Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Захист промислових мереж: основні ризики і сценарії атак

2021-02-22
Автор: Телесфера

Кількість автоматизованих систем управління виробництвом (Industrial Control Systems, ICS), що підключаються до корпоративних ІТ-мереж, неухильно зростає. Багато компаній впроваджують технології промислового Інтернету речей (IIoT). Поглиблена інтеграція між ІТ-інфраструктурою, хмарними системами і промисловими мережами призводить до виникнення різних загроз для безпеки компаній. Це стає основним бар'єром на шляху до впровадження цифрових технологій. У статті розповідаємо як рішення Cyber Vision допомагає підприємствам розгортати технології промислового Інтернету речей (IIoT) і ефективно захищати свої мережі та ІТ-інфраструктури.

Давайте розберемося, що представляє собою Cisco Cyber Vision. Рішення дає повний огляд промислової системи управління, включаючи динамічну інвентаризацію активів, моніторинг в режимі реального часу мереж управління і технологічних даних, всеосяжну розвідку загроз з метою вибудовування безпечних інфраструктур і реалізації політик безпеки для контролю за ризиками.

Варто відзначити, що Cyber Vision вбудовано в промислове мережеве обладнання, тому дозволяє легко розгорнути систему безпеки операційних технологій (OT) в будь-якому масштабі. Продукт забезпечує існуючі платформи кібербезпеки інформацією про активи та події ОТ, щоб можна було створити єдину стратегію управління погрозами.

Рішення було спеціально розроблено для промислових організацій з метою забезпечення повної прозорості їх систем управління виробництвом. Щоб ці системи, в свою чергу, могли гарантувати цілісність процесів, створювати безпечні інфраструктури, забезпечувати відповідність нормативним вимогам і застосовувати політики безпеки для контролю ризиків.

За словами директора департаменту галузевих рішень IT-Integrator Миколи Ломенко, основна специфіка систем управління виробництвом полягає в тому, що вони дуже закриті, мають обмежені можливості по контролю і набагато гірше захищені від кібератак, ніж більш відкриті і захищені мережі для IT-систем. Коли при впровадженні цифровізації виробничих процесів проводиться інтеграція OT c IT, дуже складно гарантувати кібербезпеку саме для перших за допомогою більш розвинених засобів управління безпекою IT-систем. Кожна з OT-систем може мати свою індустріальну специфіку (інші протоколи, стандарти і т. д.), яку зараз не підтримують засоби управління IT-систем.

Які ризики?

Який же ландшафт ризиків для промислових мереж? У традиційному світі ІТ-ризик пов'язаний з погрозами, які можуть підірвати конфіденційність, цілісність і доступність даних і систем. Вплив в основному носить фінансовий характер, наприклад, випадки вимагання (вірус Cryptolocker), банківського шахрайства або атак типу «відмова в обслуговуванні», які розповсюджуються на веб-сервери, що використовуються сайтами електронної комерції.

АСК ТП управляють фізичним світом, в якому використовуються ОТ. Ризик в їх середовищах включає загрози, які можуть підірвати операційну безпеку (фізична безпека товарів і людей, вплив на навколишнє середовище) і доступність або навіть фізичну цілісність виробничого інструменту. Також слід побоюватися крадіжки важливих промислових даних.

Дистанційна діагностика та віддалене обслуговування вимагають відповідного доступу до мереж і промислових систем управління. Віддалений доступ являє собою ще більш серйозний вектор загроз, оскільки він пов'язує мережі різної критичності, а іноді і для третіх сторін.

Робочі станції віддаленого доступу підключаються до серцевини найважливіших промислових систем управління для виконання операцій, які можуть мати значний вплив (наприклад, оновлення програмного забезпечення або завантаження нової прошивки). Їх не можна просто заборонити, вони повинні контролюватися за допомогою ефективних механізмів моніторингу.

Всі ці вектори загроз здебільшого характерні для промислового світу. Заходи безпеки, реалізовані в системах управління виробництвом, повинні враховувати операційну реальність, в якій персонал OT повинен продовжувати експлуатувати об'єкти і працювати ефективно. Вони не можуть просто заборонити весь віддалений доступ або покладатися виключно на засоби контролю доступу та організаційні заходи.

Крім того, промислові системи управління ніколи не були призначені для боротьби з погрозами кібербезпеки. Вони створюються з метою забезпечення експлуатаційної безпеки і безперервності операцій і часто не беруть до уваги можливість того, що мотивований і зловмисний зловмисник може дістатися до їх цифрових інтерфейсів.

Ось чому до цих пір продукти автоматизації виконують лише кілька функцій кібербезпеки. Більш того, в більшості випадків промислові оператори не активують функції кібербезпеки.

Для побудови ефективної стратегії кібербезпеки АСК ТП вкрай важливо ідентифікувати події безпеки, які найбільш вірогідні. Це дозволить зосередитися на прийнятті відповідних заходів для захисту активів, які з найбільшою ймовірністю стануть мішенями, і підвищення безпеки конфіденційних активів, які зловмисник може використовувати для проникнення в АСК ТП.

В області промислової кібербезпеки подія, якої побоюються, включає в себе кібератаку на промислову ІС, вона може завдати значної шкоди діяльності компанії, її виробничим інструментам, продукції, яка випускається, або навіть її співробітникам або клієнтам.

Для систематизації сценарію кібератак і деталізації їх різних фаз використовується концепція Cyber Kill Chain. Вона дозволяє докладно описати структуру складної спроби вторгнення, характерну для нових атак.

Етапи Cyber Kill Chain

Етапи Cyber Kill Chain складаються з розпізнавання, озброєння, доставки, операції, інсталяції, управління і контролю, а також дії по цілям. У разі подій, описаних нижче, передбачається, що зловмисник вже «підключений» до промислової мережі управління.

Особливо важливо розуміти, як кіберзлочинець зламає промислову мережу своєї цілі. При розробці процесу моніторингу необхідно враховувати безліч чутливих моментів. Вони класифікуються за ймовірністю.

Захоплення промислової станції

Зловмисник використовує цільові механізми поширення ІТ (тобто шкідливе ПЗ зв'язується з сервером «управління і контролю» зловмисника) для поширення шкідливого ПЗ в цільовій мережі до тих пір, поки воно не досягне робочої станції в промисловій сфері. Основними цілями є станції диспетчерського управління та збору даних (SCADA) і інженерні станції, оскільки вони містять важливу інформацію про процес.

Підміна авторизованого віддаленого доступу для третьої сторони

Зловмисник використовує авторизований віддалений доступ для третьої сторони, наприклад, субпідрядника. Це може бути з'єднання DSL/Ethernet або VPN, залишене відкритим або використовується тільки для певних IP-адрес. Це часто дає доступ до серця промислового об'єкта, забезпечуючи «якісну» точку входу для нападника.

Злом бездротового з'єднання

Зловмисник використовує загальнодоступні або пропрієтарні уразливості в використовуваних бездротових каналах (відомі атаки на WEP або WPA). Таким чином, він може підключитися до промислової мережі управління і отримати прямий доступ до серця системи - на станції проектування, станції SCADA і програмовані логічні контролери (ПЛК).

Отримання доступу до польової мережі установки

Зловмисник має прямий фізичний доступ до польової мережі об'єкта для своєї атаки, наприклад, маючи доступ до комп'ютерної шафі уздовж осі розподілу (трубопровід в каналізації або уздовж водоводу). Польова мережа забезпечує прямий доступ до обладнання ICS, використовуваному для управління модулями введення/виведення. Це особливо важливо в транспортному секторі.

Установка стороннього фізичного компонента для віддаленої зміни мережі

Щоб скористатися своїм фізичним доступом, не будучи змушеним фізично бути присутнім в компромісному місці, зловмисник встановлює модуль віддаленого управління в промисловій мережі: наприклад, мініатюрний Raspberry Pi з батареєю і модемом 4G, що забезпечує йому віддалене управління.

Наведемо кілька прикладів подій кібербезпеки.

Небезпечна подія A: крадіжка інтелектуальної власності

Крадіжка інтелектуальної власності являє собою атаку на систему управління виробництвом, спрямовану на крадіжку цінних даних про процес або виробничих даних. Мотивом зловмисника може бути економічний, наприклад, вкрасти секрет виробництва у конкурента.

Атака буде знаходитися в довгостроковому тимчасовому контексті: зловмисник захоче підтримувати доступ якомога довше або, принаймні, до тих пір, поки йому не вдасться витягти всі дані про пошук. Якщо зловмисник не має прямого фізичного доступу, йому необхідно підтримувати «кероване» з'єднання між його шкідливим ПЗ, встановленим в промисловій мережі управління, і своїм сервером управління і контролю.

Небезпечна подія B: індустріальний саботаж

Цей сценарій описує атаку на промислову виробничу систему, яка призводить до саботажу. Мотивами зловмисника можуть бути кібертероризм, конкурентне позиціонування або навіть війна між двома країнами.

Небезпечна подія C: відмова в обслуговуванні промислової установки

Цей сценарій більше орієнтований на відмову в обслуговуванні в промисловості. Мета полягає в тому, щоб зупинити виробництво безперервного процесу на промисловому підприємстві, такому як нафтопереробний завод, водоочисна установка або газорозподільна мережа.

Промислові системи управління часто географічно віддалені і складаються з безлічі «невеликих мереж» з невеликою кількістю компонентів. Щоб відстежувати все це без розгортання складної і дорогої інфраструктури, система виявлення зазвичай складається з датчиків, близьких до процесу, які витягають дані зв'язку між пристроями, і центрального сервера, який збирає, зберігає і аналізує дані, зібрані датчиками.

Розміщення датчиків повинно дозволяти контролювати різні точки підключення промислової системи.

Щоб покрити зазначені вище ризики, система виявлення аналізує властивості компонентів, керуючі повідомлення і різні маркери, зокрема, MAC-адресу та ідентифікатор протоколу, ім'я постачальника і назва ПЛК, версії прошивки і устаткування, індикатори компрометації і ряд інших.

Джерело: https://ko.com.ua/zashhita_promyshlennyh_setej_osnovnye_riski_i_scenarii_atak_136012


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82 

КОММЕНТАРІ ДО СТАТТІ

Cisco анонсувала рішення, яке змінить інтернет

Cisco анонсувала рішення, яке змінить інтернет
Cisco,Cisco Network,новини,Налаштування Cisco,Продуктивність,cisco безпека,cisco

Cisco анонсує стратегію, спрямовану на сприяння провайдерам комунікаційних послуг і веб-компаніям в підключенні, захисту та автоматизації мереж з метою надання більш надійного і доступного інтернету. Компанія заявила, що змінює економіку інтернету: нове рішення Cisco Routed Optical Networking з модульною оптикою Acacia і великомасштабними маршрутизаторами Cisco дозволить скоротити витрати до 46%.

Cisco представила розширену архітектуру SASE і повний захист від кінцевої точки до хмари

Cisco представила розширену архітектуру SASE і повний захист від кінцевої точки до хмари
Cisco,Cisco Network,Локальні Обчислювальні Мережі,cisco безпека,cisco,Налаштування Cisco,Продуктивність,новини

Cisco представила розширену архітектуру Secure Access Service Edge (SASE). Цей черговий крок компанії на шляху до радикального спрощення мережевої взаємодії і забезпечення безпеки допомагає ІТ-службам безпечно з'єднувати користувачів з додатками. Також Cisco представила доповнення до своєї хмарної платформи SecureX, призначені для прискорення виявлення нових загроз і підвищення ефективності їх відображення.

Cisco відкриває новий ЦОД для підтримки спільної роботи

Cisco відкриває новий ЦОД для підтримки спільної роботи
Cisco,cisco,cisco безпека,Налаштування Cisco,ЦОД,новини,Продуктивність,Послуги Телесфера Інтеграція

Cisco відкриває у Франкфурті новий дата-центр, який буде обслуговувати користувачів платформи Webex в регіоні EMEAR. Введення франкфуртського ЦОД в експлуатацію намічено на червень 2021 р