Илья Карпов, руководитель экспертной группы в области безопасности АСУ ТП, BI.ZONE, рассказал порталу Cyber Media о специфике проведения проектов по анализу защищенности в промышленности, своем опыте проведения проектов по анализу защищенности промышленных предприятий.
Cyber Media: В чем специфика проведения пентестов в промышленной отрасли, если сравнивать с другими популярными направлениями, например, банками или ритейлом?
Илья Карпов: Пентест в промышленной отрасли имеет свои особенности, отличные от пентеста в ритейле и банковской сфере. В первую очередь это связано с различиями в конечной цели и специфике архитектуры сетей — от PLC до MES. В банках и ритейле основное внимание уделяется защите данных, которые могут находиться как в корпоративной сети, так и в отдельных защищенных сегментах.
Компоненты АСУ ТП часто находятся в изолированных или защищенных сегментах сети, но на практике мы по сей день встречаем технологические компоненты в корпоративных сетях. Кроме того, в банках и ритейле существуют системы управления технологическими процессами: жизнеобеспечением, электропитанием, автоматизацией управления зданиями, СКУД и пожарными системами. Защита этих систем часто является вторичной задачей, хотя их компрометация может замедлить или приостановить бизнес-процессы.
В производстве, где существует множество технологических процессов, воздействие на любой из них, даже незначительное, может вывести оборудование из строя и приостановить все производство.
Cyber Media: Какие цели ставятся перед атакующими в рамках пентеста промышленных объектов? Всегда ли это получение доступа к системам управления предприятием?
Илья Карпов: Основная цель — выявить все компоненты и протоколы АСУ ТП и смежных систем, определить их назначение и по согласованию с заказчиком попытаться воздействовать на них, оценивая риски остановки производственных процессов. Это требует большого количества внутренних согласований, поскольку воздействие может быть как простым и контролируемым, так и угрожающим работоспособности. Отдельным компонентом работ может стать проведение разведки в целях предварительного сбора данных о поверхности атак в технологической сети.
Технологические сети могут быть физически изолированными или труднодоступными из корпоративного сегмента, что требует социотехнических навыков и обхода систем защиты информации (СЗИ). Могут понадобиться социотехнические навыки, навыки обхода СЗИ и по дополнительному согласованию поиск уязвимостей нулевого дня, включая координацию закрытия выявленных уязвимостей с вендором.
Воздействие на производственные процессы может осуществляться через системы ERP, MES, OPC, а также отдельные системы мониторинга, такие как лаборатории, системы обнаружения утечек, экологический и сейсмомониторинг. Эти системы важны, но не всегда напрямую влияют на технологический процесс. Тем не менее для оптимизации производства компании сегодня централизуют все больше систем, и искажение данных может воздействовать на технологические процессы.
Cyber Media: Если анализировать инфраструктуру промышленных организаций в комплексе, какие слабые места вы могли бы выделить?
Илья Карпов: Для промышленных организаций вопрос обеспечения кибербезопасности крайне важен, поэтому ему уделяется повышенное внимание.
Среди сложностей в обеспечении защиты, с которыми они могут сталкиваться:
Cyber Media: С какими типовыми проблемами в обеспечении ИБ вы сталкиваетесь в ходе анализа защищенности промышленных объектов?
Илья Карпов: От компании к компании мы сталкиваемся с разными трудностями в обеспечении, но основными являются:
Cyber Media: Насколько популярен в промышленности физический пентест, когда специалисты выезжают на объект?
Илья Карпов: Физический пентест в промышленности не является популярным видом работ из-за высоких рисков для всех участников. Однако некоторых заказчиков интересует возможность добраться до информационной системы или отдельной АСУ ТП физически и получить доступ, часто строго режимный.
Более востребованы аудиты безопасности с выездом специалистов на место, например проверки по приказам № 31 или 239 ФСТЭК России. Для проверки доступа эффективнее проводить пентест из внешней сети. В случае физического доступа достаточно смоделировать ситуацию, при которой любой сотрудник может потенциально стать внутренним злоумышленником, и оценить все возможные риски.
Cyber Media: В 2022 году российская промышленность столкнулась с возросшим количеством кибератак. Тогда некоторые эксперты предлагали пойти по пути «децифровизации» с целью сохранения работоспособности. Как удалось преодолеть этот кризис?
Илья Карпов: Точный ответ на этот вопрос могут дать только конкретные предприятия или НКЦКИ, обладающие полной статистикой по киберинцидентам. Публичной информации мало, но отчеты компаний по кибербезопасности свидетельствуют о росте числа атак на промышленные предприятия. Эксперты прогнозируют, что их количество будет расти, а сами атаки будут становиться все более точными и целенаправленными, поскольку компетенции злоумышленников увеличиваются.
Децифровизация может оказаться неэффективной, если злоумышленник уже проник в систему или уже присутствуют закладки в АСУ ТП. Даже изолированные системы могут быть атакованы — например, через инженерный ноутбук.
Cyber Media: На вашем счету немало найденных уязвимостей в промышленном оборудовании. С точки зрения исследователя безопасности, в чем специфика таких устройств, какие специфические навыки требуются для их анализа?
Илья Карпов: Я и мои коллеги находили множество уязвимостей, иногда даже случайно во время тестирования совместимости и аудитов. Главное для нас — публиковать результаты, чтобы донести информацию об уязвимостях до каждого пользователя, при условии, что это не закрытые от вендора исследования, в которые можно интегрировать процессы SDLC, если таковые имеются. Промышленные системы автоматизации оснащены разнообразными технологиями. Проблемы безопасности, с которыми мы сталкиваемся, подобны тем, что встречаются во встраиваемых системах. Однако поиск уязвимостей, связанных с особенностями работы АСУ ТП, требует специальных знаний в этой области либо опыта работы с такими системами.
На сегодняшний день встроенная безопасность некоторых компонентов АСУ ТП остается недоработанной и зависит от конкретного вендора. Часто используются сторонние технологии «из коробки» без дополнительных настроек и усовершенствований. Технические требования для производителей, публикуемые различными сообществами или институтами, часто имеют рекомендательный характер. В последнее время хорошей практикой стала внутренняя сертификация на безопасность систем, используемых крупными заказчиками в промышленной отрасли.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться