14 сентября 2011 г.

На пороге катастроф. О том ли мы думаем сегодня?

Пока мы пережевываем в деталях никому, в общем-то, не нужный закон о персональных данных, навязанный каждой организации и каждому предприятию разгоряченными стремлением в ВТО законодателями и регуляторами, увидевшими еще одну возможность порегулировать, каждый гражданин живет под гораздо более опасными рисками, имя которым по-русски – АСУ ТП, а во всем остальном мире – SCADA.
Когда мы садимся в самолет, экспресс «Сапсан» или местный дизель, кланяющийся каждому верстовому столбу, включаем свет в квартире или откручиваем кран с водой, мы попадаем под власть этой загадочной силы. Когда рушится Саяно-Шушенская ГЭС, разрушаются и заражают все вокруг реакторы Фукусимы, встает бромное желтое облако над Челябинском или оранжевое – над литейным цехом где-нибудь в Ижевске или Магнитогорске, эта загадочная АСУ ТП рыкает на цивилизацию и требует жертвоприношения. И жертвы приносятся, безвинные, бессмысленные и многочисленные.
Со времен станков с числовым программным управлением автоматизированные системы управления технологическими процессами (АСУ ТП) жили абсолютно отдельно от автоматизации предприятий и построения в них локальных вычислительных сетей. Офисные системы, коммерческие приложения и даже системы управления предприятиями (не по-русски - ERP) развивались по одним правилам, в которых постепенно появлялись средства защиты от вредоносного контента (антивирусной, анти-фрод, анти-шпионской и прочей анти-защиты), обнаружения и предупреждения вторжений, межсетевого экранирования, противодействия несанкционированному доступу и далее со всеми остановками. АСУ ТП сначала жили в мире DOS (очень долго, а некоторые – и до сих пор), затем - Windows, UNIX или Linux, но со своими, почему-то совсем другими правилами.
Когда все АСУ ТП существовали совсем изолированно, не выходя за периметр предприятия, никто особенно вопросами безопасности этих систем не задавался. Ими в советской и пост-советской экономике командовали главные инженеры, энергетики, технологи, не подпуская пижонов (тех, которых теперь называют CIO или ДИС), строивших сети на клиент-серверной технологии, к своей святая святых. Между тем, до сих пор многие специалисты в США считают самым успешным примером применения кибер-оружия взрыв газопровода в Сибири в 80-е годы, ставший возможным в результате программной закладки в поставленную американцами систему управления этим самым  газопроводом.
А уж когда АСУ ТП стали активно подключаться к Интернету (потому как разработчик железа, софта или сервисная организация находятся далеко от самого предприятия), для их построения, как гордо рапортовали интеграторы, начали активно применяться виртуальные локальные сети. Закончилось это хаосом на иранских центрифугах, зараженных Stuxnet’ом и путавших день с ночью, старт – с остановом, а недопустимую норму – с минимальной, стало ясно, что так дальше жить нельзя.
А как можно? Главные инженеры, технологи и энергетики этого не знали. Директора информационных служб – тоже, потому что их раньше в этот огород не допускали. Руководители служб информационной и просто безопасности – тем более, потому как они про эти АСУ ТП не знали вообще ничего.
И вдруг многим, кто интересуется темой, стало очень страшно. Не специалистам даже – простым обывателям, садящимся в эти самые поезда и самолеты или живущим около ядерных и гидро- станций, металлургических заводов и очистных сооружений, железнодорожных узлов и складов Министерства обороны.
Страшно, потому что масштаб возможных последствий нарушений в этих системах потенциально является катастрофическим. Заинтересованными в решении этой назревшей, как фурункул, проблемы должны быть владельцы бизнеса и топ-менеджеры, отвечающие за производство, поскольку это - их прямая зона ответственности. Но, по ряду причин интереса, особого нет.
Однако интерес проявили компании, предлагающие услуги на рынке ИБ. Это – новый сегмент, и весьма перспективный. Но достучаться они до менеджмента не могут в силу простой причины – языки общения у них разные. ИБ-компании привыкли иметь дело со своими коллегами у заказчика, в самом сложном случае – с ИТ-директорами. А здесь потенциальным заказчиком является  главный инженер, главный технолог, главный энергетик, замруководителя по производству. Как с ними говорить? О чем? Об эксплойтах, уязвимостях нулевого дня и пенетрейшн-тесте? Бесполезно. Заказчики все больше про невмешательство в технологический процесс, непрерывность, невозможность остановки процесса для всяких там непонятных тестов. Вот и не сходятся они никак вместе.
Ни простые проблемы управления идентификацией, доступом и правами, ни сложные – поиска недекларированных возможностей, критичных уязвимостей, возможностей враждебных воздействий при создании АСУ ТП, как правило, не решаются. И обеспечения безопасности АСУ ТП на предприятии нередко нет никакого вообще.
Ситуация усугубляется тем, что, как показывает история со Stuxnet, защититься от целевой атаки с использованием вредоносного кода, написанного специально под жертву, практически невозможно. Более того, червь эксплуатировал для атаки и скрытия своих действий наиболее распространенные антивирусные программы. На новые вызовы, получившие название Advanced Persistent Threat, адекватный ответ пока не получен. В этих условиях неизбежно приходится думать о возврате к изоляции программной среды и ее замкнутости, отключению АСУ ТП от Интернета, что не всегда возможно по технологическим причинам. Все это еще более усложняет и без того непростую ситуацию.
Для решения проблемы нужны очень квалифицированные специалисты, понимающие архитектуру именно АСУ ТП, особенности ее функционирования, умеющие анализировать специфический софт, строить сценарии развития событий в случаях возникновения нарушений, доносить информацию владельцам технологических процессов в понятных им терминах. Нужен тщательный анализ лучших практик по западным стандартам SCADA, грамотный перевод и адаптация уже существующих в них стандартов обеспечения безопасности. Все это – серьезные вложения с неочевидной отдачей. Поэтому заниматься безопасностью АСУ ТП хотят очень многие, но они предпочитают не инвестировать в исследования, а тренироваться на клиентах, которым такой подход совсем не нравится. Вот и не срастаются проекты при очевидной актуальности проблемы.
А сталь плавится, самолеты летают, турбины крутятся. И каждая новая катастрофа – на 99,9% результат сбоя, изъяна или несовершенства АСУ ТП.
Может, лучше заняться этим, а не искать способы еще раз надавить на предприятия, получившие вдобавок к тому что было, гордое имя «операторов персональных данных»? Если жахнет очередная АСУ ТП, мало никому опять не покажется. А персданные... Жили же мы как-то и без этого закона...

27 комментариев:

  1. Евгений, если честно, читая пост, ожидал какой-то реакции и мнения о существующих документах по КСИИ, так как на текущий момент в РФ это единственные действующие регламентирующие документы по защите АСУ ТП. Есть ещё и указанные Вами зарубежные документы по SCADA, которые используются сейчас и некоторыми нашими предприятиями. Однако, все же наши регуляторы (ФСТЭК) сейчас требует по своим документам (хотя и безосновательно, так как нигде не прописано их обязательное исполнение).
    Документы, кстати говоря, в некоторых местах все же разумнее аналогов по ПДн, но в целом все ещё вызывают недоумение.

    ОтветитьУдалить
  2. Рад, что Михаил Юрьевич обратил внимание на проблему систем управления технологическими процессами. Увы результаты подхода стандартных процедур со стороны ФСТЭК не учитывая особенности техпроцесса я докладывал еще на Инфоберег-2010, но всем показалось что это не интересно. Увы чем дальше - тем страшнее.

    ОтветитьУдалить
  3. К сожалению всё зависит не только от интегратора.
    Для того чтобы делать вложения в проработку проблемы нужен потенциальный спрос. А его нет.
    Законодательство защиту АСУ ТП не регламентирует, а самостоятельно предприятия ещё не созрели для серьёзных вложений в безопасность АСУ ТП.
    В качестве основных мер большинство предприятий старается изолировать АСУ ТП или подключают к ССОП только компоненты для мониторинга и информирования, без возможностей управления.

    ОтветитьУдалить
  4. История со Stuxnet показывает ровно то, что показывает история с RSA: коммодитизация рынка труда и желание пользоваться "общепринятыми" методами в ситуациях, требующих дополнительного внимания, приводит к предсказуемым последствиям. Только и всего. И попытка перевести стрелки, придумав всякие страшные слова и измыслив якобы новые угрозы и новые парадигмы -- это не более чем попытка уронить планку компетентности в отрасли ниже всякого здравого смысла.

    ОтветитьУдалить
  5. 2arkanoid
    Это вы про что написали? Про стрелки, коммодизацию и страшные слова?

    ОтветитьУдалить
  6. О том, что нет никаких принципиально новых угроз, слово APT придумали в RSA, чтобы оправдать то же самое, что погубило завод в Бушере: если заниматься защитой информации не понимая, чем ядерный объект в мягко говоря недружественной обстановке отличается от галантерейной лавки, то наступит закономерный результат. Я в своем блоге об этом написал чуть больше.

    Stuxnet как раз этим очень показателен. От него МОЖНО было защититься, если заранее подумать головой, а не задницей.

    вот еще написал:

    http://arkanoid.livejournal.com/350893.html

    ОтветитьУдалить
  7. Меня очень смущает Ваша безапелляционность. Вы вправе считать, что группа дебилов, нанятая для реализации ядерной программы в Иране, просто ничего не делала. Но есть и другие мнения, а доказательства в сослагательном наклонении ничего не стоят. Надеюсь, теперь Ахмадинежад предложит Вам возглавить свою службу компьютерной безопасности, и Вы таких инцидентов не допустите. Но есть и другие мнения. Два года труда моссадовских программистов, четыре уязвимости нулевого дня, два подлинных сертификата, эксплуатация семи современных антивирусов вкупе с тем, что USB, через который произошло проникновение, изобретен в Израиле, дают основания думать по-другому. Тем более, что Вы, похоже, не совсем в теме. Атаковали не АЭС в Бушере (там завода нет), а газовые центрифуги для обогащения в Натанзе. Не буду спорить о том, что недоказуемо. Я лишь постил проблему безопасности АСУ ТП, а не универсальную вакцину.

    ОтветитьУдалить
  8. Я утверждал и буду утверждать, что построить схему безопасности, которая не учла бы среди возможных векторов и подлинные сертификаты и уязвимости нулевого дня -- в данном случае преступная халатность. А уж надеяться на "семь современных антивирусов" и вовсе смешно.

    Stuxnet был ОЧЕНЬ "шумным". И не заметить его могли только троечники. Я в достаточной мере в теме, чтобы утверждать, что простейшая система контроля целостности забила бы тревогу незамедлительно. Но ее не было, а зато были "семь современных антивирусов". И вот результат. Никакого сослагательного наклонения. Что тут может смущать?

    USB тут ни при чем.

    Про Бушер действительно спутал, но это дело десятое.

    ОтветитьУдалить
  9. а теперь такие же троечники надеются на то, что их SCADA системы "изолированы". Что во-первых, чуть менее чем полностью неправда (недавно читал интересное исследование об этом), а во-вторых, попробуйте "изолировать" территориально распределенную систему из пары сотен объектов, физическая безопасность которых далеко не везде соблюдается. И пока жареный петух не клюнет в задницу и этих, будут надеяться на авось.

    ОтветитьУдалить
  10. Смущает, как уже писал, безапелляционность. USB тут очень при чем. А вот контроль целостности - совсем не при чем. Контролировать целостность динамических показателей с датчиков - занятная тема. Антивирусы - уж какие есть. Защита от Z-day - тема отдельная. У Вас есть универсальная вакцина?

    ОтветитьУдалить
  11. Универсальной нет. Ничего не бывает универсального, кроме человека. Надо просто делать свою работу. И что самое занятное, решительно никакой тут ракетной физики, давайте уже по пунктам:

    -- Два года труда моссадовских программистов. Да, на таком объекте исходить из другой модели нарушителя -- преступная халатность.

    -- Четыре уязвимости нулевого дня. Да, а что вы хотели? Если они оказываются в руках у подростков, которые зарабатывают на спаме и ботнетах, вы надеялись, что они не будут использованы в такой ситуации? Это как называется? Строить модель безопасности так, чтобы наличие уязвимостей нулевого дня не было для нее фатально -- не учили?

    -- Два подлинных сертификата. Да, а вы не знали, что PKI имеет генетические дефекты и подобные проблемы, как бы сказать, предсказуемы и очевидны? Ах, не предусмотрели? Как это называется?

    -- Семь антивирусов. Даже не смешно. Можно я оставлю это без комментария?

    -- USB. Да ни при чем тут USB. Могла быть дискета с таким же успехом. Уязвимость универсальная, но что интересно, заражение обнаруживается СРАЗУ, стоит засунуть флэшку в систему, отличную от винды. Никто этого ни разу не сделал? Или не обратил внимания?

    Я не понимаю, кого и зачем вы защищаете? Этих людей, которые пытаются уронить планку компетентности в нашей отрасли до уровня дрессированной макаки?

    ОтветитьУдалить
  12. И причем тут датчики? Ну подумайте же головой, понятно станет, что контроль целостности к датчикам не имеет ни малейшего отношения.

    ОтветитьУдалить
  13. -- Семь антивирусов

    да любой дрянной троян никто не купит, если его будет определять хоть один, что уж говорить о таком проекте

    ОтветитьУдалить
  14. > два подлинных сертификата

    на сегодняшний день известно о компрометации 4 certificate authority, а также что как минимум правительство южной кореи штампует сертификаты просто так, без ордеров и прочих формальностей

    ОтветитьУдалить
  15. > Два года труда моссадовских программистов

    я бы оценил банальный Zeus (SpyEye) в 10-20 человеколет, может и в 50. просто на обьем кода и частоту апдейтов посмотрите.

    > А вот контроль целостности - совсем не при чем. Контролировать целостность динамических показателей с датчиков - занятная тема

    Контроля целостности CRC у файлов в системе с головой хватило бы.

    ОтветитьУдалить
  16. уязвимости нулевого дня покупаются вполне себе открыто, нужно всего лишь зарегистрироваться на форуме, подождать годик пока аккаунт обретет достаточный вес, ну и денег заплатить.

    коммодитизация - проникновение в головы широких масс мысли "если все сертифицировать и застраховать, то вражеские несертифицированные пули до нас не долетят". не, она, конечно, выгодна. только сертификаторам, а не тем, кто сертифицируется.

    ОтветитьУдалить
  17. Александр, все правильно. И со всем согласен. Кроме антивирусов. Проблема не в том, что не определяли (вопросов нет), а в том что Stuxnet их эксплуатировал. И пост был не про мастерство одних. И не про глупость других. Просто есть серьезные проблемы с потенциальными тяжкими последствиями. А мы с подачи государства занимаемся придуманными. А вот про то, что все известно и можно предотвратить, как, похоже, считаете Вы и уж точно Arkanoid, спорить бесполезно. Мне, во всяком случае. Если бы все всегда были умными, а не обкладывались сертификатами, в истории человечества не было бы разведки. А она была всегда.

    ОтветитьУдалить
  18. Да уж тут-то кто бы спорил. Только мы ОБЯЗАНЫ быть умными. И услугами дураков пользоваться только десять раз перепроверив, что дураки не смогут навредить.

    Что до проблем АСУТП, то там много очень неприятных моментов и просто неразрешимых нормально из-за генетических дефектов системы случаев. Если бы этого не было, и дурак бы справился.

    А вы, получается, принимаете оправдательную позицию и оцениваете не результат (компрометация с катастрофическими последствиями), а то, что дураки хорошо старались в рамках своего скудоумия (семь современных антивирусов поставили). Это очень, очень деструктивный подход.

    ОтветитьУдалить
  19. 2Arkanoid
    Я вовсе никого не оправдываю. И катастрофичность - то, из-за чего я постился. Просто я не считаю всех вокруг макаками-троечниками и исхожу из того, что люди думают все-таки головой. Но они, люди, разные. Набрать на работу только гениев пока не удавалось никому. Среди побочных выводов, которые я обсуждал с аналитиками разных компаний - от ЛК и DrWeb до ESET - необходимость, на мой взгляд, изменения самого подхода и, соответственно, стратегии развития антивирусов. Другой побочный вывод - необходимость наконец по-настоящему заняться безопасностью SCADA. А весь Ваш конструктив, который я пока вижу - разогнать идиотов и набрать нормальных, заставив их работать очень хорошо. Я в ИБ - больше 40 лет, 21 - в Генштабе. И в предлагаемое Вами решение не верю.
    Семь антивирусов никто, кстати, не ставил. Еще раз. StuxNet эксплуатировал семь антивирусов, распространяясь и скрывая свою деятельность.

    ОтветитьУдалить
  20. Да не помогут антивирусы от таргетированной атаки, хоть образвивайся. Как и любая другая реактивная защита. А вот системный подход -- поможет: и модель нарушителя нарисуется не типовая, а актуальная, и риски, и векторы, и какие средства защиты применять и где, и главное -- что делать, если наша защита все-таки не сработает и как это понять раньше, чем последствия станут абсолютно неприемлемы и что делать в этой ситуации (эта часть как раз полностью и отсутствовала). И тогда не то чтобы никакой Моссад не страшен -- но будет хотя бы уверенность, что не ИБ окажется слабым местом, а насчет диверсантов пусть у физической безопасности голова болит. Но для того, чтобы его применить, нужен минимум один умный человек на каждую службу ИБ (а лучше -- несколько), потому что серебряной пули нет и даже всякие разумные и полезные стандарты корректно воплотить в жизнь не так просто. Если его не найдется -- дело швах.

    ОтветитьУдалить
  21. Ну что ж, позиции сблизились. Почти ни с чем из Вашего коммента спорить не буду. Карта (реестр) рисков - то, без чего сегодня серьезный бизнес вести нельзя. Дурак у руля - смерть.
    Кроме антивирусов. Путь, по которому они развиваются - тупиковый, эвристика - фикция. Значит, найдется тот, кто предложит новый подход для защиты от этого типа угроз. И станет лидером. Так было всегда. Атакующие изобретут новые виды атак. Но, то что имеем сегодня - никуда не годится. Не Вам говорить, что есть точка зрения о уже состоявшемся заражении абсолютного большинства компьютеров в мире. Просто трояны пока ничего не делают. Именно поэтому мгновенно поднимаются боты любой производительности. И я сторонник этой теории. Значит, нужна новая таблетка. Прежние не помогают. Она, таблетка, появится.

    ОтветитьУдалить
  22. Тупиковый. Фикция. Проблема в том, что защита есть, но она очень трудоемка в обслуживании: профилирование системы (не "системы вообще", как это делают эвристики в антивирусах, а вот своей, конкретной системы с набором прикладного ПО) и поиск отклонений. Решений такого класса много, но популярными я бы их не назвал. Однако, есть места, где они применяются и вполне успешно.

    И все же, это все равно попытка заткнуть пожарный гидрант с помощью изоленты и жевательной резинки, хотя у нас сейчас есть очень прочная изолента и очень липкая жевательная резина. Правильное решение, увы, еще дороже и чаще всего находится далеко за гранью приемлемых бюджетов и сроков: отказаться по возможности в SCADA от больших немодульных систем (Windows) и всего, что на них завязано -- .Net и кошмара сетевой безопасности -- netbios rpc. Но проблема упирается в производителей, которые снижают расходы на разработку любыми способами. А ведь есть и методологии безопасной разработки -- дорогие, но опять же успешно применяемые -- но не в коммерческом секторе, где каждая копеечка дорога, а за безопасность никто доплачивать не хочет.

    Насчет троянов -- я не исключаю этой возможности, но не очень в нее верю. Именно из-за того, что существует достаточное количество _разных_ систем обнаружения вторжений на уровне узла, которые не обходятся универсальными методами. Уж их бы разработчики заметили что-то необычное. Чуть более вероятно, что есть закладки в коде Windows или поставляемых по умолчанию драйверов, но и тут есть аргументы против. Хотя на ядерном объекте я бы и эту возможность не обошел вниманием.

    Легкость разворачивания ботнетов любого размера, однако же, пока что ничего сверхъестественного не требует -- все это вполне изученные материи, вполне укладывающиеся в статистически предсказуемую картину.

    ОтветитьУдалить
  23. Я говорю не только о SCADA.
    А про повышение их безопасности - сплошь и рядом сталкиваюсь с аргументом необходимости их подключения к Инету из-за обязательного доступа разработчиков в рамках поддержки Без комментариев. Про троянов. Уже писал про эксперимент среди своих знакомых, использующих лицензированные антивирусы и обновляющих их ежедневно, не отключающих никогда. По моей просьбе поставили компы на тотальную проверку тем же антивиром (много, разные). 100% нашли вредоносный контент.

    ОтветитьУдалить
  24. http://www.it-world.ru/pressroom/services/173856/

    Что же делать остальным если Российский флагман транспортной безопасности страны исполнитель оборонного заказа может позволить себе нарушить требования по запрету к применению на территории РФ криптографии зарубежного производства и даже построить УЦ на этом продукте?

    ОтветитьУдалить
  25. Смешно говорить про информационную безопасность, когда отечественная электроника лежит на боку, и ни в одной части я не видел, ни то что, микропроцессор, а хотя бы операционную систему. Ну, на худой конец - офисный пакет.
    --------
    Всё это стенания ни о чём.

    Генштаб... В безопасности 40 лет... Ога. Впечатлило.

    ОтветитьУдалить
  26. Можно, конечно, рассуждать и так. Но весь мир (кроме пересчитываемых на пальцах одной руки) живет на чужих процессорах и ОС, а опасные производства, водохранилища, полеты авиации, электронику в медицине никто не отменял. Можно ждать манны небесной в виде велосипеда собственного изобретения, но до нее будут Чернобыль, Фукусима, Саяно-Шушенская ГЭС, центрифуги в Иране, и многое другое. А про армию не стоит - там, кроме боли, ничего не осталось.

    ОтветитьУдалить
  27. Понятно, что при даже самой благоприятной обстановке уже существующие системы всё-равно ещё долго будут продолжать своё существование. Но и здесь есть своё, пусть извращённое, но вполне приемлемое решение - программная реализация виртуальной машины, которая будет оберегаться лучше радужки глаза [например].

    Второй момент, который я вижу как неизбежность - это сети Изолированные сегменты, конечно можно поддерживать, но всё-равно потенциально опасно. Будут отключены корневые сервера, страшно подумать какие последствия будут дальше. Вроде как, можно без них обойтись, но проверять желания нет никакого.

    Армия... Да. Это боль. 9 лет, не Генштаб конечно, но... мог бы внести в научную сферу свежую струю. )

    ОтветитьУдалить