Friday, 17 March 2017

SCADA: Критически важная инфраструктура, высокая уязвимость, отсутствие адекватной защиты

Важнейшие направления защиты систем SCADA включают обеспечение непрерывности производственного процесса и информационной безопасности. Специалист Radware, Даниэл Лакёр, рассуждает об основных проблемах, осложняющих задачу обеспечения безопасности промышленных IT систем:

  1. Почему в большинстве случаев невозможно применять традиционные параметры безопасности и подходы к управлению IT инфраструктурой?
  2. Какие технологические факторы и особенности производственного процесса не позволяют использовать традиционные базы знаний в области информационной безопасности?
  3. Почему традиционное сетевое оборудование для обеспечения безопасности и традиционное оборудование для доставки приложений представляет риск для промышленных систем и критически важной инфраструктуры?

На сегодняшний день у многих из нас сложился образ IT-инфраструктуры как традиционной информационной среды, включающей коммутаторы, маршрутизаторы, стандартные операционные системы, а также решения для защиты веб-приложений и другие современные средства обеспечения информационной безопасности. В первую очередь, возникают ассоциации с интернет-приложениями, такими как Facebook, LinkedIn, eBay, SalesForce, Amazon и другими.

Гораздо реже, говоря об IT инфраструктуре, мы вспоминаем о сетях и системах SCADA, которые являются, между тем, критически важным компонентом всех современных промышленных комплексов, транспортных систем, электростанций, очистных сооружений, производственных предприятий, горнодобычи, нефтедобычи и тд. Многие из нас попросту полагают, что промышленные сети мало отличаются от любой другой IT инфрастртуры: те же информационные угрозы, те же средства киберзащиты. В реальности, однако, стандартный подход к кибербезопасности не применим для промышленных сетей по ряду технических причин и ввиду экономической нецелесообразности.

Для иллюстрации проблемы рассмотрим реальный пример конфигурации одной промышленной IT системы. Атомная компания имеет в своем составе пять атомных электростанций, построенных или модернизированных 30 лет назад. Допустим, на каждой станции используется 10 турбин, все от одного производителя. При этом, крайне маловероятно, что на многих из них установлена одна и та же операционная система (и да, они работают под управлением операционной системы). Также весьма маловероятно, что на них установлена стандартная операционная система, и почти гарантированно, что, какая бы это ни была операционная система, она давно не обновлялась. Почему? Вкратце, эта операционная система турбины №6 электростанции №4 была специально разработана и сконфигурирована компанией вроде GE, с учетом специфических характеристик башни конденсации №6 электростанции №4.

Обеспечение безопасности «нормальной IT среды» основано на устранении уязвимостей установленной операционной системы и приложений. Это невозможно сделать применительно к системам SCADA, где не существует патчей и обновлений. Также невозможно использование антивирусов или белых списков. Разработка отдельного антивируса для одного-двух клиентов экономически неоправданна. Сравнение с белыми списками не применимо: во-первых, из-за риска нарушения условий гарантийного договора, во-вторых, из-за высокой чувствительности SCADA оборудования к задержкам. Задержка и потеря данных неприемлема для данных систем.

Во многих случаях ситуация осложняется еще и тем, что сотрудники, отвечающие за управление и эксплуатацию крупномасштабных систем SCADA, стараются исключить какое-либо вмешательство в эту инфраструктуру. Основной их аргумент состоит в том, что IT специалисты не понимают, какие риски может повлечь за собой даже кратковременный сбой в работе системы.

Как же защитить инфраструктуру, которая не может использовать основные традиционные методы обеспечения безопасности и, в большинстве случаев, работает под управлением нестандартных, необновляемых операционных систем? К вопросу обеспечения безопасности систем SCADA надо подходить систематично и обстоятельно. Сначала определим основные сферы защиты:

  • Возможность удаленного доступа к промышленным системам (это стало критически важно для обеспечения безопасности производственного процесса – как в случае возникновения неполадок в системе охлаждения атомной электростанции – эксперты со стороны производителя должны немедленно получить доступ и возможность выполнять удаленные действия);
  • Механизм аутентификации нового поколения – необходимо гарантировать, что доступ получат только проверенные лица, в нужное время и только к определенным компонентам системы;
  • Доступность и надежность систем, грамотный дизайн сети в соответствии с принятыми отраслевыми стандартами;
  • Защита инфраструктуры от внешних угроз. И на компонентном уровне – обеспечение бесперебойной работы отдельных компонентов.

Серьезный риск нарушения доступности систем SCADA представляет стремительно увеличивающееся число DDoS-атак. Промышленные системы особенно уязвимы из-за высокой чувствительности к задержкам и неприспособленности к обработке большого количества запросов. Вдобавок, сети SCADA чаще всего не являются частью корпоративной сети, следовательно общие средства защиты от DDoS-атак, применяемые в корпоративной сети, не обеспечивают безопасность промышленных IT-систем. Организации должны серьезно отнестись к этой угрозе. Лучший выбор – гибридное решение для защиты от DDoS-атак.

Помимо сервиса для отражения крупномасштабных атак, необходимо локально установленное устройство для отражения маломощных DDoS-атак, так как в случае промышленных систем даже небольшая задержка может привести к серьезным последствиям и нарушению производственного процесса. Многие производители SCADA систем добавили SSL шифрование, поэтому требуется отдельное устройство, способное с минимальной задержкой отражать атаки в зашифрованных сессиях. В ходе модернизации промышленные системы становятся все более веб-ориентированными, в связи с чем необходимо специальное решение для защиты веб-приложений (традиционное размещение WAF в сети не подойдет, так как вызывает слишком большую задержку даже в прозрачном режиме).

Сегодня существует много производителей/поставщиков услуг, предоставляющих решения по защите от DDoS-атак, средства защиты веб-приложений и устройства для расшифровки/повторной шифровки SSL-трафика. Однако лишь несколько производителей могут предложить комплексное автоматизированное решение с централизованным управлением. Для обеспечения безопасности критически важной инфраструктуры и промышленных систем необходимо единое, интегрированное решение корпоративного класса, обеспеченное надежной поддержкой производителя.

На основе публикаций Даниэла Лакёр (Daniel Lakier, VP-ADC globally for Radware).

Дополнительные материалы: