31 мая 2022

Эволюция угроз АСУ: как всё начиналось, как развивалось и что делать сейчас?

“…И если в нашем доме вдруг завоняло серой, мы просто не имеем права пускаться в рассуждения о молекулярных флюктуациях — мы обязаны предположить, что где-то объявился черт с рогами, и принять соответствующие меры, вплоть до организации производства святой воды в промышленных масштабах.”

Аркадий и Борис Стругацкие

Вместо вступления

Осознание угрозы — первый шаг к победе. К сожалению, все мы всегда ошибаемся в оценке угрозы — в той или иной мере и в ту или иную сторону.  История человечества построена, если разобраться, на рассказах о трагических ошибках в понимании и оценке угрозы. Мы склонны не верить в возможность плохого. Особенно в плохое в отношении конкретно нас самих. Даже если на улице всё чаще звучит сирена скорой помощи, обязательно найдутся те, кто назовёт начинающуюся эпидемию «выдумкой и заговором» и будут продолжать игнорировать рекомендации врачей и эпидемиологов. И, кстати, далеко не всегда лично для них это будет иметь какие-то негативные последствия. Что, разумеется, лишь укрепит их в уверенности в своей правоте, «доказанной» личным опытом.

Если взглянуть на историю развития взглядов и представлений об угрозах компьютерных атак, укоренившихся в профессиональной среде сотрудников промышленных предприятий и вообще всех, чья деятельность связана с созданием, внедрением и использованием средств промышленной автоматизации, становится трудно отделаться от мысли, что взгляды эти формировались, в результате выбора упомянутой выше стратегии.

IT и OT эволюционируют параллельно, от разных корней и стараниями представителей различных школ. Однако, поскольку IT развивается значительно быстрее, стремительно изменяя привычный мир людей, неизбежно и всё чаще в OT заимствуются идеи и импортируются технологии IT.

Несмотря на всю очевидность мысли, что новые информационные технологи привносят с собой и специфичные для них угрозы, новые для OT, в размеренной жизни технологических систем стало принято не замечать стремительную эволюцию IT-угроз и не проецировать их на себя. 

Угрозы ИБ следуют за развитием информационных технологий и инфраструктур, но их эволюцию подстёгивают также и гонка вооружений с решениями IT-безопасности, и внутренние факторы и события киберкриминального андеграунда. В последнее время к тому же всё больший вклад в общую картину вносит и стремительно раскручивающийся маховик политических противостояний и стратегического переустройства мира. 

Как всё начиналось — жизнь до IT

До начала 90-х годов двадцатого века из средств защиты информации, по сути, существовали только криптографические средства, шифраторы различного назначения и для различных каналов передачи данных. Они же и являлись объектами атак, для реализации которых мог использоваться, например, вибро-акустический канал утечки или побочные электромагнитные излучения и наводки (ПЭМИН). Основной целью злоумышленников был несанкционированный доступ к ключам, а также к любой информации о ключевой системе шифратора. Система защиты сводилась к надёжному забору вокруг шифратора, — точнее, места его эксплуатации, — установленному на таком удалении, чтобы за ним уровень вибро-акустического сигнала и/или ПЭМИН снизился до уровня фонового шума и его невозможно было бы выделить.  Модель угроз строилась, исходя из предположения, что ресурсами для атак на шифраторы обладают только спецслужбы иностранных государств (и далеко не всех).

Системы промышленной автоматизации в то время только начали появляться, и вопросы обеспечения кибербезопасности для них, как правило, вообще не рассматривались.  

С лавинообразным ростом сети Интернет, появлением, широким распространением и быстрым развитием вредоносного ПО представления об угрозах менялись, и модели угроз стали адаптироваться под новые реалии и новые технологии.

Лихие 90-е

Уже во второй половине 90-х годов прошлого века в бурно развивающейся IT-отрасли сформировались представления о трёх новых классах нарушителей: условный «школьник-хулиган», профессионал-одиночка высокого уровня (он же — «хакер») и «группа хакеров» (родоначальники современного киберкриминала). Соответственно растущей угрозе активно развивались средства защиты. В обиход вошли слова «файервол» и «антивирус».

Мировое IT-сообщество быстро разделилось на несколько категорий: «я — профессионал, мне защита не нужна», «антивирус — зло, потому что «фолсит и тормозит», обойдусь и файерволом» и «бережёного Бог бережёт, буду использовать и то, и другое».

Примерно в то же время начали задумываться о кибербезопасности систем промышленной автоматизации. При этом считалось, что они достаточно изолированы от внешних информационных сетей — сегментов офисной сети предприятий и стремительно множащихся и растущих сегментов интернета. Действительно, возможности и потребности их коммуникаций с внешним миром, да и другими системами автоматизации, тогда были весьма ограничены. АСУ ТП внедрялись чаще всего разрозненно и по одной на разных технологических участках, редко подключались друг к другу, технологическая информационная сеть на большинстве предприятий попросту отсутствовала. По общему мнению, АСУ ТП в таких условиях потенциально могли быть интересны только для кибер-террористов или спецслужб, а меры информационной безопасности по-прежнему сводились, в основном, к физической защите.

Эпоха сетей и интернета

С начала 2000-х годов степень интеграции разрозненных систем промышленной автоматизации предприятия росла, формировались сегменты технологической сети. В течение всего десятилетия возникали и множились подключения компонентов АСУ ко внешним сетям. К офисной — чтобы оператор и инженер могли читать корпоративную почту, а главный инженер предприятия видеть основные показатели его работы из своего кабинета. К сети провайдера мобильной связи — чтобы передавать через неё телеметрию с удалённого объекта. К сетям подрядных организаций — чтобы выполнять работы по мониторингу и наладке удалённо.

Многие из этих подключений возникали спонтанно, для удовлетворения насущных потребностей развивающейся организации, и часто — в обход проектной документации, требований вендоров и всяческих «третьестепенных» соображений типа ИБ. Соответственно, подробные изменения редко документировались, и на предприятии о них было известно далеко не всем, кому-бы следовало об этом знать.

О многих из таких изменений со временем забыли — они будут «открыты заново» уже много позже, в новую эпоху, когда к изучению технологических сетей промышленных предприятий станут привлекать специалистов по практической ИБ. (То был век открытий поистине чудных — и на долю нашей команды пришлось множество неожиданных находок. Мы видели и подключенные друг к другу сети заводов, принадлежащих компаниям — конкурентам; и процессинговые системы банка, доступные из технологической сети предприятия; и маршрутизаторы, связывающие объекты «критической» в скором будущем инфраструктуры, расположенные в подъездах многоквартирных домов; и много ещё чего такого, что сложно было вообразить.) 

Пока же, на десятилетие (а во многих случаях и на более долгий период) в сознании людей, в чьи обязанности входило и обеспечение безопасности АСУ, укоренилась вера в air gap. И до сих пор в ходе расследования инцидентов на промышленных предприятиях нам часто приходится видеть неподдельное удивление в глазах его сотрудников, произносящих что-то вроде «как же так, ведь эта сеть у нас — изолирована?!».

Многие действительно уверены, что air gap все долгие годы исправно защищал технологические системы от действий кибер-хулиганов, хактивистов и активно развивающегося киберкриминала. А редкие инциденты были всего лишь яркими исключениями из правила.

Но, на наш взгляд, причина относительно небольшого количества инцидентов в технологических сетях кроется вовсе не в воздушном зазоре. На протяжении десятилетий киберкриминал активно осваивал различные IT-инфраструктуры. А наличия доступных и уязвимых к атакам технологических систем промышленных предприятий просто не замечал — ведь в численном отношении они составляли ничтожную часть всей потенциальной «кормовой базы», а об особой их ценности и значимости можно было узнать, только проведя дополнительные недешёвые исследования, на которые «по ту сторону закона» чаще всего не думали тратиться.

Что же касается «правительств недружественных стран» то, по всей видимости, им действительно (как и считало большинство размышляющих о защите АСУ ТП людей) было в то время проще прорабатывать традиционные методы саботажа, чем разбираться в сложном устройстве и алгоритмах работы систем автоматизации — возможно, из-за отсутствия достаточного количества профильных «специалистов» или из-за инертности и неповоротливости государственного аппарата (однако, как мы все теперь знаем, и в этом правиле нашлось исключение…).  В качестве цели для промышленного кибершпионажа технологические сети промышленных предприятий тоже в те времена никто особенно не рассматривал, вероятно, по всё тем же причинам.

The Game Changer

Атака Stuxnet, о которой стало известно в 2010 (но планирование и реализация которой началась, конечно же, гораздо раньше), предельно ясно показала, что вредоносное ПО всё-таки может быть весьма опасным инструментом в атаках на АСУ, ПАЗ и управляемые и защищаемые ими технологические системы промышленных предприятий.

После 2010 года события в мире IT-безопасности понеслись галопом. Одна за другой обнаруживались всё новые и новые вредоносные кампании, ассоциируемые с деятельностью спецслужб ведущих государств, обнародовались результаты расследований десятков громких киберинцидентов, эксперты потеряли счёт киберкриминальным группировкам и перестали удивляться их изобретательности в поиске векторов атак.  

Последовавшее десятилетие окончательно изменило мировое IT-сообщество, сделав ИБ неотъемлемой частью всех этапов жизненного цикла подавляющего большинства IT-систем. Осознание того факта, что сумма информационных технологий создала ситуацию, когда чёткого «периметра защиты» больше нет, оборона должна быть «эшелонированной» и по возможности покрывать все сегменты сети и каждый из её узлов (некоторые — так ещё и несколькими разными средствами и мерами) стало общей частью взглядов на IT-безопасность.

А что же в АСУ ТП?

Как ни странно, и в пост-Stuxnet эпоху 2010-х годов взгляды очень многих людей, которые отвечали за защиту промышленных сетей, изменились не кардинально.  Даже приняв возможность разрушительной кибератаки на предприятие, предпринятой спецслужбами недружественной страны, они стали в большинстве своём считать, что защищаться от таких атак средствами ИБ не стоит и пытаться — ведь в их случае непременно «будут внедрены инсайдеры» и «использованы заранее заготовленные закладки в ПО». А значит и защита от таких атак должна быть обязанностью «компетентных органов», и обеспечиваться она должна, скорее всего, традиционными средствами. К сожалению, подобные взгляды и сейчас можно встретить среди безопасников и инженеров АСУ «старой школы».

Тем не менее, перед многими возник Вопрос, и червь сомнения, мало-помалу, всё-таки поселился во многих умах…

Наиболее кардинальным изменением, из тех, к которым привело обнаружение Stuxnet в ОТ, стало не «открытие ящика Пандоры», как предрекали многие из исследователей (разрушительные атаки на АСУ ТП, к счастью, не посыпались, как из рога изобилия), а сам тот факт, что о компьютерной безопасности применительно к АСУ ТП вообще заговорили всерьёз. Разработчики стали делать первые попытки наделить свои новые ОТ-продукты свойствами ИБ, а их клиенты — всё чаще интересоваться наличием таких свойств в продуктах, рассматриваемых к покупке.

Тут и там стали появляться первые, пока «пилотные», проекты по исследованию кибербезопасности технологических инфраструктур.

Владельцы некоторых систем, с удивлением для себя обнаруживая многочисленные проблемы безопасности, считали, однако, что размещать средства защиты внутри технологической сети нельзя — из-за неминуемых «проблем совместимости», «потери гарантии производителя» и возникающих от этого рисков потери надёжности и деградации функциональной безопасности.

Расхожим убеждением стало, что нужно по максимуму изолировать АСУ от остальных сетей, а там, где это невозможно — защитить периметр технологической сети.  Это должно было позволить не думать о защите всего, что происходит внутри технологической сети предприятия (согласитесь, просматривается прямая аналогия с забором вокруг шифратора). Считалось, что при этом будут купированы основные угрозы, как минимум, от действий «хулигана» и «хактивиста». Набравшему к тому времени силу киберкриминалу АСУ всё так же оставались «неинтересны» — ведь по-прежнему «отсутствовали схемы монетизации атак».

Середина 10-х — начало 20-х

Начиная со второй половины второго десятилетия XXI века произошли, пожалуй, наиболее существенные изменения во всей структуре взаимоотношений людей, вовлеченных в процесс обеспечения кибербезопасности промышленных предприятий и их технологических сетей. Изменения коснулись осознания угроз, оценок рисков, бюджетов, штатных расписаний, разделения ответственности, планов, проектов.

По всей видимости, сыграли свою роль и накопившиеся изменения ландшафта угроз, и смена поколений инженеров, и активная позиция государственных регуляторов, и деятельность всевозможных проповедников и проводников новых взглядов на угрозы и подходы к защите промышленных объектов (к числу которых можно без ложной скромности отнести и нашу организацию).

В итоге возник существенный спрос на безопасность на рынках OT-продуктов и услуг. Один за другим на рельсы безопасной разработки переводят свои процессы и разработчики систем АСУ. В авангарде — лидеры рынка. Разработчики поменьше также начинают инвестировать в это направление.

К сожалению, как и все остальные преобразования в мире OT, внедрение более безопасных продуктов не сможет произойти быстро — замена парков оборудования растягивается на многие годы. На помощь, ожидаемо, пришли разработчики средств IT-безопасности. Ими затыкаются дыры там, где это возможно. Сначала — на страх и риск инженеров и безопасников (проблему совместимости за малым размером рынка поначалу никто системно не решает). Позже стали появляться и специализированные решения, разработанные и протестированные с учётом требования совместимости с АСУ. Однако до сих пор в общем парке систем ИБ, используемых в технологическом контуре, и в среднем по миру, и в России, такие решения составляют лишь малую часть.

Наши дни

В настоящее время мы живём в реальности, где хакерский инструментарий — разнообразен и общедоступен, как и соответствующие обучающие курсы. В сложных случаях всегда можно «обратиться к помощи зала» на тематическом форуме, в группе или канале. Тёмная сторона привлекает многих, и злоумышленники младших классов быстро наращивают мускулы. «Хулиган» подтянулся к хакеру, хакер-одиночка, в свою очередь, с распространением Даркнета намного проще находит применение своим знаниям и умениям на рынке преступных киберуслуг и становится частью организованной группы киберпреступников, а между продвинутыми криминальными кибергруппами и теми, чьи действия явно коррелируют с интересами правительств различных стран, грань провести иногда бывает очень сложно. Киберкриминал в наши дни действует решительно, умело и эффективно.

Пожалуй, главным бичом организаций по всему миру — и больших, и малых, включая, разумеется, и промышленные компании, — стали атаки вымогателей. По ряду причин (в том числе из-за исторически сложившейся системы разделения труда в мировом киберкриминальном сообществе) крупные организации в России могли чувствовать себя в этом смысле в относительной безопасности — наиболее серьёзные группировки в этом «бизнесе» оказались русскоговорящими, и предпочитали «не работать» в тех странах мира, где их легче всего было достать представителям правоохранительных органов.  Весьма вероятно, эта ситуация может резко измениться в самом ближайшем будущем (о чём несколько слов — далее).

Защита периметра OT — больше не панацея

Сегодня большинство специалистов осознают, что без защиты всех узлов сети не обойтись.  Печальный опыт показывает, что каждый узел является потенциальным источником угроз для всех остальных узлов в сети. Это влечет за собой необходимость защищать все устройства, для которых существуют средства защиты, а в добавок ещё и внутрисетевые коммуникации.

Безусловно, защищать периметр по-прежнему необходимо. Будь то непропатченный файервол или VPN/SSL-шлюз, торчащий наружу RDP без второго фактора и с простым паролем, уязвимое веб-приложение вне DMZ и с доступом во внутреннюю сеть компании, уязвимое API и т.д. — всё это с лёгкостью может быть обнаружено нарушителем любого класса. Атаки, нацеленные на компрометацию периметра, к сожалению, будут актуальны ещё долгое время.

Но вместе с созданием дополнительных средств защиты периметра далеко вперед шагнули методы проникновения. Основной такой метод — фишинг — периметр, к сожалению, не блокирует. Также периметр не спасает от атак на цепочки поставки, компрометации подрядчика, DNS-регистратора, телеком-провайдера и от других «продвинутых» тактик и техник.

Да и само понятие периметра стало давно размытым — вы часто не можете сказать с уверенностью, где он у вас проходит. Вспомним, например, об использовании 3G/4G/5G-модемов и спутниковых систем связи в промышленных сетях, о каналах подключения специалистов вендора АСУ, о мобильных телефонах, USB-накопителях, о каналах подключения к сетям смежных предприятий (иногда принадлежащих другим организациям), о забытых каналах «временного» подключения удалённого администратора и т.д.

Во времена, когда основным вектором атаки со стороны мотивированного и подготовленного злоумышленника выбран целевой фишинг, а доступ к сети Интернет является практически неотъемлемой частью IT-, а в некоторых случаях и OT-сегмента сети, оценка релевантности угроз в процессе их моделирования также должна быть пересмотрена.

«…И вечный бой, покой нам только снится…»

События последних месяцев добавили значительное количество проблем специалистам, обеспечивающим безопасность промышленных предприятий.  Скачкообразный рост геополитической напряжённости и стремительное разделение мира на новые сферы влияния отнюдь не упрощают задачу защиты промышленных предприятий.

В совершенно особенной ситуации оказались организации в России. С одной стороны — политически мотивированное изменение ландшафта угроз, которое не стоит недооценивать. Да, атаки «хактивистов» пока оказываются в большинстве своём не очень результативными и затронули по-настоящему не многих. С другой стороны, количество вполне может перерасти в качество, если ситуация затянется.

Самое же опасное, чего можно ожидать, — раскола в рядах группировок профессиональных вымогателей. Мы помним, что большинство из наиболее «продвинутых» — русскоговорящие. Но это не значит, что все они находятся в юрисдикции, доступной для российских правоохранительных органов. Как мы писали в наших прогнозах на этот год, многие организации (в том числе и российские) уже были скомпрометированы в ходе подготовительных вредоносных кампаний, но по-настоящему атакованы не были. Возможный раскол в рядах вымогателей вполне может сделать скомпрометированные организации лёгкой добычей атакующих.

Итак, сегодня угрозы множатся.  А ставшие за десятилетие «традиционными» средства защиты стремительно теряют надёжность и доверие. Некоторые и вовсе «превращаются в тыкву». Западные вендоры дружным строем ушли с российского рынка. Некоторые — хлопнув на прощание дверью. Модель «Business as usual» в одночасье перестала работать.  

Вопрос «ждать ли возвращения ушедших с рынка производителей или искать им замену» для многих решился однозначно — с выходом указа 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Для государственных организаций и объектов КИИ теперь установлены конкретные сроки отказа от использования средств безопасности, произведённых под юрисдикцией государств, «совершающих недружественные действия».  К сожалению, задача поиска альтернатив для некоторых организаций пока решения не имеет.

Следующий по значимости вопрос — где искать надёжные кадры, способные реализовать, поддерживать и развивать необходимый минимум мер защиты?  Ведь уход вендоров означает и потерю доступа к их квалифицированным экспертам. Да и вопрос самой возможности привлечения внешних экспертов, как минимум, для государственных организаций и КИИ, пока не решён — теперь для этого требуется обязательная аккредитация организаций, предлагающих некоторые типы экспертных услуг. Очевидно, что в одночасье необходимого количества доступных специалистов не получить.

В сложившихся условиях невозможно предложить универсальную и подходящую для всех стратегию решения проблем безопасности и пошаговый план её реализации. 

Сейчас каждый вынужден принимать все ключевые решения сам, исходя из своих ограничений и оценок рисков. Специалисты по кибербезопасности любят на разный манер повторять слова Брюса Шнайера о том, что «безопасность — это процесс, а не продукт», забывая другую его фразу: «безопасность — это цепь: где тонко, там и рвется». Сейчас тонкое место оказалось в другом измерении — международных отношений, мировых финансов и политики.  И внезапно многие начинают приходить к пониманию, что кибербезопасность — это ещё и искусство. Сейчас — искусство находить решения в ситуациях, которые кажутся безвыходными.

И все же…

Разумеется, есть некоторые меры, которые мы можем безопасно советовать всем — ибо они универсальны и применимы для любой организации даже в текущих экстраординарных условиях:

  • Необходимо следить за новостями об атаках и инцидентах, постоянно получать и изучать информацию о новых вредоносных кампаниях и прочих существенных изменениях ландшафта угроз — тут помогут и оповещения центров реагирования на инциденты, и сервисы Threat Intelligence коммерческих вендоров.  Частные меры защиты, рекомендованные для конкретных угроз, не всегда бывают сложны и могут быть доступны для любой организации с практически любым парком средств защиты. Промышленным организациям стоит обратиться к поставщикам специализированных сервисов, покрывающих потребности защиты сегментов АСУ ТП.
  • Обучать персонал кибербезопасной работе с IT- и OT-системами. Помните, что проводником подавляющего большинства угроз в вашу сеть являются ваши собственные сотрудники.
  • Не пропускать выход рекомендаций и требований регуляторов — они могут привести к существенным корректировкам ваших планов и бюджетов, и лучше узнавать о них без запоздания.

Всем — «доступности, целостности и конфиденциальности»! И да помогут нам наши находчивость, смекалка, и вера в собственные силы!

Авторы
  • Евгений Гончаров

    Руководитель Kaspersky ICS CERT

  • Владимир Дащенко

    Эксперт по исследованиям угроз информационной безопасности, Kaspersky ICS CERT

  • Дмитрий Сатанин

    Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT