Повсеместное применение информационных и коммуникационных технологий способствует повышению продуктивности, снижению производственных затрат и улучшению качества жизни. ИТ играют ключевую роль в развертывании, эксплуатации и техническом обслуживании критически важных инфраструктур, осуществляющих снабжение людей водой, энергоносителями, газом, электричеством и продуктами питания [1]. Важнейшим элементом таких инфраструктур являются управляющие системы диспетчерского контроля и сбора данных (Supervisory Control And Data Acquisition, SCADA), нарушение работы которых может привести к серьезным социальным и экономическим последствиям государственного масштаба, что обусловлено сильными взаимосвязями между различными элементами комплекса жизнеобеспечения [2]. Чтобы гарантировать высокую работоспособность, надежность и безопасность критически важной инфраструктуры, необходимо спланировать и принять защитные меры.
По данным АНБ и Кибернетического командования США, за период с 2009 по 2011 год количество кибератак на критически важную инфраструктуру этой страны выросло в 17 раз (см. Таблицу) [3], причем тенденция к росту сохраняется с учетом того, что все больше систем SCADA подключаются к глобальным сетям. А по данным компьютерной группы реагирования на чрезвычайные ситуации Министерства внутренней безопасности США, если в 2009 году было всего девять инцидентов, потребовавших помощи этой организации, то в 2011-м — уже 198.
Кибератаки на управляющие системы предприятий энергетического сектора |
Большинство атак были направлены против госструктур и энергетической отрасли, а главными целями были подрыв обслуживания, а также раскрытие, искажение или уничтожение информации. Устроителей кибератак можно разделить на несколько групп:
- технически грамотные индивидуумы, которые, полагаясь на собственный опыт и инструментальные средства, обнаруживают уязвимости систем;
- киберпреступники, пытающиеся в целях обогащения подорвать нормальную работу критически важных объектов с помощью различных вредоносных программ (вирусов, червей, троянцев) и DoS-атак;
- устроители атак, действующие при финансовой поддержке враждебных государств и занимающиеся в основном кибершпионажем;
- атакующие, следующие религиозным или политическим убеждениям, — например, так называемые хактивисты, взломавшие системы финансовых корпораций и поставщиков коммунальных услуг.
Угрозы и уязвимости
Системы SCADA включают в себя средства приема и обработки критически важной информации (сигналов тревоги, измерений и команд), которая поступает с удаленных подстанций, представляющих собой автоматизированные системы, напичканные различным оборудованием: периферийные терминалы, программируемые контроллеры и датчики. Связь с подстанциями двухсторонняя — они могут получать управляющие команды, которые исполняются с помощью сервомеханизмов [2]. В этой структуре ИКТ играют важнейшую роль: в частности, дистанционное получение данных и наблюдение в реальном времени часто осуществляется с помощью Интернета и веб-интерфейсов. Как следствие, появились новые стандарты на коммуникационные протоколы SCADA, такие как Modbus-TCP, Distributed Network Protocol (DNP3), IEC-60870-5-104 и InterControl Center Protocol (ICCP, IEC60870-6), регулирующие автоматизацию и управление, а также порядок соединения систем SCADA друг с другом.
На рисунке показана типичная архитектура SCADA: диспетчерская, корпоративная сеть и удаленная подстанция. Диспетчерская следит за работой системы, анализируя информацию от подстанций на серверах SCADA и сохраняя показатели, сведения о процессах и сигналы тревоги, связанные с различными событиями. Внешний доступ к этим ресурсам необходимо защищать и тщательно контролировать с помощью механизмов безопасности — межсетевых экранов, демилитаризованных зон, антивирусов, систем распознавания и предотвращения вторжений.
Сетевая архитектура SCADA |
Угрозы компонентам SCADA
Внешние угрозы сетям SCADA и их компонентам, отвечающим за управление и безопасность работы, — это преднамеренные атаки и аварии.
Интерфейсы человек-машина, серверы и базы архивных данных. Большинство сетевых доменов SCADA, управляющих устройств и информационных систем, таких как серверы и терминалы, лишены адекватных средств контроля доступа, а процесс аутентификации часто либо отсутствует, либо неэффективен — обычно это просто традиционная пара «имя-пароль». Атакующий нередко может выяснить такие верительные данные с помощью методов «грубой силы» — словарной атаки или социальной инженерии. Еще проще ему будет, если пользователи SCADA вообще не придают значения важности защиты верительных данных.
Уязвимости и усложнения архитектуры могут быть вызваны взаимозависимостью сервисов и приложений и их функциональной неизолированностью. Если управляющее приложение зависит от других, нарушение (вызванное, например, DoS-атакой) может привести к эффекту каскада, подрывающего работу других важных сервисов. Атакующие также могут воспользоваться сервисами операционной системы, которые ассоциированы с несанкционированными, но активными портами.
Генерируемые в процессе работы SCADA данные вместе с верительными данными обычно сохраняются в архивных базах, и при отсутствии шифрования или демилитаризованных зон атакующие могут получить к ним доступ, скомпрометировав мобильные или веб-приложения, широко применяемые сегодня для управления и технического обслуживания критически важной инфраструктуры. Если сервис, обращающийся к базам для проверки верительных данных, недостаточно защищен (например, использует HTTP без шифрования или туннелирования), атакующий может с помощью SQL-инъекции дистанционно считывать контент, манипулировать с ним, тиражировать информацию или выполнять произвольный код [1].
Защитные компоненты. Большинство компонентов, отвечающих за защиту сетевого периметра (межсетевые экраны, системы обнаружения и предотвращения вторжений, демилитаризованные зоны), не приспособлены для полноценного анализа и аутентификации входящего и исходящего сетевого трафика SCADA. Их главный недостаток — невозможность задания правил, позволяющих защитить всю систему SCADA, чьи коммуникационные пакеты могут быть проприетарными и иметь определенные уязвимости. Неверная или неполная конфигурация может привести к появлению брешей [2].
Архитектурные сложности сетей SCADA и проприетарные коммуникационные протоколы могут затруднить анализ трафика системами распознавания и предотвращения вторжений, а неудачное или противоречивое сочетание конфигураций защитных механизмов способно создать конфликты при контроле легитимности и аутентификации трафика. Вредоносный код может проникнуть в сеть SCADA, даже не прибегая к обходу механизмов защиты периметра. Например, сотрудник может открыть сообщение электронной почты с вредоносным вложением или воспользоваться инфицированным USB-накопителем. Согласно отчету, опубликованному US-CERT, подавляющее большинство зарегистрированных инцидентов безопасности было спровоцировано сообщениями адресного фишинга, имеющими вредоносные вложения.
Полевые устройства и встроенные системы. Полевые устройства, например устройства связи с объектом и программируемые контроллеры, не требуют аутентификации или защищены лишь паролем. Доступ к таким устройствам осуществляется локально по беспроводным сетям или дистанционно по кабельным, однако если такие сети соединены с Интернетом, то могут возникнуть проблемы с безопасностью. Атакующие могут получить верительные данные, а затем считывать или менять конфигурации и критически важную информацию (сигналы тревоги, показатели, команды). В результате изменения злоумышленником конфигурации сфальсифицированные показатели могут поступать как в систему сигнализации, так и операторам, маскируя атаку вполне штатной телеметрией.
Недавно инженеры SCADA стали внедрять беспроводные сенсорные сети, для которых характерны малые затраты на установку и сопровождение — сенсорные узлы непрерывно следят за физическими событиями, обрабатывают информацию и отправляют ее на промежуточные устройства (шлюзы или устройства связи с объектом), функционирующие между сенсорной сетью и диспетчерской. Такие устройства обычно уязвимы для DoS-атак (например, осуществляемых путем массированной бомбардировки управляющими запросами), способных вывести подстанцию из строя. Помимо этого, многие сенсорные узлы не защищены от вмешательства, а их срок службы зависит от энергоснабжения или механизмов периодического включения-выключения, рекомендованных отраслевыми коммуникационными стандартами, такими как WirelessHART, ISA100.11a или ZigBee [2]. Атакующий может использовать эти ограничения для разрушения узла или захвата контроля над ним, подрыва функциональности или истощения ресурсов с помощью DoS-атак.
Управляющие и защитные компоненты от сторонних поставщиков. В рамках модернизации систем SCADA с ними интегрируют компоненты от сторонних поставщиков, реализующие функции управления и защиты. Но, не пройдя тщательного предварительного тестирования, такие компоненты могут оказаться несовместимыми с уже имеющимися. Ошибки в реализации сторонних инструментов могут приводить к непредвиденным сбоям или фрагментации памяти, чем может воспользоваться атакующий для инициирования ошибок переполнения буфера. Кроме того, большинство полевых устройств и защитных компонентов обычно устанавливаются, конфигурируются и сопровождаются внешними специалистами, которые получают полный доступ к уязвимым местам системы, иногда также располагая механизмами удаленного доступа и возможностью обратной инженерии обслуживаемой системы [1].
Угрозы коммуникационным системам
Коммуникационные системы SCADA подвержены различным угрозам и уязвимы для атак.
Коммутируемая связь и TCP/IP. В некоторых сетях SCADA для удаленного доступа используются модемы, работающие по коммутируемым соединениям, и здесь злоумышленники могут устраивать атаки, основанные на последовательном переборе всех телефонных номеров в поисках модема, или применять средства взлома паролей. Через Интернет также может быть устроена традиционная атака на весь стек TCP/IP. Попав внутрь системы, взломщик может дистанционно проводить атаки других типов — например, считывать и менять файлы или протоколы, сбрасывать дампы памяти, вызывать управляющие команды, отправлять поддельные сообщения типа ARP (Address Resolution Protocol) со сфальсифицированными MAC-адресами. Сообщения SCADA, в свою очередь, могут переадресовываться для организации атаки.
Возможна также организация таких действий, как: атаки путем многократной отправки одного и того же сообщения, что, вызывая автоматический ответ системы, может привести к ее неправильной работе или запуску кризисных сценариев; атаки подмены, когда внедряются сфальсифицированные данные, чтобы заставить систему выполнять нештатные операции или выдавать подставные данные мониторинга; атаки подделки DNS, когда для выполнения вредоносных акций в сеть передаются фальшивые отклики системы доменных имен еще до ответа реальных серверов DNS.
Кроме этого, могут устраиваться DoS-атаки путем: отправки потока команд на определенный адрес; передачи запросов на соединения TCP с более высокой частотой, чем машина могла бы обработать («SYN-флуд»); бомбардировки запросами на доступ к носителю информации, мешающей другим узлам отправлять на него данные.
Если для контроля и получения данных используются уязвимые протоколы на базе TCP/IP, такие как Telnet или HTTP без туннелирования, то защищенность пересылаемой информации или верительных данных оказывается под угрозой — отсутствие шифрования и аутентификации позволяет атакующим перехватывать или менять сообщения, содержащие сигналы тревоги, команды или показатели.
Уязвимости также могут возникнуть по вине большинства коммуникационных протоколов SCADA. Например, связь по Modbus/TCP осуществляется открытым текстом без шифрования — у протокола также отсутствует аутентификация, и в ходе сеансов проверяется только действительность некоторых элементов сообщения, например адреса и кода функции.
Протокол DNP3 тоже страдает от похожих недостатков, и хотя он предусматривает частую проверку контрольной суммы и синхронизацию, а также допускает использование нескольких форматов данных, механизмы безопасности в нем отсутствуют. Аналогично — в ICCP не используются шифрование и аутентификация, и к тому же серверы ICCP уязвимы для атак на переполнение буфера [1]. Пользуясь перечисленными уязвимостями, злоумышленники могут манипулировать с фреймами протокола и их управляющими функциями, вмешиваться в сетевой протокол синхронизации времени или создавать скрытые каналы передачи критически важной информации, например верительных данных, в обход механизмов контроля доступа операционной системы. Также возможна организация атак, направленных на внедрение сфальсифицированных данных, когда атакующие могут испортить реальные показатели, подменив их фальшивыми.
Беспроводная связь. Беспроводные сети среднего и малого масштаба позволяют операторам соединяться с системой локально, в частности, децентрализованные беспроводные сети могут использоваться для получения санкционированного доступа к полевому оборудованию или шлюзам для настройки, обслуживания или управления системами SCADA. Для беспроводных сетей малого радиуса действия, таких как ZigBee, ISA100.11a и WirelessHART, свойственны малые зоны охвата, ограниченные вычислительные возможности и низкие скорости передачи данных [2].
Для беспроводных технологий характерны проблемы с безопасностью и ненадежностью связи — перенасыщение сети репитерами и маршрутизаторами для усиления сигнала может привести к росту задержки передачи и ухудшить способность сети к сосуществованию с другими сетями (например, с Bluetooth) из-за взаимных помех. В результате передача данных будет проходить с искажениями и замедлениями; возможно также снижение доступности активных узлов, изменение сетевой топологии и разрыв каналов связи. Все это снижает качество обслуживания, замедляя обработку информации и ухудшая выполнение функций SCADA. Например, один из методов организации атаки состоит в намеренном создании шума по всем доступным каналам, помехи от которого нарушат связь (атака глушения). В качестве меры противодействия могут применяться скачкообразная перестройка рабочей частоты или черные списки частот. Атакующие, в свою очередь, могут отыскать недостаточно защищенную беспроводную сеть и перехватывать информацию с ее помощью [2].
Существуют три категории угроз, возникающих при использовании беспроводных сенсорных сетей [2]. В первую категорию входят угрозы конфиденциальности: снятие защиты изнутри, сниффинг, анализ трафика и физические атаки. Атака снятия защиты изнутри состоит в том, что имеющий соответствующие полномочия настраивает средства безопасности на определенном узле SCADA так, чтобы с него извне можно было получать критически важную информацию. Атака сниффинга — это прослушивание каналов связи. Технология Zigbee-PRO, в частности, уязвима для атак сниффинга, так как в ней используется протокол симметричного обмена ключами Symmetric-Key-Key-Exchange — достаточно неэффективный, частично полагающийся на передачу данных открытым текстом. В ходе атаки анализа трафика рассчитываются таблицы маршрутизации путем наблюдения за информационным потоком и выявления закономерностей. Атакующий также может определить местонахождение шлюза, чтобы впоследствии устроить на него DoS-атаку. Физическая атака — кража узлов для извлечения информации из их памяти либо нарушения функциональности или связи.
Ко второй категории относятся угрозы целостности: атаки фальсификации маршрутов и «атаки Сибиллы». В ходе атак первого типа фальсифицируются запросы на поиск оптимальных маршрутов либо ответы на такие запросы, что позволяет организовать атаку-«воронку» (переадресация трафика на определенный узел) или атаку-«червоточину» (переадресация трафика на определенный узел с использованием группы скомпрометированных узлов внутри сети). При «атаке Сибиллы» устроитель маскируется под группу одновременно работающих пользователей с применением информации о легитимных узлах сети — их идентификаторов и верительных данных.
Третья группа — это угрозы готовности: флуд-атаки, избирательная переадресация, «черная дыра» и «червоточина», а также атаки глушения. При флуде путем трансляции огромного количества широковещательных пакетов вызывается перегрузка коммуникационных каналов. При избирательной переадресации на очередной транзитный участок проходят только отдельные пересылаемые пакеты, а в ходе организации «черной дыры» часть пакетов «исчезает» на скомпрометированных узлах. Большинство атак такого рода требуют присутствия вредоносных узлов внутри сети или предварительного проведения других атак для кражи верительных данных.
Облака. Облака могут применяться в защите критически важной инфраструктуры, так как позволяют недорого и с высокой готовностью хранить резервные копии данных. Мониторинг диспетчерских SCADA, утративших контроль над своими рабочими сетями, можно осуществлять из других диспетчерских по протоколу ICCP. Облако представляет собой совместно используемую среду, в которой из-за неверной конфигурации систем безопасности или программных ошибок информация о SCADA может стать доступной другим абонентам. Атакующий, пользуясь уязвимостями облака, может выдать себя за легитимного пользователя и получить несанкционированный доступ к системе. Защита данных в облаке и обеспечение их конфиденциальности являются важными аспектами безопасности — например, получив информацию о прежних инцидентах в критически важной инфраструктуре, атакующие могут выяснить дополнительные сведения о ее уязвимостях.
Защита для SCADA
В сетях SCADA безопасность необходима на всех уровнях, от физического до сервисов, сетей, сред хранения и систем обработки данных. Задача обеспечения безопасности — создать гарантии готовности, целостности, конфиденциальности, аутентификации, авторизации, неподдельности и учитываемости.
Управление безопасностью
Любая критически важная управляющая система должна предоставлять все необходимые средства управления безопасностью, регулируемые политиками и отвечающие стандартам и официальным рекомендациям.
Управление безопасностью. Управление системными ресурсами и их использование должны осуществляться под контролем средств безопасности. Выбор таких средств зависит от уровня сложности системы, которая должна быть охвачена ими целиком. В отчете Министерства внутренней безопасности США средства контроля безопасности поделены на две категории: на организационные и операционные. Первые отвечают за организационное управление (физическое и кибернетическое) — к этой категории относятся политики безопасности и средства безопасности предприятия и персонала. Вторые позволяют защищенно выполнять определенные последовательности действий, такие как приобретение систем и сервисов или конфигурационное управление. Существующие на сегодня стандарты и рекомендации по средствам управления безопасностью (например, NIST 800-82 и NIST-800-53) охватывают не только вопросы безопасности, интероперабельности, масштабируемости и расширяемости информационных систем, но и такие аспекты, как физическая безопасность и безопасность окружающей среды. В частности, упомянутые стандарты предписывают следить за посетителями и контролировать местонахождение физических активов в чрезвычайных ситуациях [2].
Еще одна задача управления безопасностью — обеспечение возможности ее поддержки — решается путем тестирования систем и проверки соответствия требованиям. К числу таких процессов относится своевременное выявление сбоев и их устранение для снижения рисков и расходов на техобслуживание. Многие администраторы выполняют процедуры аттестации на протяжении всего жизненного цикла системы, чтобы поддерживать желаемый уровень ее работоспособности. Помимо этого, следует обучать персонал и проводить аудиты и сертификации всех сетевых доменов SCADA. Для прохождения проверки система должна отвечать некоторым условиям — например, стандартному набору Common Criteria Evaluation Assurance Level (ISO-15408), регламентирующему уровни гарантии выполнения определенных функциональных, структурных и методических требований, соответствие которым определяется путем оценки процессов, документации, уязвимостей и т. д. Опираясь на подобные стандарты, пользователи могут указывать свои требования к безопасности, разработчики — обозначать защищенность своих продуктов, а тестировщики — оценивать такие продукты на предмет наличия слабых мест.
Аутентификация и авторизация. Политики контроля доступа призваны ограничивать санкционированный доступ и действия внутри системы SCADA, однако применяемые сегодня политики безопасности и средства контроля доступа недостаточно строги: все внешние соединения с диспетчерской SCADA должны надлежащим образом контролироваться; должен проводиться мониторинг любой активности внутри системы с протоколированием времени, имени пользователя, действия и его объекта. Для этого нужны механизмы контроля доступа с четко обозначенными ролями и привилегиями, а также средства слежения за активностью, которые позволили бы блокировать любые злоупотребления ресурсами или подозрительные акты доступа к системе.
Для систем SCADA также нужны средства управления идентификацией. Политики контроля доступа должны регулировать использование механизмов безопасности и ПО, отвечающего за авторизацию с терминалов. После аутентификации пользователей система должна аутентифицировать и их последующие действия. Для этого понадобятся средства назначения и контроля пользовательских ролей, прав и обязанностей. К сожалению, в большинстве систем SCADA до сих пор используются простые механизмы аутентификации на основе имени и пароля — в таких случаях назначение ролей опирается на уже имеющиеся права. Необходимо также ограничить количество сеансов в расчете на пользователя и ввести блокировку сеанса при превышении определенного количества неудачных попыток входа. Для сохранения последовательности в проведении политик безопасности любые изменения в пользовательских аккаунтах и действия, выполненные во время сеанса, должны регистрироваться, что упростит аудиты или криминалистическую экспертизу. Все, что касается контроля доступа и назначения ролей, нужно задавать, пересматривать и обновлять согласно имеющимся политикам и рекомендациям (см., например, NIST-800-82). В таких политиках должны быть четко указаны правила составления и сроки действия верительных данных.
Механизмы безопасности для компонентов SCADA
Аппаратные и программные компоненты SCADA необходимо постоянно защищать с помощью грамотно сконфигурированных механизмов безопасности.
Человеко-машинные интерфейсы, серверы и архивы. В целях предотвращения неаутентифицированного и несанкционированного доступа для каждого аккаунта должны быть указаны действия, разрешенные в рамках сеанса. Во время самих сеансов должны работать средства автоматического предотвращения выполнения запрещенных действий, например установки неутвержденного ПО или посторонних сервисов. В частности, не должно быть возможности простого изменения настроек интерфейса — любые изменения в его конфигурации должны требовать санкции ответственного персонала, а вносить их должны только администраторы с соответствующими привилегиями, ведущие мониторинг активных, неактивных и скомпрометированных аккаунтов, исходя из информации о сроках действия верительных данных и распознанных вторжениях [2].
Для ограничения доступа к ресурсам критически важной инфраструктуры можно пользоваться соответствующими механизмами ОС, например средствами управления ролевым доступом или контейнерами. Системы SCADA требуют наличия: межсетевого экрана с правилами, четко разграничивающими сферы влияния функциональных сервисов; демилитаризованных зон и механизмов аутентификации, автоматической блокировки и автоотключения; аппаратно контролируемых «диодов данных» (data diodes, однонаправленные шлюзы безопасности, защищающие серверы или базы данных от атак, исходящих из внешних сетей). При использовании диодов данных извне можно выполнять запросы к определенным серверам защищенной сети, но изменить данные на них невозможно [1].
Для SCADA также требуется система оперативного управления инцидентами и реагирования на них, предупреждающая операторов об аномалиях, вызванных неисправностями или посторонними вмешательствами. Такая система должна быть способна предвидеть нарушения и выдавать соответствующие предупреждения. Вся генерируемая ею информация должна храниться в резервных системах, сконфигурированных с расчетом на мгновенную доступность, например в облаке.
Защитные компоненты. Согласно рекомендациям NIST по безопасности АСУ ТП [2], сеть SCADA следует разделить на три основные зоны: межсетевые экраны, системы предотвращения вторжений и демилитаризованная зона. Состав этих трех зон представляет собой первую линию обороны АСУ ТП, тогда как контроль операций доступа к критически важным серверам можно назвать средствами глубокой обороны. Эксперты полагают, что для организации удаленного доступа к сетям SCADA также необходимы виртуальные частные сети, серверы RADIUS и виртуальные локальные сети, позволяющие уменьшить трафик и разграничить группы операционных сервисов и ресурсов, отвечающих за операции управления. Проприетарность протоколов SCADA может затруднить проектирование сетевых зон, но в этом могут помочь специализированные решения — например, межсетевой экран Tofino для Modbus TCP.
Защитные компоненты следует своевременно обновлять, чтобы они могли противостоять новым векторам атак. Существуют диагностические решения, помогающие защитным компонентам распознавать и отслеживать посторонние сервисы, например сканеры портов, а также выявлять важные изменения в конфигурациях средств безопасности. Следует запретить использование персональных медиаустройств и уж точно не делать их частью SCADA. Если операторам разрешено подключать личные носители к системе, то требуются ограничительно-аутентифицирующие механизмы и тщательные проверки.
Полевые устройства и встроенные системы. Полевые устройства и встроенные системы следует непрерывно защищать с помощью систем наблюдения (датчиков или видеокамер). Малозатратные методы маскировки местонахождения помогут предохранить оборудование от внешних угроз. Локальный или удаленный доступ к устройствам должен аутентифицироваться, а все действия должны авторизоваться и протоколироваться. Для контроля доступа и авторизации рекомендуется применять встроенные межсетевые экраны [2], однако системы такого рода требуют определенных вычислительных ресурсов, не всегда доступных на полевых устройствах.
Для предотвращения перегрузки критически важных подстанций требуется дублирование шлюзов или устройств связи с объектом, чтобы резервные могли вступить в действие в любой момент. Обычно при этом для тиражирования информации и мониторинга реального времени применяют протоколы обмена данными с промежуточным накоплением. Кроме того, помогает развертывание малоресурсоемких высокоэффективных систем обнаружения вторжений на различных стратегических точках управляющей подсети — например, на шлюзах или коммуникационных серверах, отвечающих за связь в режиме «ведущий-ведомый», требуемом для большинства протоколов SCADA (например, Modbus, DNP3 и IEC-104).
Сопровождение программных и аппаратных компонентов. Процедуры сопровождения заключаются в аттестации и верификации с целью проверки целостности и работоспособности технического оснащения, а также распознавания и предотвращения сбоев или ошибок реализации согласно заранее составленной политике. В такой политике необходимо указать, как и в какое время проверять компонент для обнаружения и устранения угроз или уязвимостей, когда выполнять обновление и кто отвечает за эти процедуры. Если сопровождение проводят третьи стороны, их права должны быть жестко ограничены с точки зрения возможности внесения системных изменений. Все подобные действия также должны контролироваться и протоколироваться для дальнейшего анализа.
Защита коммуникаций
Коммуникационные каналы SCADA нуждаются в постоянной защите.
Коммутируемые линии и связь по TCP/IP. Здесь следует применять механизмы аутентификации, автоматически разрывающие неавторизованные вызовы и пресекающие попытки установить связь после определенного количества неудачных попыток. Возможны применение систем обратного вызова с идентификацией звонящих, периодическое обновление верительных данных, частый аудит активных модемов с отключением неиспользуемых и регистрация всех попыток удаленного доступа.
Для защиты сообщений SCADA, передаваемых по TCP/IP, можно использовать виртуальные частные сети с режимом IPsec-туннеля и протоколом SSL, а VPN на основе SSL полезны для передачи трафика HTTPS и удаленной отправки запросов через веб-сервисы. Запросы от таких сервисов к базам данных нужно аутентифицировать и контролировать, а для защиты содержимого самих баз применять шифрование. Криптографические сервисы наподобие AGA-12 можно также использовать для защиты коммуникационных каналов. Еще один способ обеспечения конфиденциальности — применение внешних по отношению к защищаемой системе устройств, которые, не требуя ее модификации, кодируют информацию между портом RS/EIA-232 устройства связи с объектом и модемом.
Недавно утвержден стандарт безопасности SCADA IEC-62351, рекомендующий пользоваться протоколами TLS/SSL, цифровыми сертификатами, кодом подлинности сообщений, парами ключей длиной не меньше 1024 разрядов и криптографическими сервисами, такими как RSA и цифровая подпись. Появились и новые защищенные коммуникационные протоколы SCADA, такие как Secure DNP3 и DNPSec. Первый добавляет процедуру аутентификации по методу запрос-ответ к верификации узла источника по уникальному ключу сеанса, а DNPSec снабжает протокол DNP3 средствами аутентификации и контроля целостности данных. Отличие между Secure DNP3 и DNPSec в том, что Secure DNP3 модифицирует уровень приложений протокола DNP3, тогда как DNPSec меняет структуру сообщения на канальном уровне [1].
Беспроводные коммуникационные системы. Чтобы свести к минимуму доступность беспроводной сети для атакующих, перед ее развертыванием следует провести анализ возможных препятствий распространению сигнала, а также определиться с мощностью и территорией охвата антенн. В самой сети необходимо пользоваться списками контроля доступа и защищенными протоколами аутентификации, такими как Extensible Authentication Protocol с TLS или серверами RADIUS. Стоит сменить верительные данные, установленные производителем по умолчанию, прежде чем развертывать сеть. Точкам доступа следует назначить уникальный идентификатор набора сервисов SSID, отключить широковещательный режим и задействовать фильтрацию по MAC-адресам, а также по возможности исключить использование протокола DHCP.
Беспроводные каналы связи стоит защитить шифрованием с часто обновляемыми ключами. Например, в сетях IEEE 802.11i следует применять Wi-Fi Protected Access (WPA/WPA2) с AES и Cipher Block Chaining Message Authentication Code (CBC-MAC) для аутентификации и контроля целостности. В сетях IEEE 802.15.4 с ограниченным числом узлов в основном используется симметричная криптография, поскольку применение шифрования с открытым ключом может быть слишком затратным [2]. В промышленных коммуникационных протоколах, таких как ISA100.11a и ZigBee Smart Energy 2.0 Profile, имеются упрощенные схемы шифрования на эллиптических кривых с заранее сконфигурированными цифровыми сертификатами.
Когда есть потребность во взаимодействии беспроводных сетей разных типов через шлюзы, необходимо, чтобы это делалось через VPN-туннель IPSec. Кроме того, следует рассмотреть возможность использования малоресурсоемких систем предотвращения вторжений, дублирования, незатратных методов определения надежности информации от узлов, схем маскировки местонахождения и систем оперативного управления инцидентами. Следует также спланировать процедуры сопровождения и аудиторских проверок.
Облака. Операции резервного копирования ресурсов SCADA в облако и восстановления следует контролировать строгими политиками безопасности, указывающими, кто и как может управлять резервными копиями. Частная облачная инфраструктура позволяет организации — владельцу ресурсов SCADA эксклюзивно пользоваться облаком. При этом оно может принадлежать и быть подконтрольным как самой организации, так и авторизованным третьим сторонам. Учитывая, что облачные узлы могут непредвиденно выходить из строя, вызывая сбой всей системы, стоит держать несколько копий данных в различных местах в самом облаке, а также предусмотреть резервные конфигурации, способные в полуавтоматическом режиме возвращаться к предыдущим корректным состояниям.
В сетях SCADA стоит использовать криптографические сервисы при операциях загрузки или выгрузки из облака, а также шифровать данные, размещаемые в облаке. Необходимо также обеспечить защищенную виртуализацию ресурсов, разграничить функциональные сервисы для защиты операционных процессов, следить за активностью в облаке и относящимися к SCADA действиями третьих сторон, а также защищать информацию о местонахождении ресурсов в облачной среде.
***
В области защиты критически важной инфраструктуры сегодня остаются нерешенными ряд вопросов, в частности, связанных с созданием решений, позволяющих организовать безопасное взаимодействие между частными и государственными структурами, а также между странами. Потребуются, например, методики для анализа источника нежелательного события, масштабов его распространения, силы и последствий. Необходимы также территориально распределенные, работающие на опережение системы обеспечения ситуационной осведомленности и защиты сложных сред. Для защиты критически важной информации и маскировки местонахождения узлов могут применяться средства самостабилизации, управления доверием и обеспечения конфиденциальности. В конечном счете при защите SCADA необходимо добиться требуемого качества обслуживания и должного уровня безопасности без принесения в жертву быстродействия системы. Кроме того, нужно оценить применяемые технологии с точки зрения уровней защищенности и сложности с применением стандартизованных методологий и процедур тестирования.
Литература
- E. Knapp. Industrial Network Security. Securing Critical Infrastructure Networks for Smart Grid SCADA, and Other Industrial Control Systems, Syngress, 2011.
- C. Alcaraz. Interconnected Sensor Networks for Critical Information Infrastructure Protection. Doctoral Dissertation, Computer Science Dept., University of Malaga, 2011.
- D. Sanger, E. Schmitt. Rise Is Seen in Cyberattacks Targeting US Infrastructure. The New York Times, 26 July 2012.
Кристина Алкарас (alcaraz@lcc.uma.es) — научный сотрудник лаборатории сетей, информации и безопасности университета Малаги. Шерали Зидалли (szeadally@uky.edu) — доцент университета Кентукки.