Придерживайтесь большего количества нападений на промышленные системы в 2013 году

Все большее число исследователей уязвимости сосредоточат свое внимание на промышленных системах управления (ICS) в будущем году, но так будут и кибератакеры, эксперты по безопасности.

Системы управления состоят из контрольного программного обеспечения, работающего на выделенных рабочих станциях или серверах, и компьютерных программируемых аппаратных устройств, которые подключены к электромеханическим процессам и управляют ими. Эти системы используются для мониторинга и контроля различных операций на промышленных объектах, военных объектах, электрических сетях, системах водоснабжения и даже общественных и частных зданиях.

Некоторые из них используются в критической инфраструктуре - системах, от которых зависят большие популяции электричество, чистая вода, транспорт и т. д., поэтому их потенциальный саботаж может иметь далеко идущие последствия. Другие, однако, имеют отношение только к предприятиям их владельцев, и их неисправность не будет иметь широкого влияния.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Вредоносная программа предоставляет недостатки

Безопасность SCADA (диспетчерский контроль и сбор данных) и другие типы промышленных систем управления были предметом многочисленных дискуссий в отрасли ИТ-безопасности, так как вредоносное ПО Stuxnet было обнаружено в 2010 году.

Stuxnet был первым известным вредоносным ПО, специально предназначенным для заражения SCADA систем и был успешно использован для повредить центрифуги для обогащения урана на иранской атомной станции в Натанзе.

Stuxnet - это сложный кибервезон, который, как считается, был разработан национальными государствами, как сообщается, США и Израилем, с доступом к квалифицированным разработчикам, неограниченным фондам и подробной информации о слабостях системы управления.

Нападение критически важных систем управления инфраструктурой требует серьезного планирования, сбора разведывательных данных и использования альтернативного метода доступа ds-Stuxnet был разработан для распространения через USB-устройства, потому что компьютеры Natanz были изолированы от Интернета, использовали ранее неизвестные уязвимости и предназначались для очень специфических конфигураций SCADA, найденных только на сайте. Тем не менее, системы управления, не входящие в критическую инфраструктуру, становятся все более легко атаковать менее квалифицированные злоумышленники.

Это связано с тем, что многие из этих систем подключены к Интернету для удобства удаленного администрирования и потому, что информация об уязвимостях в ICS программное обеспечение, устройства и протоколы связи более легко доступны, чем в дни pre-Stuxnet. Сведения о десятках уязвимостей SCADA и ICS были публично раскрыты исследователями безопасности за последние два года, часто сопровождаются кодом эксплойта с концептуальной концепцией.

«Мы увидим увеличение использования доступных устройств системы управления доступом в Интернет поскольку эксплуатация становится автоматизированной », - сказал Дейл Петерсон, исполнительный директор Digital Bond, компании, специализирующейся на исследованиях и оценке безопасности ICS по электронной почте.

Однако большинство доступных устройств системы управления доступом к Интернету не являются частью того, что по его словам, большинство людей будут рассматривать критическую инфраструктуру. «Они представляют собой небольшие муниципальные системы, системы автоматизации зданий и т. Д. Они очень важны для компании, которая владеет и управляет ими, но не будет влиять на большую часть населения или экономику по большей части».

Атакующие, которые потенциально могут быть заинтересованы в таргетинге на такие системы входят политически мотивированные хакеры, пытающиеся сделать заявление, группы хактивистов, заинтересованные в привлечении внимания к их делу, преступники, заинтересованные в шантажирующих компаниях или даже хакеры, делающие это весело или похвастаться правами.

Хакеры находят цели

Недавно пропущенный документ cyberalert ФБР от 23 июля показал, что в начале этого года хакеры получили несанкционированный доступ к системе отопления, вентиляции и кондиционирования воздуха (HVAC), работающей в офисном здании кондиционирующей компании в Нью-Джерси, используя уязвимость бэкдора в контроле коробка, соединенная с ним - система управления Niagara, выполненная Tridium. Целевая компания установила аналогичные системы для банков и других предприятий.

Нарушение произошло после того, как информация о уязвимости в системе Niagara ICS была опубликована в Интернете в январе хакером с использованием прозвища «@ntisec» (antisec). Операция AntiSec была серией хакерских атак, нацеленных на правоохранительные органы и правительственные учреждения, организованные хакерами, связанными с LulzSec, анонимными и другими группами хактивистов.

«21 и 23 января 2012 года неизвестный субъект опубликовал комментарии на известном веб-сайте США, под названием «#US #SCADA #IDIOTS» и «#US #SCADA #IDIOTS part-II», - говорится в заявлении ФБР в просочившемся документе.

«Дело не в том, насколько возможны атаки против ICS или нет, потому что они «Рубен Сантамарта, исследователь безопасности в консалтинговой фирме IOActive по безопасности, который в прошлом обнаруживал уязвимости в системах SCADA, сказал по электронной почте. «Когда мотивация достаточно сильна, мы столкнемся с большими инцидентами. Геополитическое и социальное положение не помогает, так что не смешно предположить, что 2013 год станет интересным годом».

Целенаправленные атаки - это не единственная проблема; SCADA вредоносная программа тоже. Виталий Камлук, главный эксперт по вредоносному ПО в антивирусном продукте «Лаборатория Касперского», считает, что в будущем в SCADA будет больше вредоносных программ, предназначенных для SCADA-систем.

«Stuxnet демонстрирует, насколько уязвимы ICS / SCADA открыта совершенно новая область для whitehat и blackhat исследователей », - сказал он по электронной почте. «Этот вопрос будет в верхнем списке на 2013 год».

Однако некоторые исследователи безопасности считают, что создание такого вредоносного ПО по-прежнему выходит за рамки возможностей обычных злоумышленников.

«Создание вредоносного ПО, которое будет успешным в атаке на ICS не является тривиальным и может потребовать много понимания и планирования », - сказал по электронной почте Томас Кристенсен, главный сотрудник службы безопасности по вопросам уязвимости и управляющей компании Secunia. «Это также значительно ограничивает количество людей или организаций, способных снять такую ​​атаку».

«Мы не сомневаемся, что мы увидим атаки против ICS», - подчеркнул Кристенсен.

«Большинство развернутых приложений SCADA и DCS [распределенной системы управления] и аппаратного обеспечения были разработаны без жизненного цикла разработки (SDL) - думаю, Microsoft в конце 90-х годов - поэтому он распространен с распространенными ошибками программирования, которые приводят к ошибкам, уязвимостям и подвиги », - сказал Петерсон. «Тем не менее, ПЛК и другие полевые устройства небезопасны по дизайну и не требуют уязвимости для принятия критического процесса или изменения его вредоносным способом a la Stuxnet».

Компания Peterson Digital Bond выпустила несколько эксплойтов для уязвимостей, обнаруженных во многих ПЛК (программируемых логических контроллерах) - компонентов аппаратного обеспечения SCADA - от нескольких поставщиков в качестве модулей для популярной платформы тестирования проникновения Metasploit, инструмента с открытым исходным кодом, который может использоваться практически любым. Это было сделано в рамках исследовательского проекта Project Basecamp, целью которого было показать, насколько хрупкими и небезопасными многие существующие ПЛК.

«Единственным ограничением для обнаружения большого числа уязвимостей SCADA и DCS являются исследователи, получающие доступ к оборудованию, - сказал Петерсон. «Больше пытаются и преуспевают, поэтому будет увеличиваться уязвимость, которая будет раскрыта любым способом, который исследователь считает уместным».

По-прежнему нужны исправления

Santamarta согласился с тем, что исследователям легко обнаружить уязвимости в программном обеспечении SCADA сегодня.

Существует даже рынок информации об уязвимости SCADA. ReVuln, основанная на Мальте фирма по безопасности при запуске, основанная исследователями безопасности Луиджи Ауриемма и Донато Ферранте, продает информацию об уязвимостях программного обеспечения государственным учреждениям и другим частным покупателям, не сообщая об этом пострадавшим поставщикам. По мнению Донато Ферранте, более 40 процентов уязвимостей в портфеле ReVuln на данный момент являются SCADA.

Тенденция, похоже, растет как для нападений, так и для инвестиций в области безопасности SCADA. «На самом деле, если мы подумаем, что несколько крупных компаний на рынке SCADA вкладывают большие деньги в упрочение этих инфраструктур, это означает, что тема SCADA / ICS будет и останется горячей темой для предстоящих лет», - сказал Ферранте по электронной почте.

Однако обеспечение безопасности SCADA-систем не так просто, как обеспечение регулярных ИТ-инфраструктур и компьютерных систем. Даже когда исправления безопасности для продуктов SCADA выпускаются вендорами, владельцам уязвимых систем может потребоваться очень много времени для их развертывания.

В SCADA-системах очень мало автоматических решений для развертывания патчей, сказал Луиджи Ауриемма по электронной почте. В большинстве случаев администраторы SCADA должны вручную применять соответствующие исправления, сказал он.

«Ситуация критически плохая», - сказал Камлук. Основная цель систем SCADA - непрерывная работа, которая обычно не допускает горячего исправления или обновления - установки исправлений или обновлений без перезапуска системы или программы, - сказал он.

Кроме того, для исправлений безопасности SCADA необходимо тщательно тестироваться перед развертыванием в производственных средах, потому что любое неожиданное поведение может оказать существенное влияние на операции.

«Даже в тех случаях, когда существует исправление для уязвимости, мы найдем уязвимые системы в течение длительного времени», - сказал Сантамарта.

Большинство экспертов по безопасности SCADA хотели бы, чтобы промышленные контроллеры, такие как ПЛК, были перепроектированы с учетом безопасности.

«Необходимо, чтобы ПЛК с основными мерами безопасности и план их развертывания в наиболее важной инфраструктуре в течение следующих трех-трех лет », - сказал Петерсон.

« Идеальный сценарий - это то, где промышленные устройства безопасны по дизайну, но мы должны быть реалистичными, и это займет время », - сказал Сантамарта. «Промышленный сектор - это мир. Мы не должны строго смотреть на это с точки зрения нашей ИТ-инфраструктуры. Тем не менее, все понимают, что нужно что-то делать, включая промышленных поставщиков».

В отсутствие безопасности, дизайнерские устройства, владельцы ICS должны принять всесторонний подход к защите этих систем, сказал Сантамарта. «Учитывая, что существуют промышленные протоколы, которые по умолчанию небезопасны, имеет смысл добавить смягчения и различные уровни защиты».

«Отключить ICS из Интернета, поместить его в изолированный сегмент сети и строго ограничить / провести аудит доступ к ней », - сказал Камлук.

« Владельцы критической инфраструктуры должны понять, что для доступа к критической инфраструктуре необходимы отдельные сети или, по крайней мере, отдельные учетные данные », - сказал Кристенсен. «Ни один здравомыслящий администратор и администратор безопасности не будут подключаться к какой-либо из его систем с использованием учетных данных администратора и в пределах того же сеанса доступа к недружественному Интернету и читать электронные письма. Это также должно применяться к ICS, использовать один набор учетных данных для доступа к сеансу ICS и, возможно, доступ к сеансу подключения к Интернету с использованием настройки виртуального и / или удаленного рабочего стола ».

Обсуждение, обсуждаемое

Необходимость государственного регулирования, которая заставила бы операторов критически важной инфраструктуры обеспечивать свои промышленные системы управления, была предметом горячо обсуждаемой темы и многие эксперты по безопасности SCADA согласны с тем, что это может быть хорошей отправной точкой. Тем не менее, к этой цели достигнут небольшой прогресс.

«Самое амбициозное правительственное постановление NERC CIP для североамериканского сектора электроэнергии было неудачным», - сказал Петерсон. «Большинство хотели бы успешного государственного регулирования, но не могут определить, что это будет».

«Я бы просто хотел, чтобы правительство было честным и высказалось вслух, что эти системы небезопасны по дизайну и организациям, которые управляют критической инфраструктурой SCADA и DCS должен иметь план по обновлению или замене этих систем в течение следующих трех лет », - сказал он.

Правительственное регулирование было бы чрезвычайно полезно, сказал Камлук. Некоторые поставщики SCADA жертвуют безопасностью для экономии затрат на разработку, не учитывая риски таких решений и их потенциальное влияние на человеческие жизни, сказал он.

В начале этого года «Лаборатория Касперского» открыла планы по разработке ОС, которая обеспечила бы безопасную защиту, среды проектирования для работы SCADA и других систем ICS. Идея, лежащая в основе ОС, заключается в том, чтобы гарантировать, что на ней не будет работать незаявленная функциональность, что предотвратит выполнение злоумышленниками злоумышленников при использовании уязвимых уязвимостей.

Хотя это звучит как интересный проект, еще предстоит увидеть, как сообщество SCADA и отраслевой сектор отреагируют на него, сказал Сантамарта.

«Информация о новой ОС недостаточно для оценки ее возможностей», - сказал Ферранте, «Для этого нам нужно будет дождаться официального релиза. В любом случае главная проблема при принятии новой ОС заключается в том, что она должна иметь возможность запускать существующие системы SCADA без необходимости переписывать их код».