Для обнаружения видимых из глобальной сети и незащищенных устройств, входящих в инфраструктуру российских АСУ ТП, специалисты InfoWatch ARMA использовали общедоступный веб-сервис Shodan. Это система, которая с помощью поисковых ботов сканирует сеть (пассивный метод) и показывает доступные устройства, компьютерные системы и сервисы, их предположительное предназначение и уязвимости.
Специалисты по безопасности выявили в свободном доступе более 4 тысяч устройств АСУ ТП, более 700 из которых имели критические уязвимости, а около 500 не запрашивали аутентификацию пользователя для доступа. Географически половина от всего количества найденных устройств относились к Москве, Московской области и Санкт-Петербургу. Более 40% обнаруженных устройств представляли собой сетевое оборудование, из них 47% – телекоммуникационное оборудование промышленного стандарта бренда Moxa. В уязвимом оборудовании применялись такие промышленные протоколы, как Moxa Service, Modbus, HTTP. Также на многих устройствах осуществлялась работа web-сервиса устаревшей версии модуля RomPager, имеющей давно описанные критические уязвимости. Если в корпоративном сегменте сети указанные уязвимости уже не актуальны, то в технологическом сегменте этот веб-сервис часто не обновляется, и устройства получают риск переполнения буфера или получения злоумышленником привилегии root.
«Развитие информатизации происходит стремительно, но при этом не во всех компаниях настроен процесс безопасной разработки. Это приводит к появлению устройств, имеющих различные виды уязвимостей. Кроме того, жизненный цикл у АСУ ТП намного больше чем у систем в корпоративном сегменте. После того, как какая-то система автоматизации была введена в эксплуатацию, меняются бизнес-требования к ней, производятся дополнительные настройки, в службе поддержки появляются новые сотрудники, технологическая документация не обновляется. Возникает некий хаос, никто не видит полноценной картины того, что происходит в системе. Также стоит заметить, что на данный момент проводится сравнительно мало таргетированных атак с целью вывести оборудование из строя. 90% атак злоумышленники производят для получения выгоды: установки криптомайнингов, шифрования данных с требованием выкупа. Поэтому даже небольшой компании с несколькими АСУ ТП нужно задумываться о своей безопасности», – поясняет руководитель отдела защиты информации InfoWatch ARMA Равиль Зулкарнаев.
Исследователи InfoWatch ARMA передали всю информацию в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), и на данный момент большинство уязвимостей устранены субъектами КИИ. Однако остаются актуальными вопросы – почему в сети допускается присутствие такое большого количества устройств АСУ ТП, не имеющих достаточного уровня защиты, и как обезопасить такие устройства от неправомерного доступа.
Равиль Зулкарнаев называет несколько причин появления незащищенных устройств АСУ ТП в сети: ошибки персонала и незнание собственной инфраструктуры, ненастроенные технические средства и СЗИ, проблема обновлений, учетные записи по умолчанию, отсутствие регламентов. Проблема обновления стоит достаточно остро, поскольку для тестирования новых версий систем автоматизации сложно и затратно создать тестовую среду, идентичную действующей. Только у небольшого числа компаний есть тестовые зоны для обкатки обновлений. А вот проблема учетных записей, доступ к которым остается «по умолчанию», – вопрос исключительно дисциплинарный. Специалисты при внедрении, установке и настройке систем часто не изменяют учетные записи и не блокируют ненужные. В результате злоумышленнику достаточно получить мануал на определенное устройство и найти там пароль к учетной записи, чтобы подключиться к устройству.
Эксперты InfoWatch ARMA подробно рассказывают о том, как защитить АСУ ТП от возможности нелегитимного доступа к ней. Прежде всего необходимо проведение аудита безопасности и внедрение инструментов для контроля инфраструктуры. Если на каких то устройствах не нужен удаленный доступ, его нужно блокировать. Если удаленный доступ нужен, он должен быть организован безопасно: через VPN, выделенный канал.
Как итог – рекомендуется выстроить комплексную систему защиты информации. Под этим понимаются не только современные программные средства защиты, но и вся необходимая документация, политики безопасности, а также компетентный персонал, обученный администрированию и поддержке системы в актуальном состоянии.
Начать проверку защищенности объектов АСУ ТП стоит с аудита, изучения своей системы и инвентаризации устройств: зафиксировать пограничные и внешние IP-адреса. После этого по выборочному списку IP-адресов можно попробовать найти эти устройства через Shodan. При корректной настройке удаленного доступа Shodan не найдет эти устройства.
Следующие рекомендации взаимосвязаны: выстроить эшелонированную защиту всех АСУ ТП от компьютерных атак, повысить эффективность работы специалистов ИБ, обеспечить выполнение требований законодательства. Например, требования регуляторов следует учитывать при написании технического задания или технического проекта на создание системы информационной безопасности.
«Мы проводим работу по анализу защищенности объектов заказчиков, используя классический подход. Осуществляется разведка, вместе с заказчиком мы определяем критичные и не критичные активы, уязвимости и угрозы. Проверка возможности эксплуатации определенных уязвимостей осуществляется на тестовом стенде. На последнем этапе разрабатываются типовые политики и организуется настройка оборудования. Помимо этого некоторые заказчики обращаются к нам за более глубоким исследованием – анализом защищенности самого оборудования», – рассказал Равиль Зулкарнаев.
InfoWatch ARMA разрабатывает программный комплекс для обеспечения безопасности информации на промышленных объектах: в технологических сетях АСУТП и IoT/IIoT. Сегодня этот комплекс состоит из трех основных инструментов: промышленного межсетевого экрана InfoWatch ARMA Industrial Firewall, решения для создания защищенной программной среды InfoWatch ARMA Industrial Endpoint и системы управления InfoWatch ARMA Management Console.
InfoWatch ARMA Industrial Firewall поддерживает возможность поддержки и инспекции промышленных протоколов (на данный момент их 23), сочетает функции межсетевого экранирования и средства обнаружения вторжения. На объектах АСУ ТП он выступает в роли DMZ-зоны – компонента, который разделяет корпоративный и технологический сегменты сети. Также этот инструмент обеспечивает создание безопасного удаленного подключения через VPN. InfoWatch ARMA Industrial Firewall включен в реестр российского ПО, имеет сертификаты ФСТЭК, уровень доверия 4.
InfoWatch ARMA Industrial Endpoint решает три задачи: контроль целостности файлов на рабочих станциях и серверах, контроль съемных носителей (не только USB-устройства, но и другие носители, которые до сих пор актуальны для АСУ ТП – например кассеты и дискеты), блокировка недоверенного программного обеспечения на основе белых списков.
«Эти компоненты позволяют нам создать полноценную защищаемую среду на рабочей станции. Дополнительно – до конца 2021 года мы выпустим антивирусное ядро и приблизимся к получению сертификата ФСТЭК. Таким образом наш Industrial Endpoint будет иметь все нужные компоненты для защиты рабочих станций и серверов», – добавляет руководитель отдела технической поддержки продаж InfoWatch ARMA Фёдор Трифонов.
Ключевые задачи InfoWatch ARMA Management Console – предоставление офицерам СБ возможности из единой консоли управлять решениями и обновлять их, собирать с них необходимые данные, предоставлять их в SOC или SIEM, управлять активами и взаимодействовать с ГосСОПКА.