Документ описывает важность защиты автоматизированных систем управления технологическими процессами (АСУ ТП) и систем SCADA от киберугроз, включая недостатки их дизайна и распространенные уязвимости. Упоминаются примеры атак на такие системы, а также необходимость интеграции и защиты данных в системах SAP и SCADA. Также подчеркивается, что уровень информационной безопасности в АСУ ТП отстает на 10-15 лет, что приводит к необходимости внедрения комплексных мер защиты.

1. Безопасность АСУ ТП.
Добро пожаловать в
прошлый век!
Евгений Зайцев
Ведущий консультант
ezaitsev@ptsecurity.ru

2. Agenda или «неудобные вопросы»
Почему так важно защищать АСУ ТП/SCADA?
А взломать можете?
А при чем тут SAP?
А у вас есть позитивный опыт?
Еще вопросы…

3. Почему так важно защищать
АСУ ТП/SCADA?

4. АСУ ТП/SCADA
3-ИЙ УРОВЕНЬ
Рабочие станции и
серверы
2-ОЙ УРОВЕНЬ
Контроллеры
1-ЫЙ УРОВЕНЬ
Измерительные
приборы

5. Их чего состоит 3-ий уровень?
АРМ оператора
Мониторинг и управление технологическими
процессами
А ещеАРМ инженера
есть межсетевые экраны
Конфигурирование и написание «рецептов» для
(периметр технологической сети)
управления контролерами
Исторический сервер
Хранение информации о работе контроллеров,
датчиков и другой служебной информации

6. Знаете ли вы?
Уровень ИБ в АСУ ТП отстает
на 10-15 лет*!
В большинстве случаев причина в
незащищенном дизайне АСУ ТП!
* По данным отчета

7. Недостатки By Design
Используется распространенное ПО
Большинство протоколов для АСУ ТП были
разработаны без учета требований ИБ
Системы АСУ ТП подвержены тем же
атакам, что и традиционные системы!

8. Из чего состоит 2-ий уровень?
PC-совместимые контроллеры
Универсальные программируемые
контроллеры
Программируемые реле

9. Почему нужно контролировать защищенность
2-ого уровня?
Большинство
современных контроллеров управляются ОС

10. Общие киберугрозы
Хищение конф.
информации АСУ ТП Саботаж

11. А дальше … «Mamma Mia!»
Июль 2010 г. Вирусом Stuxnet Апрель 2010 г. Специалистами
заражены 43 операторских энергетической компании LCRA,
станции одной крупной обслуживающей более 1 млн.
госкомпания США. Через месяц человек в штате Техас,
была полностью потеряна зафиксировано свыше 4800
информация всей ИС. попыток получения доступа к их
компьютерной системе.
Ноябрь 2011 г. Хакеры
2000 г. Хакеры сумели получить взломали SCADA-систему одной
контроль над сетью крупнейшего из американских ГЭС. Из строя
в мире газопровода ОАО выведен насос, который
«ГАЗПРОМ» использовался для
водоснабжения.

12. А взломать можете?

13. 1. Внешний веб-сайт - BIA
Уязвимость: отсутствие процессов обеспечения
безопасности веб-приложений ->
множественные уязвимости
Угроза: получение НСД к сайту, ОС и СУБД
Заказчик: сайт не представляет бизнес-ценности
Риск: незначительный?

14. Ищем на ERIPP.COM
WinCC Flexible - default password Administrator/100

15. Ищем в Google
CoDeSys WebVisualization – Web сервер Codesys (Java)
Google hack : inurl:/plc/webvisu.htm *dsec

16. Ищем на shodanhq.com
 http://www.shodanhq.com/search?q=QJ71WS96
MELSEC System Q – PLC
QJ71WS96 Web Module
User/Password: QJ71WS96/ MITSUBISHI
 http://www.shodanhq.com/search?q=ewon
Gateway for EIP - DF1 Allen-Bradley PLC
User/Password: adm/adm

17. 2. Рабочая станция - BIA
Уязвимости:
• отсутствие ограничений сетевого доступа
• отсутствие контроля конфигураций и учетных записей
рабочих станций
• неэффективный процесс управления обновлениями
Угроза: получение прав другого пользователя,
удаленный доступ к рабочей станции
Заказчик: ситуация нетипична
Риск: незначительный????!!!!!!

18. История подключения устройств
Apple iPhone
Apple iPad
Sony PSP
Флешка

19. А причем тут SAP?

20. SAP и SCADA
SAP – основной потребитель данных с датчиков
АСУ ТП
Частая интеграция со SCADA. В SAP передаются:
• либо исходные данные
• либо агрегированные данные
SAPу безоговорочно верят
Данные могут быть изменены и на стороне SAP

21. От АСУ ТП до ERP не так далеко…
SAP
SCADA
Необходим контроль на
всех уровнях
предоставления
информации!
агрегатор
источники

22. 3. SAP - BIA
Уязвимости:
• отсутствие защиты от MITM-атак
• использование незащищенных протоколов (SAP DIAG)
без дополнительной защиты
Угроза: получение НСД к SAP с правами
пользователя
Заказчик: большинство сотрудников имеют
доступ к SAP, права ограничены
Риск: незначительный????!!!!!!

23. А у вас есть позитивный
опыт?

24. Критичность и динамика обнаружения уязвимостей в
АСУ ТП системах
95
59
Duqu
Stuxnet
12
1 3 5
2005 2007 2008 2010 2011 2012

25. Востребованность специалистов по АСУ ТП
Другие STEP7
iFIX
26% (Siemens)
(Intellution)
22%
4%
WinCC
(Siemens)
18%
PCS7
WinCC (Siemens)
Flexible 8%
(Siemens)
4%
Genesis Intouch
(Iconics) (Wonderware)
5% 13%
По данным www.hh.ru

26. Результаты наших исследований
>50 уязвимостей обнаружено
• Client-side (XSS, CSRF etc)
• SQL/XPath injections
• Arbitrary file reading
• Username/passwords disclosure
• Weak encryption
• Hardcoded crypto keys
• …
Результаты
• Частично устранены вендором
• Частично на этапе устранения в Siemens Product CERT
Спасибо Positive Technologies!

27. Мы пошли дальше!
Стандарт конфигурации SIMATIC WinCC
Поддержка SCADA в MaxPatrol

28. И дальше!
Поддержка протоколов: ModBus/S7/DNP3/OPC
Детект устройств
Schneider Electric SAS
TSXETY5203 V4.5

29. А так же
Поиск уязвимостей PLC/SCADA/MES
Встроенные (безопасные) профили для SCADA
Проверки конфигурации SCADA
Проверки HMI Kiosk mode
Проверки доступа в интернет
Черные/Белые списки
Антивирусы/HIPS проверки

30. Выводы
АСУ ТП отделена от сети: МИФ!
• Без постоянного контроля в этом нельзя быть
уверенным
• Интеграция ERP и SCADA создают
бизнес-мотивацию объединения сетей
SCADA и ERP слишком сложны, чтобы их так
просто взломать: МИФ!
• Чем сложнее система, тем
больше в ней нюансов,
больше уязвимостей,
выше требования к персоналу

31. Windows управляет миром
SCADA, в большинстве случаев
– это ПО под ОС WINDOWS
АРМ используется для разных задач

32. Выводы
Нет незначительных уязвимостей!
• Эксплуатируются тривиальные и
распространённые уязвимости
• Для принятия риска надо четко понимать
возможные последствия и векторы атак
Все устранить невозможно!
• Но возможно:
понять и осознать текущий уровень защищенности,
выбрать наиболее эффективные защитные меры,
повысить уровень защищенности

33. Ваши
вопросы…
Евгений Зайцев
Ведущий консультант
ezaitsev@ptsecurity.ru

34. Зачем это нужно?...
Федеральный закон Российской Федерации от 21 июля 2011 г. N 256-ФЗ "О
безопасности объектов топливно-энергетического комплекса"
…
Статья 11. Обеспечение безопасности информационных систем объектов топливно-
энергетического комплекса
1. В целях обеспечения безопасности объектов топливно-энергетического комплекса
субъекты топливно-энергетического комплекса создают на этих объектах системы
защиты информации и информационно-телекоммуникационных сетей от
неправомерных доступа, уничтожения, модифицирования, блокирования
информации и иных неправомерных действий и обеспечивают функционирование
таких систем. Создание таких систем предусматривает планирование и реализацию
комплекса технических и организационных мер, обеспечивающих в том числе
антитеррористическую защищенность объектов топливно-энергетического комплекса.
…

35. Распределенность и масштабирование

36. АСУ ТП и MaxPatrol
3-ИЙ УРОВЕНЬ
Рабочие станции и
серверы
2-ОЙ УРОВЕНЬ
Контроллеры
1-ЫЙ УРОВЕНЬ
Измерительные
приборы

37. Контроль соответствия требованиям ИБ