Американцы отмечаютрост угроз для АСУ ТП. Это связано не только с ростом числа уязвимостей в системах, отвечающих за управление технологическими процессами, но и с ростом интереса различных хактивистских и анархистских групп. И если раньше атаки на АСУ ТП были уедом избранных, то сегодня это все больше и больше становится мейнстримом. Уже разработано немало инструментов, которые облегчают решение этой задачи. Речь идет и о специализированных поисковых системах, которые облегчают обнаружение АСУ ТП, смотрящих в Интернет, и о выпуске модулей для Metasploit, автоматизирующих поиск уязвимостей в АСУ ТП Rockwell, GE, Schneider Electric, Koyo и WAGO.
Для борьбы с этой угрозой необходима целенаправленная работа, заключающаяся в понимании той модели угроз, с которой нам придется работать, и с теми информационными потоками, которые циркулируют в АСУ ТП.
Уже после изучения данной картинки становится понятны и потенциальные точки приложения сил злоумышленников и методы их нейтрализации. Причем, тут можно выстраивать защиту не только с помощью специализированных инструментов (например, Cisco IPS for SCADA), но и собственноручно создавая сигнатуры для свободно-распространяемой IDS Snort. Например, обнаружение использование уязвимости переполнения буфера в АСУ ТП Siemens может выглядеть так:
alert tcp any any -> any 7580 (msg:”ETPRO SCADA Siemens Tecnomatix FactoryLink CSService GetFileInfo path Buffer Overflow”; flow:to_server,established; content:”LEN|00|”; depth:4; byte_test:4,>,1028,0,little; content:”|99|”; distance:8; within:1; content:”|99 00 00 00 0a 00 00 00 01 06|”; distance:0; byte_test:4,>,1024,0,big; classtype:attempted-user; reference:url,digitalbond.com/tools/quickdraw/vulnerability-rules; sid:1111676; rev:1;)
а обнаружение атаки "отказ в обслуживании" на Rockwell Automation’s RSLogix и FactoryTalk так:
alert tcp any any -> $HOME_NET $ROCKWELL_PORTS (msg:”Rockwell RNA Message Negative Header Length”; flow:to_server; content:”rna|f2|”; byte_test:1,&,0
Для борьбы с этой угрозой необходима целенаправленная работа, заключающаяся в понимании той модели угроз, с которой нам придется работать, и с теми информационными потоками, которые циркулируют в АСУ ТП.
Уже после изучения данной картинки становится понятны и потенциальные точки приложения сил злоумышленников и методы их нейтрализации. Причем, тут можно выстраивать защиту не только с помощью специализированных инструментов (например, Cisco IPS for SCADA), но и собственноручно создавая сигнатуры для свободно-распространяемой IDS Snort. Например, обнаружение использование уязвимости переполнения буфера в АСУ ТП Siemens может выглядеть так:
alert tcp any any -> any 7580 (msg:”ETPRO SCADA Siemens Tecnomatix FactoryLink CSService GetFileInfo path Buffer Overflow”; flow:to_server,established; content:”LEN|00|”; depth:4; byte_test:4,>,1028,0,little; content:”|99|”; distance:8; within:1; content:”|99 00 00 00 0a 00 00 00 01 06|”; distance:0; byte_test:4,>,1024,0,big; classtype:attempted-user; reference:url,digitalbond.com/tools/quickdraw/vulnerability-rules; sid:1111676; rev:1;)
а обнаружение атаки "отказ в обслуживании" на Rockwell Automation’s RSLogix и FactoryTalk так:
alert tcp any any -> $HOME_NET $ROCKWELL_PORTS (msg:”Rockwell RNA Message Negative Header Length”; flow:to_server; content:”rna|f2|”; byte_test:1,&,0
