Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
 


 

Рынок, отрасль, люди - в интервью и репортажах Ua.Automation.com

Угрозы кибер-безопасности: интервью с экспертом

Угрозы кибер-безопасности: интервью с экспертом
Июль 2012
 
Кибер-безопасность всегда была популярной темой, а с появлением на сцене печально известного вируса Stuxnet, обсуждение аспектов кибер-безопасности стало повсеместным.
 
Мы побеседовали с Эриком Байрсом (Eric Byres), одним из ведущих экспертов в мире в области кибер-безопасности промышленной автоматизации, чтобы разобраться в существующих проблемах и решениях для информационной безопасности в промышленности. Господин Байрс заслужил свой авторитет в сфере автоматизации многолетним опытом работы в данной области и новаторским подходом к безопасности. Кроме того, он тщательно изучал именно Stuxnet и много писал о нем, а также основал Центр безопасности критически важной инфраструктуры в British Columbia Institute of Technology (BCIT), получивший награду Института безопасности SANS в 2006 г. Он принимает непосредственное участие в разработке многочисленных стандартов по кибер-безопасности в области промышленной автоматизации и SCADA, и в октябре 2009 г. был официально принят в члены Международного общества автоматизации (ISA). Байрс также является председателем рабочей группы по технологиям безопасности ISA SP-99, которая отвечает за стандартизацию технологий информационной безопасности для промышленной автоматизации и систем управления и представителем IEC TC65/WG13 в Канаде, фокусируясь на защите технологического оборудования от кибер-атак. 
 
Stuxnet
 
Широкое освещение в СМИ атак Stuxnet сыграло для отрасли положительную или же отрицательную роль?
Эрик Байрс (Э.Б.): Огласка, конечно, болезненна, но в то же время необходима. Плохая новость заключается в том, что злоумышленники, которые, возможно, ранее не слышали о SCADA или системах управления технологическими процессами, теперь осведомлены о них. Они также обладают теперь пошаговым «рецептом» для атаки на эти системы. Тем не менее, есть здесь и хорошая новость. Громкое освещение в СМИ вируса Stuxnet заставило задуматься многих конечных пользователей и поставщиков о необходимости безопасности систем SCADA. Это должно было произойти в какой-то момент и, по крайней мере, никто при этом тревожном сигнале не погиб.Сравните этот случай с такими ужасными инцидентами, как Бхопал (авария на химическом заводе Union Carbide в индийском городе Бхопал, прим. ред), которые заставили промышленность взглянуть на проблемы безопасности более серьезно – с тех пор мы избегали трагических инцидентов, и я надеюсь, что мы будем продолжать это делать.
 
Какие распространенные заблуждения о Stuxnet Вы можете привести в пример?
Э.Б.: Существует много непонимания, связанного с возможностями Stuxnet, но самое серьезное заблуждение заключается в том, что Stuxnet, якобы, распространяется только с помощью USB-ключей, и если запретить использование USB-ключей на производстве, то проблема безопасности будет решена. Разработчики червя Stuxnet снабдили его восемью различными механизмами распространения и USB-ключи – только один из них. То есть без доступа к USB, Stuxnet просто выберет другой путь.
 
Как же Stuxnet распространяется?
Э.Б.: Многими способами, и это главный урок по Stuxnet, который промышленная отрасль должна усвоить. Stuxnet не просто проходит через корпоративный брандмауэр и «вдруг» заражает искомый ПЛК. Вместо этого он распространяется косвенными путями, которые никогда не рассматривались в большинстве схем безопасности – такими, как инфицирование файлов ПЛК, USB-ключи, программы обслуживания ноутбуков. И когда червь встречает на своем пути брандмауэр, он проходит его, пользуясь протоколами, которые обычно разрешены брандмауэрами систем управления, так что не вызывает никакого сигнала тревоги.
 
В своем блоге Вы используете термин «Сын Stuxnet». Что Вы подразумеваете под этим и что это за угроза?
Э.Б.: Создатели вирусов и хакеры никогда ничего не создают изолировано – каждая новая атака червя или инструмент использует преимущества предыдущих методов и уязвимостей. Например, в дни, когда мир узнал о «трюках» Stuxnet с USB-ключами (технически это использовалось раньше: уязвимости .LNK-файлов), другие черви, например Sality, начали использовать ту же уязвимость.
 
Сейчас мы можем сказать, что самое плохое, что сделал Stuxnet – это ознакомление злоумышленников с его продвинутыми атаками. Это дало возможность вредоносным технологиям сделать большой шаг вперед. Если говорить строго, то он показал, как именно создавать, а затем использовать вредоносное программное обеспечение в критически важных системах управления. Таким образом, если только злоумышленники всего мира не забудут вдруг чудесным образом о Stuxnet, мы уверены, что увидим методы Stuxnet, которые будут использоваться в будущих червях. Эти черви будут поражать различные цели, пользоваться различными продуктами контроля, их появление будет вызвано различными политическими или финансовыми мотивами. Но, несмотря на это, они будут использовать наследие Stuxnet.
 
Проблемы конфигурации
 
Если система управления НИКОГДА не была подключена к Интернету, подвергается ли она все равно опасности кибер-инцидентов? Выручит ли «воздушный зазор»? 
Э.Б.: Конечно, большинство систем управления никогда напрямую не подключены к Интернету, но все они подключаются к другим системам, которые в конечном итоге подключены к нему. Как правило, это соединение с бизнес-системами предприятия (такими, как MRP, управление запасами и т.д.), но это также могут быть коммуникации для технического обслуживания поставщиками и консультантами, или нормативные соединения с такими учреждениями, как EPA. Господин Шон Макгерк (Sean McGurk), директор Национального центра кибер-безопасности и объединенных коммуникаций (National Cybersecurity and Communications Integration Center NCCIC) в Департаменте Национальной Безопаности выразился на эту тему яснее всего: «По нашему опыту в обработке сотен оценок уязвимости в деловом секторе, ни в одном случае мы не нашли, чтобы операционная сеть, системы SCADA или системы управления энергообеспечением были отделены от корпоративной сети. В среднем, мы видим 11 прямых связей между этими сетями. В некоторых случаях, мы определили до 250 соединений между производственной сетью и корпоративной сетью» (Источник: Подкомитет по национальной безопасности, национальной обороне и иностранным операциям, 25 мая 2011 г.). 
 
Но давайте предположим, что компания действительно как-то разорвала все сетевые соединения, относящиеся к производству. Компания все равно находится в зоне риска, потому что, несмотря на то, что мы хотим думать, что это не так – современные системы управления нуждаются в поступлении регулярной электронной информации из внешнего мира. Например, PDF-файлы руководств пользователя от поставщиков, обновленная логика ПЛК от консультантов, патчи для компьютерных операционных систем, антивирусные сигнатуры, удаленные подключения поддержки систем – вы не можете это все игнорировать. Разрыв подключения к сети просто порождает новые пути – такие, как компакт-диск, ноутбук или USB-ключ – которыми труднее управлять и так же легко заразить. Как я уже подробно описал в своем блоге, на самом деле «воздушный зазор» является фантазией. Для эффективной безопасности систем ICS и SCADA всей отрасли необходимо расстаться с этой фантазией и смириться с реальностью: системы управления подключены к внешнему миру. 
 
Если системы управления отделены от корпоративных сетей брандмауэром, они все равно нуждаются в дополнительной безопасности?
Э.Б.: Совершенно верно. Как я отметил ранее, Stuxnet проходил сквозь брандмауэры либо с помощью косвенных путей, как USB-ключи и компакт-диски, или же он использовал протоколы, которые межсетевые экраны были настроены пропускать. Хотя моя компания продает брандмауэры, я буду первым, кто скажет, что они являются лишь частью решения, а не полным решением. Вам нужно создать архитектуру, которая и защищает всю систему управления от внешних атак, и повышает стойкость каждой индивидуальной системы и устройства, в случае, если что-то вредоносное действительно будет угрожать (например, Stuxnet или недовольный сотрудник).
 
Кроме того, необходимо разделить предприятие на зоны безопасности, так, чтобы была возможность наилучшим образом контролировать неприятности. Например, недавно мне звонили из энергетической компании в Южной Америке с проблемой: червь Conficker бесчинствовал в их системе управления. Все началось с одного зараженного компьютера, но затем вирус быстро и беспрепятственно распространился по всему заводу. После этого, не успевали очистить один сервер, как вновь инфицировался другой. Проблема возникает, когда все сети [управления] соединены. Все машины в SGE, ALSPA и PI работают хорошо и без вирусов, если они не связаны, когда же все они соединены, вирус заражает машины снова. В этом случае единственным жизнеспособным и долгосрочным решением было использовать «глубокую» проверку брандмауэрами пакетов между сетями, чтобы плотно управлять именно тем трафиком, который проходит между системами.
 
Автор: Билл Лайдон (Bill Lydon)