Анализ безопасности систем ICS/SCADA: Типичный подход

Анализ безопасности систем ICS/SCADA: Типичный подход

Не секрет, что устройства, используемые в системах управления производственными процессами, уязвимы к атакам. Эта гипотеза подтверждается бесконечным количеством исследований и даже является предметом бесчисленных дискуссий и семинаров.

Автор: Jordan Parkin 


Не секрет, что устройства, используемые в системах управления производственными процессами, уязвимы к атакам. Эта гипотеза подтверждается бесконечным количеством исследований и даже является предметом бесчисленных дискуссий и семинаров. К сожалению, персонал, отвечающий за безопасность этих сетей, зачастую сталкивается с различными трудностями, главная из которых – конфигурирование и регулярное обновление систем без необходимости останавливать рабочий процесс. Кроме того, специалисты часто безуспешно пытаются внедрить идею о безопасности в головы людей, участвующих в различных технологических процессах, которые относятся к этому вопросу скорее как к ненужной ерунде. Особенно в нижних слоях сети, связанной с управлением производственными процессами. В качестве решения этой проблемы, большее внимание стало уделяться сегрегированию (изоляции) сети и созданию безопасных зон для систем управления особо важными и критическими процессами. То есть стали укрепляться границы между корпоративной сетью и системами SCADA / сетями управления процессами, а также стали ужесточаться права доступа. Таким образом, во время многих экспертиз систем управления производственными процессами, которые мы проводили, основное время уделялось оценке адекватности методов направленных на сегрегирование сети. 

Несмотря на важность правильной изоляции и интерес к теме, связанной с экспертизой подобных сетей, в интернете мало информации касаемо этого вопроса. В этой статье будут освещены наиболее распространенные проблемы, связанные с изоляцией сетей, с которыми мы сталкивались во время предыдущих экспертиз. Надеемся, что эта информация поможет пентестерам глубже погрузиться в эту тему, а сотрудникам, отвечающим за безопасность, приоткроет завесу методов, которыми пользуются злоумышленники для получения доступа к нижним слоям сети управления производственными процессами со стороны корпоративной сети. 

Общее правило: оценка сегрегации сети выполняется с тем допущением, что злоумышленнику уже удалось скомпрометировать корпоративную сеть для того, чтобы сымитировать реальный сценарий атаки. Обычно либо дается доступ с правами администратора домена или экспертиза выполняется совместно с пентестом корпоративной сети.
Тестирование сегрегации сети обычно состоит из нескольких шагов:

  • Сбор информации.
  • Идентификация места проникновения.
  • Доступ к сегрегированной сети.

Сбор информации
Сбор информации в основном направлен на идентификацию любых незащищенных данных, связанных сетью управления производственными процессами. Эта информация может раскрыть детали о сети управления, которые помогут злоумышленнику получить доступ. Обычно здесь подразумевается следующее:

  • Информация о персонале, имеющим отношение к управлению процессами – Технологи, операторы, IT-персонал и другие ключевые люди обычно владеют конфиденциальной информацией о сети управления производственными процессами. Поиск в Active Directory по сотрудникам, которые выполняют вышеупомянутые роли, может помочь в идентификации имен рабочих станций и совместно используемых сетевых ресурсах (шарах), к которым есть доступ. Уже этот шаг значительно сокращает объем анализируемых данных и общее количество усилий, необходимых для получения доступа к сети управления, поскольку в этом случае внимание будет сосредоточено только на определенных хостах и шарах.
  • Сетевые диаграммы и проектная документация – Эта информация может помочь злоумышленнику понять механизмы работы сети управления процессами на фундаментальном уровне, а также выявить имена хостов и IP-адреса в качестве отправных точек для последующего сбора сведений. Более того, в идеальной ситуации сетевая документация может дать полную картину происходящего в сети управления производственными процессами и помочь выявить хосты, которые нужно атаковать в первую очередь. После идентификации файловых серверов в корпоративной сети и информационных репозитариев (например, SharePoint) сетевая документация обычно ищется в файлах VSD, PDF и DOC / DOCX, находящихся в директориях или шарах, имеющих отношение к соответствующим процессам.
  • Документация на сеть управления процессами – Эта информация может содержать детали официальных процедур, связанных с удаленным доступом, инструкции об авторизации на хосты, имеющих отношение к производственным процессам, и данные о технологиях (используемых и неиспользуемых). Во многих случаях, в подобной документации содержится чрезвычайно важная и конфиденциальная информация (например, логины и пароли), которая является бесценной во время экспертизы сегрегации сети. Эта документация может находиться внутри IT-шар и директорий или иногда в папках и шарах, имеющих отношение непосредственно к производственным процессам.
  • Сетевые устройства и бэкапы систем – Конфигурационные файлы фаервола, роутера и свитча, которые находятся внутри резервной копии в корпоративной сети, часто помогают построить оптимальную схему проникновения в сеть управления. При изучении конфигурации сетевых устройств можно обнаружить хосты в корпоративной сети, к которым разрешен удаленный доступ через протоколы RDP, VNC и SSH. Если в корпоративной сети находятся бэкапы систем, связанных с управлением процессами, то из этих данных можно легко извлечь хеши и другие конфиденциальные сведения. Эта информация часто может быть получена через приложения для IT-управления или сетевого резервного копирования, а также в корпоративных или сетевых IT-шарах.

Идентификация места проникновения
Один из ключевых моментов на этапе сбора информации – идентификация существующих мест проникновения в сеть управления производственными процессами из корпоративной сети. Сети, связанные с управлением процессами, редко полностью изолированы по причине того, что могут находиться на значительном удалении или в неблагоприятных производственных средах. Как итог, для управления подобными устройствами и системами зачастую используются протоколы удаленного доступа. В большинстве ситуаций можно найти следующие типы мест проникновения:

  • Jump-сервер (jump box) / Терминальный сервер – Доступ к сети управления процессами из корпоративной сети часто разрешен через хост, функционирующий как jump-сервер (или jump box). Обычно удаленный доступ осуществляется через протоколы RDP, VNC и SSH. Хотя иногда используются приложения для виртуализации рабочих столов наподобие Citrix. Организации, уделяющие мерам безопасности особое внимание, часто используют решения, поддерживающие многофакторную аутентификацию во время удаленного доступа.

В документации часто описываются официальные процедуры для удаленного доступа к сети управления производственными процессами. Jump-сервера или терминальные службы также могут быть идентифицированы при помощи анализа сетевых диаграмм или конфигурационных файлов фаервола для хостов, которым разрешены соединения из корпоративной сети через стандартные порты удаленного доступа. Исследование рабочих станций персонала в корпоративной сети, имеющего отношение к управлению процессами, часто является эффективным способом идентификации jump-серверов и протокола, используемого для удаленного доступа.

  • VPN-доступ – Выбранным пользователям, обычно имеющим отношение к управлению процессами, может быть разрешен прямой VPN-доступ с целью удаленного управления сетью. Так же как и в случае с jump-серверами здесь может использоваться многофакторная аутентификация.

Иногда для этих пользователей может быть создана отдельная группа. Изучение имен и описания групп, в которые входят ключевые сотрудники, имеющие отношение к производственным процессам, обычно позволяет обнаружить группу пользователей, у которых есть VPN-доступ. Далее начинается исследование рабочих станций этих пользователей на предмет присутствия VPN-интерфейсов или приложений, а также активных соединений к сети управления производственными процессами. Эти рабочие станции могут использоваться в качестве моста к сети управления.

  • Двудомные хосты – В типичной сети, связанной с управлением производственными процессами, несколько хостов могут быть сконфигурированным как двудомные или при помощи дополнительных правил фаервола, которые разрешают доступ к сети управления. Обычно в эту категорию попадают сервера, хранящие архивные данные, используемые с целью анализа и улучшения производительности производственных процессов. Получение доступа к этим хостам часто дает прямой доступ к сети управления производственными процессами без необходимости использования официальных процедур удаленного доступа. Даже если архивные сервера не дают расширенного доступа к сети управления, исследование активных соединений помогает выявить диапазоны целевых IP-адресов.

Наиболее надежный способ поиска хостов с архивными данными – анализ сетевой документации и диаграмм. Кроме того, нелишним будет обратить внимание на имена хостов (архивные хосты часто имеют имена “HI”, “HIS”, “HIST” или нечто в таком духе). Можно попробовать посканировать порты, однако это задача осложняется тем, что не существует единого стандарта портов, используемых производителями. Хотя многие организации используют архивные сервера на базе системы OSISoft PI, которые можно обнаружить посредством сканирования наиболее распространенных портов, связанных с этим программным обеспечением (https://techsupport.osisoft.com/troubleshooting/kb/2820osi8). В целом, если производитель системы управления известен или выявлен в процессе анализа, то далее изучается общедоступная документация на предмет использования распространенных портов для последующего сканирования в корпоративной сети.

Еще один эффективный метод обнаружения двудомных хостов – обследование корпоративной сети при помощи выполнения удаленных команд определенным образом (например, WMI или PSExec) и извлечение активных соединений, сетевых интерфейсов и таблиц маршрутизации. Эти данные затем используются для поиска хостов, имеющих доступ к сети управления производственными процессами. Хотя этот метод создает много шума, отнимает много времени и может выдавать огромные объемы информации для парсинга, особенно в больших сетях. С другой стороны, фильтрация по полученным ранее диапазонам IP-адресов, которые используются сетью управления, значительно упрощает задачу.

Доступ к сегрегированной сети

После получения потенциальных мест проникновения в сеть управления производственными процессами следующий шаг – исследование каждого места на предмет присутствия распространенных уязвимостей с целью получения доступа к сети управления. Ниже перечислены наиболее распространенные проблемы, которые были выявлены во время экспертизы различных сетей.

  • Небезопасные пароли – Пароли являются серьезной проблемой для сотрудников, отвечающих за безопасность сети управления производственными процессами, по нескольким причинам. Основная проблема заключается в сложности мотивации инженеров и других пользователей, у которых есть доступ к сети управления, к использованию стойких паролей. Зачастую используются одни и те же пароли и в корпоративной сети и в сети управления, поскольку пользователи не желают управлять набором паролей и считают, что риск взлома сети ничто мал. После компрометирования корпоративной сети и взлома / получения паролей ключевых сотрудников, те же самые пароли могут использоваться для доступа к сети управления производственными процессами через ранее полученные места проникновения.

Очень часто используются стандартные или слабые пароли, которые установлены производителем по умолчанию. Эти пароли никогда не меняются, чтобы избежать проблем, связанных с отклонением от стандартной конфигурации. Часто имена пользователей и паролей совпадают (например, operator : operator, manager : manager, supervisor : supervisor) или используются вариации имени производителя (например, Administrator : siemens).

Ситуация ухудшается еще тем, что политики блокировки паролей, используемых в производственных процессах, обычно не определены по причине избежания случайных блокировок, которые могут привести к проблемам или остановке всего процесса. Хотя эта идея и имеет право на жизнь, но с другой стороны злоумышленнику открываются возможности для прямого подбора учетных записей. Эта проблема в комбинации с предыдущими (слабые и повторно используемые пароли) делает атаку по перебору чрезвычайно эффективной при попытке получения доступа к сети управления производственными процессами.

  • Хранение паролей в открытом виде – Учетные записи, используемые при управлении технологическими процессами, часто содержатся в документации. Любые репозитории, где хранится документация сети управления производственными процессами, должны быть исследованы на этапе сбора информации при экспертизе сегрегации сети. Любая найденная документация должна быть проанализирована на предмет паролей, используемых в местах проникновения.
  • Домен корпоративной сети подключен к сети управления – В случае присутствия в корпоративной сети двудомных хостов или рабочих станций с VPN-доступом эти хосты обычно подсоединены к домену в Active Directory. Соответственно, становится возможным получение доступа к этим хостам напрямую при помощи высокопривилегированных учетных записей, используемых в Active Directory со стороны корпоративной сети (например, при помощи учетной записи администратора домена). В организациях, где безопасности уделяется особое внимание, предпринимаются дополнительные шаги по ограничению доступа к этим хостам только для определенных пользователей или групп. Хотя если корпоративная сеть скомпрометирована, то довольно просто найти нужных пользователей и извлечь пароли из памяти.
  • Открытые уязвимые службы – В местах проникновения могут использоваться дополнительные службы (например, базы данных или веб-приложения), уязвимые к наиболее распространенным атакам. Каждый хост, у которого есть доступ к сети управления производственными процессами, должен быть просканирован на предмет присутствия неучтенных служб. В случае нахождение подобных служб нужно провести анализ на предмет наличия уязвимостей или распространенных ошибок в конфигурации, которые могут стать причиной компрометирования всего хоста.

Легким победам не суждено произойти

Если вы когда-либо, выполняя пентесты ICS-инфраструктуры, столкнетесь с одной из следующих ситуаций, немедленно рапортуйте о критической проблеме:

  • В корпоративной сети обнаружен трафик Modbus/DNP3.
  • Из корпоративной сети есть доступ к человеко-машинному интерфейсу (HMI) с правами не только на чтение.
  • Пингование ядерного реактора при помощи NMAP приводит к необратимым последствиям.

Надеемся, что последняя ситуация с вами никогда не случится. В противном случае, желаем вам остаться целым и невредимым. 

Заключение

Несмотря на то, что вокруг нас многое зависит от ICS-технологий, существует явный недостаток информации относительно безопасности подобных систем. Надеемся, что эта статья оказалась для вас полезной.


Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.