Не секрет, что устройства, используемые в системах управления производственными процессами, уязвимы к атакам. Эта гипотеза подтверждается бесконечным количеством исследований и даже является предметом бесчисленных дискуссий и семинаров.
Автор: Jordan Parkin
Не секрет, что устройства, используемые в системах управления производственными процессами, уязвимы к атакам. Эта гипотеза подтверждается бесконечным количеством исследований и даже является предметом бесчисленных дискуссий и семинаров. К сожалению, персонал, отвечающий за безопасность этих сетей, зачастую сталкивается с различными трудностями, главная из которых – конфигурирование и регулярное обновление систем без необходимости останавливать рабочий процесс. Кроме того, специалисты часто безуспешно пытаются внедрить идею о безопасности в головы людей, участвующих в различных технологических процессах, которые относятся к этому вопросу скорее как к ненужной ерунде. Особенно в нижних слоях сети, связанной с управлением производственными процессами. В качестве решения этой проблемы, большее внимание стало уделяться сегрегированию (изоляции) сети и созданию безопасных зон для систем управления особо важными и критическими процессами. То есть стали укрепляться границы между корпоративной сетью и системами SCADA / сетями управления процессами, а также стали ужесточаться права доступа. Таким образом, во время многих экспертиз систем управления производственными процессами, которые мы проводили, основное время уделялось оценке адекватности методов направленных на сегрегирование сети.
Несмотря на важность правильной изоляции и интерес к теме, связанной с экспертизой подобных сетей, в интернете мало информации касаемо этого вопроса. В этой статье будут освещены наиболее распространенные проблемы, связанные с изоляцией сетей, с которыми мы сталкивались во время предыдущих экспертиз. Надеемся, что эта информация поможет пентестерам глубже погрузиться в эту тему, а сотрудникам, отвечающим за безопасность, приоткроет завесу методов, которыми пользуются злоумышленники для получения доступа к нижним слоям сети управления производственными процессами со стороны корпоративной сети.
Общее правило: оценка сегрегации сети выполняется с тем допущением, что злоумышленнику уже удалось скомпрометировать корпоративную сеть для того, чтобы сымитировать реальный сценарий атаки. Обычно либо дается доступ с правами администратора домена или экспертиза выполняется совместно с пентестом корпоративной сети.
Тестирование сегрегации сети обычно состоит из нескольких шагов:
Сбор информации
Сбор информации в основном направлен на идентификацию любых незащищенных данных, связанных сетью управления производственными процессами. Эта информация может раскрыть детали о сети управления, которые помогут злоумышленнику получить доступ. Обычно здесь подразумевается следующее:
Идентификация места проникновения
Один из ключевых моментов на этапе сбора информации – идентификация существующих мест проникновения в сеть управления производственными процессами из корпоративной сети. Сети, связанные с управлением процессами, редко полностью изолированы по причине того, что могут находиться на значительном удалении или в неблагоприятных производственных средах. Как итог, для управления подобными устройствами и системами зачастую используются протоколы удаленного доступа. В большинстве ситуаций можно найти следующие типы мест проникновения:
В документации часто описываются официальные процедуры для удаленного доступа к сети управления производственными процессами. Jump-сервера или терминальные службы также могут быть идентифицированы при помощи анализа сетевых диаграмм или конфигурационных файлов фаервола для хостов, которым разрешены соединения из корпоративной сети через стандартные порты удаленного доступа. Исследование рабочих станций персонала в корпоративной сети, имеющего отношение к управлению процессами, часто является эффективным способом идентификации jump-серверов и протокола, используемого для удаленного доступа.
Иногда для этих пользователей может быть создана отдельная группа. Изучение имен и описания групп, в которые входят ключевые сотрудники, имеющие отношение к производственным процессам, обычно позволяет обнаружить группу пользователей, у которых есть VPN-доступ. Далее начинается исследование рабочих станций этих пользователей на предмет присутствия VPN-интерфейсов или приложений, а также активных соединений к сети управления производственными процессами. Эти рабочие станции могут использоваться в качестве моста к сети управления.
Наиболее надежный способ поиска хостов с архивными данными – анализ сетевой документации и диаграмм. Кроме того, нелишним будет обратить внимание на имена хостов (архивные хосты часто имеют имена “HI”, “HIS”, “HIST” или нечто в таком духе). Можно попробовать посканировать порты, однако это задача осложняется тем, что не существует единого стандарта портов, используемых производителями. Хотя многие организации используют архивные сервера на базе системы OSISoft PI, которые можно обнаружить посредством сканирования наиболее распространенных портов, связанных с этим программным обеспечением (https://techsupport.osisoft.com/troubleshooting/kb/2820osi8). В целом, если производитель системы управления известен или выявлен в процессе анализа, то далее изучается общедоступная документация на предмет использования распространенных портов для последующего сканирования в корпоративной сети.
Еще один эффективный метод обнаружения двудомных хостов – обследование корпоративной сети при помощи выполнения удаленных команд определенным образом (например, WMI или PSExec) и извлечение активных соединений, сетевых интерфейсов и таблиц маршрутизации. Эти данные затем используются для поиска хостов, имеющих доступ к сети управления производственными процессами. Хотя этот метод создает много шума, отнимает много времени и может выдавать огромные объемы информации для парсинга, особенно в больших сетях. С другой стороны, фильтрация по полученным ранее диапазонам IP-адресов, которые используются сетью управления, значительно упрощает задачу.
Доступ к сегрегированной сети
После получения потенциальных мест проникновения в сеть управления производственными процессами следующий шаг – исследование каждого места на предмет присутствия распространенных уязвимостей с целью получения доступа к сети управления. Ниже перечислены наиболее распространенные проблемы, которые были выявлены во время экспертизы различных сетей.
Очень часто используются стандартные или слабые пароли, которые установлены производителем по умолчанию. Эти пароли никогда не меняются, чтобы избежать проблем, связанных с отклонением от стандартной конфигурации. Часто имена пользователей и паролей совпадают (например, operator : operator, manager : manager, supervisor : supervisor) или используются вариации имени производителя (например, Administrator : siemens).
Ситуация ухудшается еще тем, что политики блокировки паролей, используемых в производственных процессах, обычно не определены по причине избежания случайных блокировок, которые могут привести к проблемам или остановке всего процесса. Хотя эта идея и имеет право на жизнь, но с другой стороны злоумышленнику открываются возможности для прямого подбора учетных записей. Эта проблема в комбинации с предыдущими (слабые и повторно используемые пароли) делает атаку по перебору чрезвычайно эффективной при попытке получения доступа к сети управления производственными процессами.
Легким победам не суждено произойти
Если вы когда-либо, выполняя пентесты ICS-инфраструктуры, столкнетесь с одной из следующих ситуаций, немедленно рапортуйте о критической проблеме:
Надеемся, что последняя ситуация с вами никогда не случится. В противном случае, желаем вам остаться целым и невредимым.
Заключение
Несмотря на то, что вокруг нас многое зависит от ICS-технологий, существует явный недостаток информации относительно безопасности подобных систем. Надеемся, что эта статья оказалась для вас полезной.