Тим Компстон обсудил с Клиффом Уилсоном, ассоциированным партнером подразделения IBM Security Business Unit (Великобритания и Ирландия), основные проблемы кибербезопасности и уязвимости устаревших промышленных систем управления и критически важной инфраструктуры. Он упоминает и кибератаку на энергосистему Украины. Мы подготовили для вас перевод.


Когда мы начинали интервью с Клиффом Уилсоном, ответственным за бизнес-процессы безопасности IBM в промышленном, энергетическом и коммунальном секторах в Великобритании и Ирландии, он выразил обеспокоенность по поводу того, что многие промышленные системы управления были разработаны, созданы и внедрены задолго до появления интернета. Предполагалось, что эти системы будут работать в более или менее закрытой среде, хотя и с подключением к простой широкополосной сети передачи данных.

В настоящее время эти инфраструктуры все чаще подключаются к контрольным и аналитическим системам для конечных пользователей. Многие даже подключены к интернету для удобства и снижения стоимости доступа. Эта новая возможность соединения делает их уязвимыми для кибератак отдельных лиц или государств: «В дополнение к старости, эти системы могут быть очень хрупкими. Таким образом, тестирование на проникновение или другое аналитическое тестирование безопасности должно проводиться осторожно — нетрудно вывести из строя унаследованный программируемый логический контроллер (ПЛК)».

С точки зрения масштабов промышленных систем управления, Уилсон подтверждает, что они играют важную роль в повседневной работе различных объектов: «Имеются ввиду производственные мощности, гражданская атомная энергетика, производство электроэнергии, распределение электроэнергии, коммунальные услуги, очистка воды и ряд других предприятий», — говорит он.

Вспышка серьезных атак

Обращаясь к тенденциям, которые Уилсон и его коллеги из IBM видят в отношении уровня и происхождения кибератак на промышленные системы управления, он отмечает, что это очень смешанная картина.

С одной стороны Уилсон отмечает, что количество атак со стороны так называемой «прыщавой молодежи», которая просто заходит на сайт и пытается проникнуть в систему, сократилось. «Это одна из причин того, что общий график количества атак стремится вниз» С другой стороны, Уилсон указывает на тревожную эскалацию атак более серьезного уровня: «Это такие атаки, как нападение на энергосистему Украины, которая была широко освещена в международной прессе».

в тему: ЕСЛИ ВЫ НЕ МОЖЕТЕ ПОБЕДИТЬ ИХ, ВЕРБУЙТЕ: ПРИВЛЕКАЙТЕ МОЛОДЫХ ХАКЕРОВ К БОРЬБЕ С КИБЕРПРЕСТУПНОСТЬЮ

Развивая тему кибератаки наУкраины, Уилсон говорит, что кто-то, который как полагалось был третьей стороной, по существу достиг целей и отключил мощности энергосистемы: «Он в значительной степени нарушил энергетическую сеть по всей стране и сделал это так, что операторы энергоснабжения не могли снова включить систему. Можете себе представить, если бы вы жили в стране, где внезапно исчезла вода, исчезло электричество, какое количество страха и паники могло бы это вызвать».

Скрытые угрозы

Уилсон продолжает эту тему, рассказывая мне, что существует также большое беспокойство по поводу того, что вредоносные программы могут существовать на клиентских системах, особенно тех, которые связаны с критической инфраструктурой. Это означает, что потенциальные злоумышленники — отдельные лица или государственные субъекты — могут потенциально нарушить работу критически важных систем и процессов — и никто не поймет, что происходит за кадром: «Такое подозрение возникает в ряде случаев, когда некоторые критически важные инфраструктурные организации подробно изучили свои системы и обнаружили программное обеспечение, которого там не должно было быть, и, действительно, впоследствии было доказано, что это программное обеспечение в некоторых случаях существовало в течение значительного периода времени», — говорит Уилсон.

Судебный анализ

Подчеркнув, насколько легко установить, что такое вредоносная программа, Уилсон признает, что на практике все происходит не так просто, как может показаться на первый взгляд: «Если вы не проведете достаточно глубокий анализ безопасности, как правило, Вы не узнаете, что делает это программное обеспечение. Например, мне известно об одной организации в другой стране. Когда они обнаружили подозрительное программное обеспечение, местное правительственное учреждение рекомендовало не удалять его или что-либо с ним делать, а отслеживать его деятельность, чтобы понять, какова была его цель. Это была фильтрация данных? Связано ли это с какой-то внешней системой управления и контроля? Это просто сбор информации о сети? Иногда просто вырывать подозрительное программное обеспечение, с точки зрения удаления его с любого сервера, не самое умное, что нужно делать».

Построение связей

Попросил прокомментировать, является ли одной из проблем то, что коммунальные предприятия и другие пользователи стремятся к более широкому охвату своих систем с точки зрения бизнеса. Уилсон соглашается с тем, что это действительно «наблюдаемое явление»: «Все больше и больше систем подключается к интернету, поскольку необходимо иметь возможность исправлять прикладное программное обеспечение, извлекать данные журнала, обновлять версии программного обеспечения — независимо от того, что это может быть — а также это возможность извлекать данные операционного процесса для отправки в корпоративные системы управления. Вместо того, чтобы фургон ездил по всей стране возвращаясь на полпути, например, чтобы посмотреть на часть промышленного контрольного оборудования, гораздо проще подключить устройство к интернету и иметь возможность запрашивать его удаленно». Угрозой является то, — говорит Уилсон, — что люди подключают часть старого оборудования к интернету, делая это быстро и просто без учета надлежащей безопасности.

Инструменты поиска

По словам Уилсона, ситуация с промышленными системами управления становится еще более опасной благодаря широкой доступности онлайн-инструментов, которые злоумышленники могут использовать в своих интересах: «Что-то под названием Shodan — программный продукт, который может искать устройства, в том числе промышленные системы управления, и когда он находит, он пытается войти на них, используя различные методы. Он снова выходит из системы, но сохраняет эту информацию в базе данных в интернете, которую каждый теперь может найти». Далее Уилсон объясняет последствия этой информации, которая доступна для общественности. В основном, он говорит, что если кто-то решится проникнуть в системы коммунальной компании, например, они могут быстро выяснить, подключено ли какое-либо оборудование промышленного управления к интернету: «Они просто ищут через Shodan, пока не находят уязвимые устройства».

«Если люди не могут найти что-то в Google, они думают, что это не сможет найти никто. Это не так», – как утверждает Джон Мэзерли, создатель Shodan, самого страшного поискового движка интернета.

В отличие от Google, который ищет в сети простые сайты, Shodan работает с теневыми каналами интернета. Это своего рода «черный» Google, позволяющий искать серверы, веб-камеры, принтеры, роутеры и самую разную технику, которая подключена к интернету и составляет его часть. Shodan работает 24 часа в сутки 7 дней в неделю, собирая информацию о 500 млн подключенных устройствах и услугах ежемесячно.

Просто невероятно, что можно найти в Shodan с помощью простого запроса. Бесчисленные светофоры, камеры безопасности, домашние системы автоматизации, системы отопления – все это подключено к интернету и легко обнаруживается.

в тему: 6 САМЫХ РАСПРОСТРАНЕННЫХ СПОСОБОВ, ГАРАНТИРУЮЩИХ УТЕЧКУ ДАННЫХ

Пользователи Shodan нашли системы управления аквапарком, газовой станцией, охладителем вина в отеле и крематорием. Специалисты по кибербезопасности с помощью Shodan даже обнаружили командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.

И особенно примечателен в Shodan с его пугающими возможностями тот факт, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности.

«Это гигантское фиаско в безопасности», – цитируют Эйч-Ди Мур, директора по безопасности в Rapid 7. Эта компания имеет частную базу данных типа Shodan для собственных исследовательских задач.

Если сделать простой поиск по запросу «default password», можно найти бесчисленное множество принтеров, серверов и систем управления с логином «admin» и паролем «1234». Еще больше подключенных систем вообще не имеют реквизитов доступа – к ним можно подключиться с помощью любого браузера.

Независимый специалист по проникновению в системы Дэн Тентлер в прошлом году на конференции по кибербезопасности Defcon продемонстрировал, как он с помощью Shodan нашел системы управления испарительными охладителями, нагревателями воды с давлением и гаражными воротами.

Уязвимости

Присоединяясь к беспокойству по поводу инструментов поиска, Уилсон подчеркивает, что есть две стороны медали в том факте, что правительства и производители промышленного оборудования для контроля дают в интернете перечень известных уязвимостей, связанных с конкретным оборудованием: «Якобы это делается, чтобы технический специалист мог исследовать вопросы, связанные с оборудованием, находящимся под его контролем, и принять соответствующие меры по исправлению ситуации – например, выпустить обновление или патч, или даже принять решение о замене некоторых устройств. Недостатком здесь является, конечно, то, что злоумышленники будут искать эти же репозитории информации, для них это будет означать, что есть компания, цель, с большим количеством промышленного контрольного оборудования, вот список всех уязвимостей, и их можно просто атаковать», объясняет Уилсон.

Время действовать

Переходя к потенциальным решениям и о том, как IBM работает со своими клиентами над решением проблемы кибербезопасности, Уилсон сообщает, что ее можно решать с разных точек зрения: «Мы проводим тестирование на проникновение и тестирование системных гарантий, особенно в области промышленного контроля, идея состоит в том, чтобы увидеть, насколько трудно на самом деле проникнуть в промышленные системы управления, скажем, в критическую национальную инфраструктурную компанию. Как ни странно, обычно не так уж сложно войти. Мы также ищем то, чего не должно быть, и где есть утечка данных которой не должно быть. Мы также ищем различия между «как-проектировали» и «как построена» система. Мы часто участвуем в консультировании наших клиентов о том, как ликвидировать эти пробелы или закрыть эти «черные ходы» в своих промышленных системах управления и как повысить уровень безопасности».

в тему: MICROSOFT ДВИЖЕТСЯ В НАПРАВЛЕНИИ МИРА БЕЗ ПАРОЛЕЙ

Уилсон говорит, что один из подходов, который реализован, имеет форму технологии, которая в основном предназначена для обеспечения защитного конверта для этих старых и «скрипучих» промышленных систем управления: «В Великобритании и Ирландии в IBM мы разработали решение безопасности на основе многоуровневого протокола Deep Packet Inspection (DPI), который может быть вставлен практически в любую устаревшую промышленную систему управления любого типа. Решение позволяет поставить современную и надежную систему управления безопасностью вокруг ключевых активов. «Теперь больше нет оправдания наличию уязвимых систем управления», — заключает Уилсон.