В конце мая состоится одно из главных событий, посвященных информационной безопасности, Positive Hack Days. На два дня конференция, организованная компанией Positive Technologies, соберет вместе ведущих специалистов по безопасности и хакерскую элиту со всего мира. Эксперты Positive Technologies поделятся результатами сразу нескольких исследований, посвященных проблемам защиты самых различных систем. В том числе отдельное выступление будет посвящено проблемам безопасности промышленных систем управления. В 2012 году эксперты Positive Technologies выпустили аналитический отчет «Безопасность промышленных систем в цифрах». Ниже представлены результаты нашего нового исследования, которое дает возможность оценить изменения, произошедшие с 2012 по 2015 год.

Промышленные системы управления (ICS, АСУ ТП) за последние годы вышли на принципиально новый уровень благодаря развитию информационных технологий и сети Интернет. Однако новый виток автоматизации несет свои проблемы: некорректное применение технологий защиты и обработки данных приводит к серьезным уязвимостям.

В связи с этим промышленные системы управления все чаще становятся мишенью для злоумышленников и киберармий. На смену отдельным червям Stuxnet (2010) и Flame (2012) пришли более изощренные схемы многоступенчатых атак. Так, для распространения трояна Havex в 2014 году хакеры взламывали сайты производителей ПО для управления промышленными предприятиями (SCADA) и заражали официальные дистрибутивы SCADA-систем, которые затем устанавливались на предприятиях, что позволило злоумышленникам получить контроль над системами управления в нескольких европейских странах.

В 2012 году эксперты Positive Technologies выпустили аналитический отчет «Безопасность промышленных систем в цифрах». Ниже представлены результаты нашего нового исследования, которое дает возможность оценить изменения, произошедшие с 2012 по 2015 год.

Среди общих тенденций, которые мы наблюдаем в процессе работ по анализу защищенности АСУ ТП, можно отметить следующие.

Открытые двери. Многие системы, управляющие производством, транспортом, водоснабжением и энергоресурсами, можно найти в Интернете с помощью общедоступных поисковых систем. На январь 2015 года исследователи Positive Technologies обнаружили таким образом более 140 000 различных компонентов АСУ ТП. Причем владельцы таких систем не осознают, насколько хорошо их ресурсы «видны снаружи». Мы обнаруживаем возможности для атак на АСУ ТП через kiosk mode и облачные сервисы, через сенсоры и физические порты, через индустриальный Wi-Fi и другие виды доступа, которые зачастую вообще не рассматриваются как угрозы.

Один ключ ко многим замкам. Быстрый рост количества организаций, внедряющих АСУ ТП, при ограниченном числе производителей приводит к состоянию, когда одна и та же SCADA-платформа используется для управления критически важными объектами в самых разных отраслях. К примеру, наши эксперты выявили уязвимости в системе, которая управляет Большим адронным коллайдером, несколькими аэропортами Европы и атомными электростанциями Ирана, крупнейшими трубопроводами и установками водоснабжения в разных странах, поездами и химическими заводами в России. Будучи однажды найдена, подобная уязвимость позволяет злоумышленникам атаковать множество разных объектов по всему миру.

Угрозы развиваются быстрее, чем защита. Сложная организация АСУ ТП и требование непрерывности технологических процессов приводят к тому, что базовые компоненты систем управления (индустриальные протоколы, ОС, СУБД) устаревают, но не обновляются, и их уязвимости не устраняются годами. С другой стороны, развитие автоматизированных инструментов значительно увеличивает скорость работы хакеров. В рамках конкурса Сritical Infrastructure Attack на форуме PHDays IV в течение двух дней было взломано несколько современных платформ SCADA, которые используются на промышленных предприятиях.

«Безумный дом». Термин АСУ ТП (автоматизированная система управления технологическим процессом) появился в 80-е годы, когда основными объектами автоматизации являлись крупные промышленные предприятия. Однако удешевление и миниатюризация техники привели к тому, что компьютеризированные устройства, управляющие жизнеобеспечением зданий, системами мониторинга и распределения электроэнергии, активно входят в повседневную жизнь. При этом ни производители, ни потребители не уделяют должного внимания безопасности этих систем: в данном исследовании показано, как много подобных устройств доступно через Интернет.

Методика исследования
Для сбора информации об уязвимостях использовались базы уязвимостей (ICS-CERT, NVD/CVE, SCADA Strangelove, Siemens Product CERT и др.), сборники эксплойтов (SAINTexploit, Metasploit Framework, Immunity Canvas и др.), уведомления производителей, а также доклады научных конференций и публикации на специализированных сайтах.

Опасность уязвимостей определялась на основе CVSS v. 2. Необходимо учитывать, что на статистику влияют такие факторы, как отсутствие типовых описаний уязвимостей или политика разглашения: зачастую производители приуменьшают риск или совсем не разглашают информацию об уязвимостях (более подробно об этих факторах можно прочитать в полной версии отчета). Таким образом, реальная ситуация с безопасностью АСУ ТП может быть даже хуже, чем показывает наша статистика.

Сбор данных о доступности АСУ ТП в сети Интернет осуществлялся пассивными методами, с использованием общедоступных поисковиков (Shodan, Project Sonar, Google, Bing) и результатов сканирования портов. Анализ данных проводился с использованием базы данных фингерпринтов, состоящей из 740 записей, которые позволяют на основе баннера сделать заключение о производителе и версии продукта. Большинство фингерпринтов относятся к протоколам SNMP(240) и HTTP(113), примерно треть — к различным промышленным протоколам (Modbus, DNP3, S7 и проч.).

Количество уязвимостей
Всего в рамках исследования выявлена 691 уязвимость в компонентах АСУ ТП. Заметен резкий рост после 2009 года: за три следующих года (2010—2012) число обнаруженных уязвимостей АСУ ТП выросло в 20 раз (c 9 до 192). После этого среднегодовое количество выявляемых уязвимостей стабилизировалось (181 в 2014 году).