Pentest smart grid_2012_final

Активная диагностика
безопасности систем Smart Grid
Андрей Лысюк, CCIE, CISA, CISM, CISSP, ITILF
Старший консультант Ernst & Young
консультант,
Директор по сертификациям ISACA Kyiv Chapter
сертификациям,

Security Innovation Forum, 11 Апреля 2012

Содержание

1. Архитектура систем Smart Grid
2. Общие подходы к активной диагностике безопасности (тестам
на проникновение)
3. Анализ систем Smart Grid
A. Компьютерная сеть систем Smart Grid
B. Интеллектуальные измерительные системы
C. Приложения
4. Методы социальной инженерии
5. Заключение

Стр. 2 Активная диагностика безопасности систем Smart Grid

1. АРХИТЕКТУРА СИСТЕМ SMART
GRID


Системы Smart Grid

► Smart Grid –
автоматизированная сеть
генерации, передачи и
потребления электроэнергии
► Компоненты Smart Grid
собирают, передают и
обрабатывают информацию
об участниках сети
► Эта информация
используется для принятия
оператором или самой
системой решений по
управлению компонентами
энергетической сети


► Системы Smart Grid используются для повышения
эффективности генерирования, передачи и потребления
электроэнергии на основе информации о поведении
потребителей и поставщиков
► Одна из главных целей систем Smart Grid – повышение
надежности и безотказности работы систем
► Начало развитию концепции Smart Grid в США положил ряд
крупных системных аварий на территории страны
► Технологическая база систем Smart Grid включает:
► Автоматический учет энергоресурсов
► Автоматизацию распределительных сетей
► Управление и мониторинг состояния электротехнического оборудования



► Системы Smart Grid увеличивают контролируемость и улучшают
обратную связь для всех точек генерации, передачи и
потребления электроэнергии, позволяют вводить новые
сервисы (например, тарификацию в зависимости от времени
потребления)
► Многие мировые компании энергетического сектора считают
выгоды от использования систем больше стоимости внедрения
и планируют или выполняют переходы на эти системы
► Системы управления предприятием ( (ICS – Industrial Control
System) для энергетического сектора фокусируются на
)
интеграции интеллектуальной измерительной инфраструктуры
(AMI – Advanced Metering Infrastructure и переходе на сети на
Infrastructure)
базе IP (Internet Protocol)


Анализ безопасности систем Smart Grid

► Развитие систем сдерживает неуверенность в стабильности
технологий на фоне повышенных ожиданий по доступности
► Этот фактор может быть уменьшен путем расширенного
тестирования, анализа технологии и архитектуры, проведения
диагностики безопасности
► Диагностика безопасности необходима для оценки
защищенности системы от различных угроз и атак и должна
выполнятся с учетом основных типов угроз
► Анализ безопасности включает анализ:
► Сетевой архитектуры
► Потоков данных
► Удаленного доступа
► Интеллектуальной измерительной инфраструктуры
► Приложений


2. ОБЩИЕ ПОДХОДЫ К АКТИВНОЙ
ДИАГНОСТИКЕ БЕЗОПАСНОСТИ
(ТЕСТАМ НА ПРОНИКНОВЕНИЕ)

Особенности среды Smart Grid

► Отличие приоритетов в атрибутах безопасности. Доступность
важнее конфиденциальности
► Повышенный контроль выполнения проекта, особое внимание к
возможным DoS эффектам (прямым или непрямым)
► Приоритет «совместному анализу конфигураций» по сравнению
с активным действиями
► Тесное общение между командой, выполняющей активную
диагностику и персоналом клиента (инженеры, менеджеры
безопасности)
► В остальных моментах подходы к активной диагностике
безопасности систем Smart Grid аналогичны подходам к
активной диагностике безопасности для бизнес приложений


Общие правила к проектам активной диагностики
безопасности (тестам на проникновение)
► Тесное взаимодействие с инженерами систем ICS
► Однозначное определение и утверждение объема
тестирования: перечень подсетей, систем, приложений,
исключений
► Установка протоколов общения
► Предоставление контактной информации
► Регулярные встречи (телефонные конференции) по статусу
выполнения проекта


Определение цели тестирования

► Возможные цели тестирования:
► Получить представление о возможных атаках
► Тщательно проанализировать существующие уязвимости
► Оценить насколько вероятна компрометация
► Входящая информация для оценки рисков
► Ожидаемые результаты тестов определяют методы
► Общие подходы к проведению тестов на проникновение
► Black-box
► Grey-box
► White box
► «Слепой метод»
► Методики «маскировки» атак
► Выборка систем


Обнаружение (discovery)

► Тестирование начинается с обнаружения объектов
тестирования и определения атрибутов объектов
► Цель фазы обнаружения – определения основных технологий,
сетевой архитектуры, приложений, версий сервисов,
уязвимостей
► Чаще всего для обнаружения используются сетевые сканеры
► Сканирование критичных систем может повлиять на доступность
► Лучше не использовать сканирование с установкой TCP соединений (full
TCP handshake)
► Сканирование может вызвать загрузку процессорных ресурсов объекта
► Снифферы (перехватчики) трафика могут использоваться как
альтернатива сканерам (пример – сканер Sophia)
► Сбор информации по Web-приложениям (ручной и
приложениям
автоматизированный методы)

Идентификация уязвимостей

► Ручные проверки
► Автоматизированное тестирование
► Сканеры уязвимостей
► Сканеры определенных сервисов
► Сопоставление отклика объекта тестирования с базой
«цифровых отпечатков» различных систем
► Явное присутствие информации о версии сервиса в отклике
► Реакция на набор сформированных определенным образом пакетов
► Пассивный перехват трафика
► Позволяет выявить определенные уязвимости, например, проблемы с
шифрованием
► Предпочтителен для систем, где использование активных сканеров
представляет большой риск
► Комбинация тестирования с экспертным анализом


Работа с критичными системами

► Использование тестовой среды
► Среда, идентичная продуктивной
► Репликация отдельных элементов системы (программных модулей,
устройств) в тестовой среде
► Безопасная идентификация цели
► Обсуждение деталей тестирования и возможных последствий
► Пересмотр объема тестирования
► Упражнение по оценке уязвимостей путем дискуссий (
(table top
exercise)
► Подтверждение уязвимости
► Определение потенциального ущерба
► Анализ механизмов устранения уязвимости


Эксплуатация уязвимостей

► Найденные уязвимости необходимо проверить
► Эксплуатация уязвимостей может отличаться по степени риска
► Выполнение команд в рамках нормальной работы сервиса представляет
меньший риск для систем
► Выполнение действий за пределами нормальной работы сервиса
(переполнение буфера, вызов отказа в обслуживании) несет в себе
больший риск для систем. Необходимо взвесить выгоду от выполнения
теста с возможным ущербом
► Эксплуатация на тестовой среде
► Использование анализа версий и установленных обновлений
для проверки уязвимостей


Эскалация привилегий

► Оценка возможности получить дополнительный доступ
► Первоначальная компрометация наименее защищенных систем
► Использование скомпрометированных систем как
промежуточных площадок для дальнейшего возможного
доступа
► Оценка архитектуры безопасности компьютерной сети
► Выполнение повторных итераций тестирования
► Системы управления энергетическими компаниями
разрабатываются с фокусом на доступность и
отказоустойчивость. При этом вопросы контроля привилегий
отодвигаются на второй план


Основные категории уязвимостей

► Неправильная обработка входов
► Ошибки в коде и конфигурации программных модулей
► Недостатки аутентификации
► Недостатки в управлении привилегиями и правами доступа
► Недостатки проверки аутентичности данных
► Управление ключами
► Недостатки шифрования
► Мониторинг действий и событий
► Недостатки архитектуры и конфигурации компьютерной сети
► Излишние разрешения в правилах межсетевых экранов


3. АНАЛИЗ СИСТЕМ SMART GRID


A. Сетевая архитектура


Сетевая архитектура Smart Grid

Корпоративная сеть Home Area
Network
Подстанция Подстанция (HAN)

Wide Area Neighborhood
Межсетевой Магистральная area network
Network
экран сеть (NAN)
(WAN)

Операционная сеть Подстанция Home Area
Сервер
Network
Operator (HAN)
HMI реального Historian
console
IED RTU
времени


Особенности традиционной сетевой архитектуры
Smart Grid
► Географическая удаленность элементов
► Традиционно использовались закрытые протоколы
► Различные производители аппаратных и программных
компонент
► Отклонение от основных принципов построение сетей:
► Масштабируемость
► Открытость
► Взаимодействие оборудования различных производителе
► Сложности в определении требований информационной
безопасности и внедрении контролей
► Отсутствие стандартизации
► Сложные условия эксплуатации
► Сегменты сети могут быть физически разделены


Интеграция с ИТ сетями

► Переход на Smart Grid требует увеличения интеграции
► Объединение сегмента ICS (операционная сеть) и
операционная
корпоративной сети
► Традиционные протоколы в системах SCADА (Supervisory
Control and Data Acquisition) замещаются или туннелируются
через IP
► Modbus TCP/IP
► DNP3 over IP
► Новые уязвимости, которые не характерны для серийных
протоколов
► Перехват и анализ DNP3 over IP пакета
► Модификация и повторная передача захваченного пакета


Периметр

► Периметр представляет первый эшелон защиты
► Ошибочно считается, что операционная сеть отделена от
остальных сегментов
► Управление IED (Intelligent Electronic Devices) требуется из
нескольких точек (центров управления)
► Wide Area Network используется для подключения удаленных
точек. Недостатки в конфигурации межсетевых экранов
приводят к возможным атакам со стороны Wide Area Network


Возможные недостатки архитектуры сети

► Часто протоколы работы, например протокол ICCP (Inter-Control
Center Communications Protocol), не используют аутентификации
и шифрования. Возможность передать команду из
неавторизованного контрольного центра
► Использование Wi-Fi с небезопасными параметрами для
подключения компонент Smart Grid сети
► Уязвимости в программном обеспечении удаленного доступа,
которое используется для доступа вендоров
► Недостатки QoS и определения приоритета для трафика
управления


Сегментация сети

► Корпоративная сеть
► Размытие границ
► Доступ администраторов ICS в операционную сеть
► Рабочие станции администраторов – основная цель
► Взаимодействие с рынком (например OASIS – Open-Access-Sametime-
Information-System)
► Операционная сеть
► SCADA
► Исторические данные
► Требования к надежности и доступности
► Магистральная сеть
► Общение между подстанциями и контрольным центром
► NAN – Neighborhood area networks
► Сети для поддержки интеллектуальных измерительных систем


B. Интеллектуальные измерительные системы


Интеллектуальные измерительные системы

► Интеллектуальные измерительные системы являются
дополнительной движущей силой перехода на IP сети и
стандартизации
► Двусторонняя связь
► Дополнительные преимущества для производителей и
потребителей:
► Тарификация в зависимости от времени потребления
► Управление восстановлением после сбоев
► Смещение парадигмы и интеграция операционной сети и
корпоративной сети


Угрозы и недостатки интеллектуальных
измерительных систем
► Расположение на территории потребителей
► Полезный срок использования измерителей – несколько
десятилетий. Измеритель может долго находится у
потенциального злоумышленника, который будет выполнять
обратный инжиниринг
► Архитектура измерителей разрабатывалась без учета вопросов
безопасности
► Возможность несанкционированного подключения по
протоколам удаленного доступа
► Подверженность зловредному коду
► Результаты атак – сбои в работе электросетей или
мошенничество с отчетами потребления


Активная диагностика безопасности
интеллектуальных измерительных систем
► Предотвращение вскрытия устройства
► Препятствие вскрытию (например, стирание памяти при вскрытии)
► Обнаружение вскрытия (например, печати)
► Предположение, что устройство будет физический скомпрометировано
► Расположение на территории клиента
► Длительный срок эксплуатации
► Анализ конфигурации
► Анализ интерфейсов
► Наличие внешнего физического интерфейса для управления
► Протоколы передачи данных
► Подключение специализированной аппаратной части


Активная диагностика безопасности
интеллектуальных измерительных систем
► Анализ шины данных
► Анализ пульсов, кодирующих данные
► Анализ шифрования данных
► Анализ микроконтроллера
► «Clock glitching»
► «Power glitching»
► Анализ ПЗУ (EPROM – erasable programmable read
read-only memory)
► Конфигурация
► Операционная система
► Ключи шифрования


С. Приложения


Приложения ICS систем

► Приложения вендоров ICS систем закрыты по своей природе
► Неширокое использование увеличивает вероятность
присутствия уязвимостей
► Могут использоваться злоумышленниками для обратного
инжиниринга
► Атаки на приложения ICS систем могут потенциально принести
большую выгоду для злоумышленников. Как следствие
следствие,
ресурсы, которые выделяются злоумышленниками для анализа
относительно большие
► СERT (Computer Emergency Response Team) создал орган ICS-
ERT
CERT для ответственного раскрытия информации об
уязвимостях


Анализ конфигурации приложения

► Шифрование
► Поддержка протоколов взаимодействия
► Использование механизмов аутентификации
► Настройки по умолчанию
► Пароли
► Пароли по умолчанию
► Пароли, которые внесены в код системы
► Зловредное ПО, нацеленное на системы SCADA использует внесенные в
код системы пароли (например Stuxnet)


Сервисы и протоколы

► Изначально использовались закрытые протоколы вендоров
► Миграция на IP требует стандартизации протоколов
► Внедрение Web технологий в среду ICS
► OPC UA (OPC Unified Architecture)
► Microsoft COM (Component Object Model)
► SOA (Service Oriented Architecture)
► Платформа Microsoft .NET
► Поддержка Java для кросс-платформенного внедрения
платформенного


Подходы к диагностике приложений

► Black-box
► Выполняется только на работающем коде
► Отсутствие первоначальной информации о системе
► Проверка обходных путей аутентификации и авторизации
► Манипуляция вводом полей
► Анализ функциональности
► White-box
► Глубокий анализ внутренней работы приложения
► Анализ шифрования
► Анализ аутентификации и контролей доступа
► Анализ работы кода не выполняется
► Grey-box
► Комбинация первых двух подходов
► Наиболее эффективный подход


4. МЕТОДЫ СОЦИАЛЬНОЙ
ИНЖЕНЕРИИ


Методы социальной инженерии

► Социальная инженерия является искусством влияния на людей
с целью убедить людей:
► Предоставить конфиденциальную информацию
► Выполнить неавторизованные действия
► Предоставить неавторизованный доступ
► Влияние на людей выполняется путем
► Обмана
► Насилия
► Запугивания
► Жалости
► Включение методов социальной инженерии в активную
диагностику безопасности систем позволяет:
► Выявить недостатки в административных мерах
► Применять методы, которые более полно отображают спектр действий,
выполняемых потенциальными злоумышленниками

Методы социальной инженерии

► Фишинг
► Целевая аудитория наиболее широкая (например, все сотрудники
компании)
► Возможная атака на субконтракторов
► Использование технических уязвимостей для эскалации привилегий
► «Spear phishing» - целевая аудитория более узкая
► Администраторы ICS
► Доступ к критичным системам
► Беспокойство по поводу доступности систем
► Физический доступ
► Энергетические компании фокусируются на вопросах безопасности
жизнедеятельности, а не информационной безопасности
► Портативные медиа-носители
► Несколько методов (утерянный носитель, приз)


5. ЗАКЛЮЧЕНИЕ


Заключение

► Интеграция операционных сетей с корпоративной сетью в
системах Smart Grid устраняет традиционную физическую
границу и выдвигает новые требования к информационной
безопасности
► Активная диагностика информационной безопасности
позволяет выявить недостатки контролей и помочь с оценкой
рисков в системах Smart Grid для целей определения
приоритета выделения ресурсов


Основные соображения при проведении тестов

► Определение целей теста и желаемых результатов
► Определение наиболее вероятных угроз
► Анализ доступа к системам
► Определение ключевых людей для выполнения теста
► Определения плана по коммуникациям
► Выбор системы для тестирования: продуктивная или тестовая
► Предоставление начальной информации тестерам


Вопросы?


Pentest smart grid_2012_final

More Related Content

What's hot

Viewers also liked

Similar to Pentest smart grid_2012_final

Pentest smart grid_2012_final