3. Атаки на АСУ ТП – «инновация»?
1982: "Farewell Dossier", the CIA was involved in the sale of 'altered'
products and equipment to the Soviet Union.
• "Contrived computer chips found their way into Soviet military equipment,
flawed turbines were installed on a gas pipeline, and defective plans
disrupted the output of chemical plants and a tractor factory."
• "The pipeline software that was to run the pumps, turbines and valves
was programmed to go haywire, to reset pump speeds and valve settings
to produce pressures far beyond those acceptable to the pipeline joints
and welds. The result was the most monumental non-nuclear explosion
and fire ever seen from space."
4. 90-е – 2000: точечные (случайные) заражения
When
Organization
Under Attack
Virus Name Virus Functionality Physical Impact
2003 Davis-Besse
Nuclear Power
Station,
USA
Slammer Slows down the network.
Motive : Denial of Service, Propagation
None.
Although, Slammer downed the SCADA network on
another utility (undisclosed). (Source)
2003 CSX
Corporation,
USA
Sobig Sends out Spam via e-mail.
Motive : Spam, Propagation
The virus infected a computer system in the company's
headquarters, shutting down signalling, dispatching
and other systems. Train Delays were caused as a result
of this. (Source)
2004 British Airways,
Railcorp, Delta
Airlines
Sasser Exploits a buffer overflow vulnerability to propagate to
other vulnerable systems. Some aggressive variants can
cause network congestion.
Motive : Propagation
Train and flight delays and flight cancellations in some
cases. (Source)
2009 French Navy Conficker Exploits a Windows vulnerability, or performs
dictionary attacks for administrator passwords to install
itself. It propagates to other vulnerable machines, self-
updates and downloads & installs further malware.
Motive : Propagation, Installation of other malware.
Failure to download flight plans leading to grounded
aircrafts. (Source)
5. 2010-е – угрозы набирают обороты
When
Organization(s)
Under Attack
Virus
Name
Virus Functionality Physical Impact
2009 Exxon, Shell,
BP, among
others
Night
Dragon
Remote Access Trojans (RATs) distributed using spearphishing.
(Source)
Motive : Data stealing/spying, Propagation
None.
(Although, it is reported that attackers exfiltrated operational
blueprints for SCADA systems and even collected data from them.)
2010 Iran's Natanz
nuclear facility
Stuxnet Intercepts and makes changes to data read from and writen to a
PLC. (Source)
Motive : Destruction
Destroyed a fifth of Iran's nuclear centrifuges.
2014 No reported
cases
Havex Distributed as Trojanized ICS/SCADA software downloads from
compromised vendor websites, it scans the LAN for OPC servers
and sends collected data to a Command and Control (C&C) server.
(Source)
Motive : Data stealing/Spying
None
2014 No reported
cases
Blacken Found on a C&C server for an existing botnet of the Sandworm
Team, it targets users of the SCADA software, GE Cimplicity, and
installs executables to the software's home directory. Some of
these executables are bots that can be commanded remotely. It
also references Cimatics design files but their exact use is not yet
understood. (Source)
Unknown
(due to missing files on the C&C)
2014 No reported
cases
(Unconf
irmed)
Disguised as Trojanized SCADA/ICS software updates (e.g. Siemens
Simatic WinCC, GE Cimplicity, and Advantech) , these files are
basically traditional Banking Trojans. (Source)
Motive : Spying/Data stealing
None
6. Угрозы ИБ для промышленности актуальны?
… или зачем говорить о киберугрозах, если есть сотня
способов нарушить работу промышленных систем при
помощи молотка и…
и даже без молотка
«То что в этом здании всё ещё горит свет –
это не наша заслуга, а чья-то недоработка»
Руководитель ИБ одной уважаемой энергетической компании
7. Тренды угроз: анализ FY2015 (США)
295 крупных инцидентов (15% рост)
• 46 – энергетика
• 97 инцидентов c «участием» поставщиков оборудования и сервисов
• В 106 случаях - использовались вредоносы и целевой фишинг
• В 12% были затронуты компоненты АСУ ТП
Специфика «кибер» угроз
• Тиражируемость
• Управляемость по времени
• Повторяемость
• Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
• Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre
8. С начала: Промышленная, но всё же Компания
• Предотвращение атак и инцидентов
• Инвентаризация
• Уязвимости, управление уязвимостями
• Выявление уязвимостей, безопасная разработка
• Осведомленность сотрудников
• Мониторинг безопасности и выявление инцидентов
• Анализ событий безопасности
• Расследование инцидентов и восстановление после инцидентов
• Борьба с причиной, а не с симптомами
• ИБ как часть бизнес-стратегии
• Защита (от) 3-х лиц
• Поставщики
• Клиенты
• Безопасность компонентов
• Закупаемых
• Разрабатываемых
«В 12% атак на
промышленные компании были
затронуты элементы АСУ ТП»
(отчет по инцидентам ICS в
США за 2015 год)
Злоумышленники
• Разбираются в технологических и орг. процессах
• Проявляют активный интерес к бизнес-сценариям
• Внедрение в продаваемые фирмы для
«попадания» в инфраструктуру крупной
компании
9. Кейс: (обычный) запущенный случай
• Время присутствия злоумышленников в информационной системе – более
3-х лет
• Одновременно – несколько групп
• Признаки присутствия
• Аномальные потоки данных
• Фоновая активность вредоносов
• Криптолокер
• Получен доступ к системам ИТ защиты
• Реконфигурация домена
• Реконфигурация сетевых устройств и правил доступа
• Злоумышленники контролируют действия по расследованию инцидента
• Успевают восстановить доступ при обнаружении
10. Гонка осведомленности
• Типичная (знакомая) ситуация
• Злоумышленник предполагает наличие средств защиты
• Злоумышленник активно тестирует свои инструменты на обнаружение
• Что произошло:
• Осведомленные Пользователи знали про фишинговые письма
• Проверяли входящие письма антивирусом
• … отсылали файлы на облачный антивирус на проверку
• Что могло пойти не так?
11. Типовой сценарий: ожидайте целевых атак
• Проникновение в систему
• Целевой фишинг
• Документы с вредоносным содержимым
• Не обнаруживается антивирусом
• Закрепление в системе
• Устранение систем защиты
• Бэкдоры, замаскированные под легитимные сетевые службы (SSH)
• Планирование реализации угрозы
• Анализ компонентов и архитектуры системы
• Анализ «важности» захваченной системы
• Подготовка к реализации угрозы
• Выведение из строя средств противодействия сбоям
• Запуск DDoS-атаки на колл-центры
• Осуществление атаки: нарушение тех.процесса
• Затруднение восстановления: удаление файлов и остановка процессов
12. Глобальные Кампании: атака на индустрию
• Серия атак на предприятия нескольких отраслей
• В нескольких регионах
• Схожие признаки (тактика атакующего)
• Атака начинается с фишинг-письма из банка
• В приложении – троян
• Цель – получение доступа, учетных данных
• 130 «поражённых» компаний
13. А что если клиенты сыграют за нападающих?
• Электро-распределительная компания рассматривает возможность
внедрения «умных счетчиков»
• Умный?
• Канал связи (sms)
• Возможность (автоматического) управления
• Веб-интерфейс
• Мобильное приложение
• Что будет если
• Скомпрометировать веб-сервис/мобильное приложение?
• Подделать SMS от счетчика/на счетчик
• Осуществить массовую атаку на «сеть» счетчиков
• Повторять эту атаку еже-… (месячно, недельно, …, секундно)?
15. PT Security Research: Oil Pumping Typical Infrastructure* (1/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm
16. PT Security Research: Oil Pumping Cyber Security Threats (2/5)
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition
17. PT Security Research: Oil Refinery Typical Infrastructure* (3/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Integration with MES & ERP
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm
18. PT Security Research: Refinery Case Description (4/5)
Based on comprehensive knowledge in SCADA/HMI software’s used in Refinery environments,
we’ve been able to verify, simulate several attack scenario’s
ICS Network penetration
Protocol analyzed / dissection.
ICS network unauthorized access using commonly exposed services (RDMS, Web Applications, RDP protocol, telnet,
etc.)
Vulnerabilities and Vectors
Identification of weak configurations
SCADA/HMI software vulnerabilities
Pivoting HMI /CDU/VDU
Fire Protection System
Manipulation of Fire system
19. Real Security Analysis - Oil Refinery Research Case (5/5)
WEB, RDP,
DBMS, OPC
Explosion plant
Fire protection
system
Operators’
workstations
CDU/VDU
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Process interruption
DMZ
Connection breach
Damage to environment
Internal
attacker
ICS Network Penetration
RDP, DBMS
Telnet, FTP,
WEB, etc
MES/ERP LIMS
Printers, CCTV,
UPS, etc
SCADA/Engineer
software
Honeywell Experion PKS
Yokogawa CENTUM VP
DeltaV Emerson Process
Management
Siemens WinCC / Step7
Rockwell Studio 5000
Schneider Electric
InTouch / Unity Pro
PLC and SIS
Honeywell C300
DeltaV MD/MD+
Yokogawa SCP/CP
Siemens Simatic S7 300/400
Schneider Electric
Modicon/Quantum
SCADA
Safety warnings
Corporate
network
Target Systems Threats
Disposition
21. Тесты на проникновение: реальность угроз ИБ ИТ
• Инвентаризация
• Управление уязвимостями
• Эффективность мониторинга ИБ?
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
22. Positive Technologies – Наши исследования
• Более 150 000
промышленных систем
оказались
подключенными к
Интернет
• Около 15 000 из них
имеют критические
уязвимости
https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf
23. АСУ ТП: доступность через Интернет
Компонент АСУ ТП
Найденное
количество
ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264
ТУД/ПЛК 18 233
Электроизмерительный прибор 17 979
ЧМИ/SCADA 13 485
Сетевое устройство 5 016
Сенсор 907
Компонент АСУ ТП
Найденное
количество
Конвертер интерфейсов 408
Автоматический выключатель 361
Электронное устройство 179
Инвертор 17
РЗА 9
Другие 76 229
24. Состояние информационной безопасности современных АСУ
Более 150 000 АСУ доступны через интернет
Более 10% из них содержат критически опасные уязвимости*
Число кибератак на индустриальные системы за два года увеличилось на 636%**
Некоторые уязвимости
исправить нельзя
Вечно уязвимый ESC Model 8832
*Доклад Positive Technologies 2016
**Доклад IBM X-Force 2016
10%22%20%34%14%
Устранены
в течение
3 месяцев
Устранены
более чем через
3 месяца
Вендор
готовит патч
к выпуску
Статус неизвестен,
связались
с вендором
Не устранены
25. АСУ ТП: уязвимости в цифрах
Высокую степень риска имеют 47%
среди выявленных уязвимостей АСУ ТП
Лишь 14% исправлены в течение
трех месяцев
Около 1/3 доступных через Интернет
систем управления не защищены:
лидируют системы автоматизации зданий
и управления электроэнергией
47%
14%
1/3
26. Мировая тенденция – разрыв увеличивается
Дни, часы, минуты
занимает
компрометация
Недели, месяцы
проходят до
обнаружения
Согласно 2015 Trustwave Global Security Report** среднее
время до обнаружения вторжения/ компрометации
составляет 188 дней
https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
27. «Большая картина» – теперь ещё больше
Advanced:
Акторы с максимальными
возможностями
…и их комбинациями
Persistent:
Миссия, цели
Подход «Медленно и тихо»
«Настойчивость» - удержание
контроля, доступа к системе
Threat:
Возможность + Намерение =
угроза
APT – «Кто», а не «что»
A P T
События ИБ Атаки Инциденты Кампании
28. Легенда о Воздушном Зазоре
Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП)
с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего
периметра
Пример: отключение электроснабжения части украинских электросетей в декабре 2015
Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа.
Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их,
используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители
и смартфоны.
Пример: несанкционированное подключение модемов
Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ
на время сервисного обслуживания.
Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО
и заразил контроллеры
30. 10 000+
событий ИБ
Шаг #1: Защита и мониторинг ИБ ИТ
Ежедневный
шум:
Массовые вирусные
рассылки
Попытки сканирования
Перебор паролей
…
Немного
серьезней:
• Файлсервер заражен
криптором
• Троян на сервере печати
99
3
Vulnerability
Management
31. ptsecurity.ru
Продукты и Сервисы Информационной Безопасности
Экспертные
сервисы
Анализ защищённости,
тестирование на
проникновение, мониторинг ИБ
и расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
32. Проблема с проблемами ИБ в промышленных сетях
100% функциональная безопасность
Информационная безопасность не должна нарушать технологический процесс
Учет специфики
Каждый технологический процесс уникален
Сложность проверки гипотез об уязвимостях
Нужна дублирующая площадка для проверки наличия уязвимости
А кто пользователь ИБ-решений?
Результаты работы ИБ-решений должны быть полезны и для технологов,
и для безопасников
33. PT ISIM – мониторинг ИБ в АСУ ТП
Понимание отраслевой специфики
В системе учитываются используемые протоколы, архитектура
и оборудование, типичные уязвимости ТП
Сбор данных без вмешательства в технологический процесс
Для мониторинга событий используются копия сетевого трафика
«Умный» анализ трафика
Система разбирает сетевой трафик и генерирует простой список
событий, который не нужно дополнительно интерпретировать
Оперативная информация на всех уровнях
Отражение информации на карте техпроцесса, автоматическое
уведомление об инцидентах, инструкции для оператора АСУ ТП
и доступ к анализу трафика для специалистов по безопасности
Механизм обнаружения распределенных во времени атак
PT ISIM связывает между собой и выстраивает в цепочку
отдельные события, сравнивая их с векторами типичных атак
Эффективно выявляет
Внутренние угрозы
Внешние угрозы
Ошибки конфигурации
37. Итого
• Инциденты в промышленных компаниях
• Могут затрагивать АСУ ТП
• Потенциальный высокий ущерб
• Всегда важный фактор – защищенность ИТ
• Злоумышленник будет активно использовать недостатки защиты
• Бардак – отсутствие инвентаризации и управления уязвимостями
• Отсутствие практики операционной безопасности – SOC?
• Несогласованность систем и сотрудников – SIEM?
• «Слепые зоны» – отсутствие контроля критических систем (АСУ ТП) – ISIM?
• Шансов не стать мишенью с каждым годом – всё меньше
• Консьюмеризация средств атаки
• Противодействие организаций и государств в киберпространстве
• «Промышленные» способы монетизации киберкриминала
Защищать промышленные компании нужно и возможно – PT ISIM
38. ptsecurity.ru
Продукты и Сервисы Информационной Безопасности
Экспертные
сервисы
Анализ защищённости,
тестирование на
проникновение, мониторинг ИБ
и расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
41. Уникальный продукт
Понимание отраслевой специфики
В системе учитываются используемые протоколы, архитектура
и оборудование, типичные уязвимости ТП
Сбор данных без вмешательства в технологический процесс
Для мониторинга событий используются копии сетевого трафика
«Умный» анализ трафика
Система разбирает сетевой трафик и генерирует простой список
событий, который не нужно дополнительно интерпретировать
Оперативная информация на всех уровнях
Отражение информации на карте техпроцесса, автоматическое
уведомление об инцидентах, инструкции для оператора АСУ ТП
и доступ к анализу трафика для специалистов по безопасности
Механизм обнаружения распределенных во времени атак
PT ISIM связывает между собой и выстраивает в цепочку
отдельные события, сравнивая их с векторами типичных атак
Эффективно выявляет
Внутренние угрозы
Внешние угрозы
Ошибки конфигурации
43. Компоненты PT ISIM
Компоненты Назначение Связь с другими компонентами
PT ISIM Industrial Tablet Вывод информации об инцидентах от серверов сбора данных
Экспорт данных об инцидентах на внешний носитель
Подключается по сети к View Servers
PT ISIM Traffic View Server
PT ISIM Basic View Server
PT ISIM Pro View Server
PT ISIM Full View Server
PT ISIM Unified View Server
Сбор, обработка и хранение первичных данных
Отправка информации на серверы ситуационного центра
Получают копию трафика сети, отображают информацию
на Industrial Tablet, могут передавать сведения в
ситуационный центр и (или) во внешние системы
PT ISIM Forward Server Оптимизация передачи данных серверы ситуационного центра Подключается к View Servers и агрегируют информацию
от PT ISIM, передавая их в ситуационный центр
PT ISIM Overview Server Визуализация данных, поступающих с площадок
Уведомление об инцидентах
Отображение сводной информации по защищенности организации
и каждого подразделения
Интерактивное исследование данных
Подключается к View Servers или Forward Server
и агрегирует полученную информацию
PT ISIM Forensic Server Сбор данных для расследования инцидентов с серверов сбора
Восстановление последовательности событий за заданный период
Интерактивный вывод информации для проведения расследования
Подключается к View Servers, собирает и обрабатывает
информацию об инцидентах
PT ISIM Management Server Управление настройками компонентов PT ISIM
Обновление компонентов PT ISIM
Управляет компонентами системы, настраивает
и обновляет их
44. Серверы сбора данных
Серверы сбора данных
PT ISIM
Traffic View Server
PT ISIM
Basic View Server
PT ISIM
Pro View Server
PT ISIM
Full View Server
PT ISIM
Unified View Server
Запись и хранение трафика + + + + +
Обнаружение цепочек атак + + + + +
Интеллектуальная
обработка сообщений + + + +
Отображение карты сети + + +
Отображение инцидентов
на карте тех. процесса + + +
Экспорт информации
для Forensic Server
для расследования
инцидентов
+ +
Объединение информации
с нескольких PT ISIM +
45. Варианты поставки программно-аппаратных комплектов
Серверы для
ситуационного центра
Серверы первичной
консолидации
Серверы сбора
данных
Промышленный
планшет
Рабочая температура: 0…40 С°
Сменные воздушные фильтры
IP40
Рабочая температура: -25…70 С°
Без вентиляторов
IP40
IEC-61850-3
12" TFT LED Panel
Рабочая температура: 0…60 С°
Без вентиляторов
IP65
Крепление на стену
46. Система PT ISIM поставляется в виде нескольких программно-аппаратных комплексов, тип и количество
которых зависит от конкретной инфраструктуры и решаемых задач.
Компоненты системы располагаются на двух уровнях.
Нижний уровень: компоненты для сбора и оптимизации данных.
Верхний уровень: ситуационный центр.
Компоненты PT ISIM
47. Схема подключения – основной вариант
Подключение к SPAN-порту коммутатора через диод.
48. Остались вопросы?
Олег Матыков
Руководитель направления развития продуктов
для защиты приложений и промышленных сетей
OMatykov@ptsecurity.com
Подробнее о продукте:
https://www.ptsecurity.com/ru-ru/products/isim/
Записаться на бесплатный пилот:
https://www.ptsecurity.com/ru-ru/products/isim/#content-3
Editor's Notes
Unintentional Targets
Several SCADA systems have come under attack by viruses that weren't specifically looking for them but happened to find them. The table below recaps only a few.
Seen in the figure below is an example of a Security compromised SCADA Network.
Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure:
Communication chain
Protocol analyzed / dissection.
Identification of data in transit.
Identification of specific crafted package to send to affect pump functioning, general systems functioning
SCADA ecosystem variation
Identification of method to download equipment’s firmware and upload a crafted one
Kiosk invalidation
Identification on how to get access to the kiosk mode
Performed unauthorized operation over kiosk operating system
Exiting from Kiosk mode
Implement network and application attacks
Security measures / breaking availability
Local and remote ability to authenticate in OT infrastructure
Ability to manipulate business and security processes
План реагирования на инциденты
Проверка планов в «спокойных условиях»
Долгосрочные «проекты» атакующих
Вектор по объекту
Вектор по технологии
Комплексные атаки, составляющие инцидент
Кампании (Adversary Campaign)
Целевые
Массовые
Комбинированные (массово-целевые)
Ежедневные атаки
Вирусы в сети/в почте
Соц. Инженерия (почта, веб)
Атаки на веб-ресурсы
Инциденты
Заражение файлового сервера шифровальщиком
Заражение сервера печати – утечка информации
Кампании
APT-1 (предположительно Китай) – 9 мес.
APT-2 (предположительно США) – 1,5 года
APT-3 – признаки возможности доступа, несколькими способами