Держите критически важные сети в безопасности

Откровенно говоря, вид на мой экран был пугающим. Я мог четко видеть устройства в сети эксплуатационных технологий (OT) крупного аэропорта и видеть данные, о которых они сообщали. На одном экране были элементы управления для реактивного моста, на другом - огни взлетно-посадочной полосы, а на другом - пассажирский манифест для предстоящего полета, полный всех данных о пассажире. Любой, имеющий доступ к этой сети, может использовать эти данные для выкачивания личной информации, он может найти взаимосвязи, необходимые для атаки на работу аэропорта, и увидеть фактическое оборудование, которое контролирует устройства по всему объекту. Другими словами, они могли с минимальными усилиями закрыть аэропорт.

Г-н Шарон Розенман, вице-президент по маркетингу Cyberbit, демонстрировал мне возможности мобильного устройства SCADAShield его компании и использовал для этого настоящий аэропорт (и нет, я не буду рассказывать вам, какой это был аэропорт). Его компания была нанята, чтобы помочь операторам аэропорта найти и исправить их уязвимости.

Устройство SCADAShield Mobile представляет собой портативный OT-анализатор размером с чемодан, предназначенный для проверки всей сети OT на наличие признаков атаки, а также для поиска уязвимостей, которые могут быть неочевидны для сетевых администраторов. Розенман сказал, что устройство понимает все сетевые протоколы, которые будут найдены в такой сети, и оно может анализировать трафик, используя эти протоколы.

(Изображение предоставлено Statista)

ОТ Сети и Безопасность

Сеть OT - это сеть, которая обеспечивает связь для устройств диспетчерского управления и сбора данных (SCADA). Такие устройства используются во всем, от производства и управления процессом до тех же самых устройств, которые отображают данные моего аэропорта. И данные, которые они обрабатывают, могут широко варьироваться - от отображения рейсов на досках объявлений до компьютеров в городах, которые управляют светофорами. Это основная сеть для устройств Интернета вещей (IoT).

Один неприятный факт о многих OT-сетях заключается в том, что они практически не защищены. Хуже всего то, что они почти всегда связаны с ИТ-сетью организации, с которой вы привыкли иметь дело ежедневно - и которая все чаще подвергается риску со стороны сложных вредоносных программ и хакеров.

«Многие администраторы не понимают, что сети IT и OT связаны», - сказал Розенман. Кроме того, администраторы сетей ИТ и ОТ часто не являются одними и теми же людьми. Это может быть одной из причин, почему сети OT имеют тенденцию быть менее безопасными. Другое дело, что мотивы для сетевых администраторов разные. По словам Розенмана, администраторы сетей OT должны поддерживать работу своих сетей, потому что даже небольшое время простоя может оказать крайне негативное влияние на производство.

«Сети ОТ часто не исправляются», - сказал Розенман. «Сети OT обычно не зашифрованы, и администраторы могут даже не знать, что работает в их сетях», - сказал он. Кроме того, операции протокола передачи файлов (FTP) обычно выполняются в виде простого текста, что позволяет злоумышленникам получить все необходимые учетные данные.

ОТ Сети и Патчинг

В дополнение к сложности, большая часть трафика в сети OT фактически поступает из ИТ-сети организации. Это происходит отчасти потому, что сеть OT часто не сегментируется из сети IT, а отчасти потому, что протоколы сети IT используются многими устройствами SCADA и IoT, что означает, что их необходимо видеть в сети IT.

Одной из причин отсутствия безопасности является нежелание администраторов рисковать простоями, когда они исправляют свои сетевые устройства. Но это усугубляется тем фактом, что многие такие устройства просто не могут быть исправлены, потому что, хотя их производители установили операционную систему (ОС), они пренебрегали внедрением любых средств применения обновлений. Медицинское оборудование является заметным нарушителем в этой области.

Розенман также считает, что системы, не подключенные к Интернету, защищены от хакеров. Но он отметил, что это не так, как это было продемонстрировано во время Stuxnet, когда совместная операция США и Израиля успешно взломала, а затем уничтожила урановые центрифуги в Иране. Он также отметил, что эти воздушные промежутки на самом деле не существуют, потому что работники либо нашли способы обойти их, чтобы облегчить свою работу, либо потому, что они никогда не существовали в первую очередь из-за плохого дизайна сети.

Розенман сказал, что отсутствие видимости устройств SCADA, сетей IoT и OT затрудняет их защиту, поэтому Cyberbit создал мобильные устройства SCADAShield, в первую очередь для групп реагирования на компьютерные инциденты (CERT). и другие службы быстрого реагирования, особенно в областях критической инфраструктуры. SCADAShield Mobile - это портативное устройство, а также есть фиксированная версия, которая может быть постоянно установлена ​​в уязвимых сетях.

Риски и последствия

Отсутствие безопасности в сетях OT имеет очень реальные последствия, и риски огромны. Именно такого рода ошибки в системе SCADA и отсутствие сегментации позволили взлому Target произойти в 2013 году, и с тех пор мало что улучшилось.

Между тем, россияне из Агентства Интернет-исследований (IRA) в Санкт-Петербурге регулярно вторгаются в системы управления в энергосистеме США, они взломали системы управления как минимум на одной атомной электростанции, и они в ряде промышленных систем управления у производителей США. Эти же системы уязвимы для поставщиков вымогателей, и некоторые такие системы уже атакованы.

Я классифицирую проблемы безопасности для OT-сетей как «преднамеренные», потому что в целом эти сети управляются ИТ-специалистами, и любой квалифицированный администратор должен осознавать опасность подключения незащищенных и непатентованных устройств к выходящей в Интернет ИТ-сети. Без контроля такие виды нарушений безопасности будут влиять на критическую инфраструктуру США, как частную, так и государственную, и результаты могут оказаться дорогостоящими и разрушительными.

• Червь Stuxnet, созданный США и Израилем для срыва ядерной программы Ирана Червь Stuxnet, созданный США и Израилем для срыва ядерной программы Ирана
• Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год
• Лучшая защита от вымогательства для бизнеса на 2019 год Лучшая защита от вымогательства для бизнеса на 2019 год

Если вы хотите внести свой вклад в решение этих проблем, просто примените проверенные временем протоколы ИТ-безопасности к вашей сети OT (и к ее устройствам), если она есть в вашей организации. Это означает:

• Сканирование на наличие уязвимостей.
• Сегментирование сети для ограничения потока данных только теми данными, которые должны быть там.
• Примените обновления патча к вашей системе OT и ее сетевым устройствам.
• Если вы обнаружите устройства, у которых нет механизма исправлений, то определите их и начните процесс замены на устройства, которые имеют.

В целом, это не сложная работа; это просто отнимает много времени и, вероятно, немного утомительно. Но по сравнению с адом, который может разразиться, если ваша сеть ОТ терпит катастрофический сбой, и последующий ад старших менеджеров позже узнает, что отключение могло быть предотвращено… что ж, я буду отнимать много времени и утомительно в любой день.