные системы промышленной автоматизации перешли на архитектуру edge-to-cloud из-за преимуществ в стоимости и гибкости. И сегодняшний взаимосвязанный мир увеличивает количество рисков в этих системах. Независимо от применения, обеспечение безопасности начинается с установления цепочки доверия между устройствами, данными и системами. В доверенной системе для обеспечения совместимости и целостности в каждой точке все должно быть аутентифицировано и валидировано. А требования к доступности и унаследованный характер систем промышленной автоматизации создают дополнительные проблемы. Сохранение уже сделанных инвестиций в инфраструктуру системы имеет первостепенное значение. Поэтому жизнеспособная модель безопасности должна работать как с существующими, так и с новыми системами. Кроме того, безопасность — это динамический процесс, поскольку потребности в безопасности, политики и методы обнаружения угроз меняются с течением времени. Поэтому любое жизнеспособное решение должно быть адаптируемым и обновляемым.

Основные требования


Интегрированная модель системы безопасности устанавливает и обеспечивает надежную взаимосвязанность систем промышленной автоматизации. Эта модель имеет три основных требования:

  • Защищенные устройства (со встроенными функциями защиты информации)
  • Защищенные коммуникации (протоколы обмена между устройствами)
  • Мониторинг и управление безопасностью (реагирование на события и инциденты)

Защищенные устройства


Создание цепочки доверия начинается с проверки подлинности устройства. Предыдущие подходы к проверке идентичности устройств, такие как использование IP-адресов и МАС–адресов, не заслуживают доверия: IP-адреса меняются регулярно и могут быть очень легко подделаны хакерами, в то время как MAC-адреса могут быть легко сброшены. Поэтому аутентификация устройства должна начинаться на физическом уровне процессора внутри «железки». Для повышения защищенности могут использоваться технологии доверенного исполнения. Например, встроенный сопроцессор безопасности — специальный микропроцессор, предназначенный для хранения криптографических ключей в защищенном от несанкционированного доступа аппаратном контейнере.

Это позволяет чипу самому выполнять криптографические операции, такие как измерение уровня доверия в процессе загрузки, операционной системе, виртуальной машине или приложению. Ключевым моментом этого процесса является точное измерение кода, структуры данных, конфигурации, информации или всего, что может быть загружено в память. При измерении вычисляется криптографический хэш с использованием защищенного алгоритма хэширования. Он и позволяет проверить целостность и обнаружить изменения (или повреждения) в коде, конфигурации или данных.

Подобная схема применяется и к ПО, находящемуся на диске, чтобы проверить, не было ли оно подделано перед загрузкой в память и выполнением. Цепочка доверия продолжает выстраиваться и проверяться через весь программный стек, в том числе в процессе загрузки, и по всей системе — даже когда данные шифруются и передаются в облако. Получение доверенных устройств, данных и программ имеет важное значение в промышленной автоматизации, особенно учитывая преобладание межмашинной связи. Например, доверенные устройства могут подписывать электронной подписью данные, полученные надёжными промышленными контрольными датчиками. Если хакер манипулирует данными, то сигнатура данных будет неточной и будет отмечена системой мониторинга. В этом случае будут установлены недостоверная часть данных и машина или датчик, где произошли изменения.

Безопасная связь


Доверенное пространство для выполнения транзакций – это зоны, которые позволяют осуществлять авторизованные бизнес-коммуникации. Устройства должны обеспечивать доверие и целостность данных в пределах каждой зоны. Две технологии в области безопасности позволяют осуществлять связь между доверенными зонами: интеллектуальные шлюзы безопасности, которые позволяют пользователям безопасно агрегировать, фильтровать и обмениваться данными от офиса до облака; и доверенные среды выполнения, которые позволяют безопасно и надежно выполнять данные приложений в любом месте.

Интеллектуальные шлюзы: связь прошлого и будущего


Существует причина, по которой устаревшие системы так распространены в промышленной автоматизации: они работают. Некоторые из них совершенствовались в течение десятилетий. Новые классы интеллектуальных шлюзов (некоторые размером всего два дюйма на два дюйма) применяются для расширения устаревших систем путем подключения их к интеллектуальной инфраструктуре следующего поколения. Эти шлюзы физически разделяют устаревшие системы, производственные зоны и внешний мир, ограничивая атакующую поверхность системы промышленной автоматизации.

Такой шлюз может защитить устаревшее устройство без внесения в него изменений, что делает его привлекательным первоначальным решением безопасности для создания согласованного уровня безопасности в промышленной среде. Как и в случае любого защищенного устройства, шлюзы безопасности должны безопасно загружаться, проходить проверку подлинности в сети, а затем выполнять любое количество задач безопасности и связи от имени устройств, стоящих за ними. Они могут быть подготовлены для связывания доверенных зон путем проверки расчетов целостности, проверки сертификатов, применения криптографии и установления надежных каналов связи. Шлюзы могут также включать протоколы для управления производственными системами, к которым они подключены, что может продлить срок службы этих систем, позволяя производить ремонт и обновление без физического посещения доверенных зон размещения оборудования.

Доверенные среды выполнения: безопасность и конфиденциальность везде


Доверенная среда выполнения повышает уровень безопасности, предотвращая выполнение вредоносного кода. Используются технологии виртуализации и шифрования для создания безопасных контейнеров для приложений и данных. С такими контейнерами работают только утвержденные устройства. Эти среды являются безопасными и надежными зонами, они обеспечивают защиту данных от несанкционированного доступа, делая данные и приложения невидимыми для третьих лиц, предотвращая возможные утечки конфиденциальной информации.

Даже в виртуальной машине, управляемой неизвестным поставщиком, доверенная среда выполнения может проверить подлинность и создать цифровую подпись данных, а в последствии и подтвердить целостность этих данных. Например, производственные данные из системы промышленной автоматизации, которые хранит и обрабатывает поставщик облачных услуг, будут надежно защищены от подмены и изменения.

Мониторинг и управление безопасностью


Старая поговорка IT гласит: вы не можете управлять тем, что не можете контролировать. Для эффективного надзора за распределенными системами промышленной автоматизации нужны централизованное управление устройствами предприятия, а также возможности мониторинга, сбора и анализа информации о событиях на всех устройствах. Это позволит обеспечить сквозную ситуационную осведомленность об всей системе.

Консоли управления безопасностью предприятия


Консоль управления позволяет ИТ-персоналу управлять и наблюдать за глобальной высокоразвитой распределенной средой. С консоли управления удаленно управляется и обновляется программное обеспечение на устройствах, а также определяется и уточняется политика безопасности на устройствах. Например, управление политиками «белых списков» на удаленных устройствах, в которых определен перечень доверенных приложений, данных, средств связи и другие функции, которые разрешено выполнять устройству.

Консоль корпоративного управления компании должна быть тесно интегрирована с её решением по защите информации и мониторингу событий (SIEM-системе) и другими модулями безопасности. Высокий уровень интеграции может значительно снизить сложность, улучшить ситуационную осведомленность и сократить время и расходы на управление. Кроме того, масштабируемость консоли управления предприятием и используемой SIEM становится критически важным.

Информация о безопасности и мониторинг событий


SIEM-системы собирают, консолидируют, сопоставляют, оценивают и устанавливают приоритеты событий безопасности со всех управляемых устройств системы промышленной автоматизации. SIEM позволяет поддерживать ситуационную и контекстную осведомленность обо всех событиях, а также определять базовые тенденции и аномалии. Поведенческие характеристики помогают различать нормальные и ненормальные модели работы и совершенствовать политики, сводя к минимуму ложные срабатывания. Данные SIEM также важны для проведения судебной экспертизы, позволяя лучше понять инцидент безопасности или сбой устройства.

Создание экосистемы


Учитывая распределённый, взаимосвязанный характер современных систем промышленной автоматизации, для достижения полной безопасности нужно работать сразу по многим векторам. Производители оборудования для промышленности и критической инфраструктуры (OEM-производители) активно формируют консорциумы с поставщиками корпоративной безопасности для обеспечения совместимости, установления открытых стандартов и определения интерфейсов прикладного программирования. Новые системы и промышленные контрольные устройства строятся с нуля и разрабатываются с использованием технологий безопасности, обеспечивающих обратную и прямую совместимость.

Советы, хитрости и критические идеи


Нет двух одинаковых компаний — каждая из них имеет уникальную инфраструктуру безопасности, используемые технологии и процессы. Некоторые из них добились значительного прогресса в создании конвергентных решений для обеспечения безопасности систем, в то время как другие находятся в начале пути. Независимо от того, на каком этапе находится организация в этом процессе, вот некоторые общие рекомендации, которые следует иметь в виду.

  • Создайте целевую группу для обеспечения безопасности. Убедитесь, что в группу входит персонал, ответственный как за информационные, так и за оперативные технологии. Выделите ключевых сотрудников в ваших группах управления производством и промышленной системой и приглашайте их на брифинги и мероприятия. Совершите экскурсию по заводу или производственному объекту и поговорите с руководителями и передовым персоналом.
  • Планируйте создание системы защиты поэтапно. Выделяйте целевые функции, которые достижимы и измеримы в разумные сроки. Например, начните с развертывания интеллектуальных шлюзов на ключевых устройствах или производственных зонах в одном объекте и используйте этот сегмент как пилотный для мониторинга событий, управления и уточнения политики.
  • Выберите поставщиков решений, которые хорошо взаимодействуют с другими поставщиками и их продуктами. Учитывая огромные сложности обеспечения безопасности систем промышленной автоматизации, не существует такого понятия, как решение одного поставщика или «технологическая серебряная пуля». Является ли безопасность их основной компетенцией? Есть ли у них опыт работы в области встроенной безопасности и критической инфраструктуры?
  • Настаивайте на масштабируемости. Сделайте технологии управления и мониторинга масштабируемыми для обработки потенциальной деятельности по слиянию и поглощению, или увеличению интернет-подключенных устройств и связанных с ними событиях безопасности по мере роста компании.

Рассмотрим, как использовать эти концепции для создания более высоких уровней встроенной безопасности, защищенных коммуникаций и управляемости в системах промышленной автоматизации. В конце концов, в наши дни никто не может быть защищен слишком хорошо.

Итак, гипотетический пример из жестокого реального мира — враждебное поглощение компании через манипуляцию данными. Недобросовестные игроки будут использовать любые средства для достижения своих целей при этом нанося вред конкурентам — включая хакерство, промышленный шпионаж и саботаж. Рассмотрим такой пример: крупный химический конгломерат хочет захватить конкурента, у которого нет желания быть выкупленным.

Взлом производственной системы конкурента, манипулируя заказами на складские запасы или лёгкое изменение технических характеристики материалов может негативно сказаться на качестве продукции. Это снижает удовлетворенность клиентов, сокращаются продажи и снижается прибыльность. Очень вероятно, что причины возникновения проблем даже не будут обнаружены. Возникающее в результате недовольство акционеров может создать благоприятные условия для приобретения и выгодную цену. Системы промышленной автоматизации особенно уязвимы для подобных атак, поскольку многие из них подключены к интернету без надлежащей защиты.

Кроме того, многие повседневные решения принимаются в результате межмашинного взаимодействия, что затрудняет их отслеживание без надлежащей системы безопасности. Хотя кибератака уже является морально обанкротившейся бизнес-идеей, трудно спорить о её экономической ценности.

Что ещё полезного можно почитать в блоге Cloud4Y

> Жизнь байта данных
> Компьютерные бренды 90-х, ч. 1
> Пасхалки на топографических картах Швейцарии
> Как мама хакера проникла в тюрьму и заразила компьютер начальника
> Как «сломался» банк

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу. А ещё напоминаем, что Cloud4Y 13 апреля в 15-00 (мск) проведёт вебинар «Как перейти на удаленку: быстрая организация удаленной работы сотрудников». Регистрируйтесь, чтобы принять участие!