Кибервойна за спасение Украины вступает во второй раунд, и SCADA/ICS, вероятно, станут мишенью для обеих сторон. В этой статье я просто попытаюсь объяснить, почему взлом и безопасность SCADA являются одними из важнейших аспектов кибербезопасности (обновление от 23 марта 2022 г.).
Недавно Управление национальной безопасности США (АНБ) предупредило о попытках хакеров взломать несколько элементов инфраструктуры SCADA/ICS США и других стран. 7 мая хакеры успешно взломали крупный трубопровод между побережьем Мексиканского залива и крупнейшим мегаполисом США, нарушив 45% поставок бензина в этот критически важный регион. Сообщается, что компания Colonial выплатила хакерам 75 BTC, или около 5 миллионов долларов.
Кроме того, в 2018 году Федеральное бюро расследований США (ФБР) и Министерство внутренней безопасности США заявили, что русские взламывают и атакуют американские электросети и ядерные объекты. Это продолжится и в 2021 году и, вероятно, будет продолжаться до тех пор, пока отрасль не отнесётся серьёзно к кибербезопасности. По всей видимости, российские хакеры взломали десятки электростанций. Это лишь один из примеров критической важности взлома SCADA в нашем новом мире кибервойны.
Взлом и безопасность SCADA стали одним из важнейших направлений информационной безопасности и хакерских атак в последние годы. SCADA расшифровывается как Supervisory Control and Data Acquisition (диспетчерское управление и сбор данных). Эта аббревиатура обозначает системы, управляющие практически всеми типами промышленных систем, такими как электросети, электростанции, производственные системы, системы канализации и водоснабжения, нефте- и газоперерабатывающие заводы и практически все типы промышленных систем. Термин «Промышленные системы управления» (ICS) часто используется как синоним SCADA.
За последние 20 лет мир кардинально изменился. Практически всё управляется цифровыми системами. Это упростило управление нашими системами, сделало их точнее и удобнее для взаимодействия, но одновременно сделало их более уязвимыми.
Представьте себе такую ситуацию. Две страны находятся в состоянии войны. Одна из стран имеет возможность манипулировать промышленной инфраструктурой другой страны, такой как электросети, системы водоснабжения и канализации, нефтеперерабатывающие заводы и т.д., и даже осуществлять DoS-атаку (отказ в обслуживании). Как долго страна и её военные силы смогут существовать без этих критически важных систем? Можно представить себе ещё более пугающий сценарий, когда манипулирование и контроль над этими промышленными системами сами по себе могут стать оружием. Сколько людей погибнет, если дистанционно и злонамеренно управлять клапаном давления на нефтеперерабатывающем заводе или атомной электростанции?
В XXI веке каждый конфликт будет включать в себя элементы SCADA/ICS . Первый залп в эпоху кибервойны, возможно, был произведён Россией в 2008 году в конфликте с Грузией из-за Южной Осетии. Если и были какие-либо сомнения относительно характера будущей войны, то атака американского АНБ Stuxnet на ядерные объекты Ирана в 2010 году не оставила никаких сомнений. SCADA/ICS — это ГЛАВНАЯ цель любой кибервойны .
За прошедшие 10 лет после Stuxnet было множество примеров новых атак на SCADA, большинство из которых были тихо разрешены, но конфликт между Россией и Украиной может быть предвестником грядущих событий . В недавней статье в журнале «Wired» Энди Гринберг подробно описывает российские атаки на украинские системы SCADA/ICS, включая их электросети ( подробнее об атаке Blackenergy3 можно прочитать здесь ) . Он также предполагает, что Россия использует Украину в качестве испытательной лаборатории для своих векторов атак SCADA/ICS и, возможно, готовится использовать их против других стран. Майкл Хейден, бывший директор АНБ, заявляет: «Это запах августа 1945 года. Кто-то только что применил новое оружие, и это оружие уже не положишь обратно в коробку», говоря о кибератаках на SCADA/ICS.
Если вы собираетесь защищать или атаковать эти системы, вам необходимо знать эти протоколы и специализированные инструменты для работы с ними. Например, из-за различий в пакетах большинство готовых систем защиты периметра, таких как системы обнаружения вторжений (IDS), не будут работать в среде SCADA/ICS, а большинство антивирусных программ неэффективно обнаруживают атаки на них.
Недавно Управление национальной безопасности США (АНБ) предупредило о попытках хакеров взломать несколько элементов инфраструктуры SCADA/ICS США и других стран. 7 мая хакеры успешно взломали крупный трубопровод между побережьем Мексиканского залива и крупнейшим мегаполисом США, нарушив 45% поставок бензина в этот критически важный регион. Сообщается, что компания Colonial выплатила хакерам 75 BTC, или около 5 миллионов долларов.
Кроме того, в 2018 году Федеральное бюро расследований США (ФБР) и Министерство внутренней безопасности США заявили, что русские взламывают и атакуют американские электросети и ядерные объекты. Это продолжится и в 2021 году и, вероятно, будет продолжаться до тех пор, пока отрасль не отнесётся серьёзно к кибербезопасности. По всей видимости, российские хакеры взломали десятки электростанций. Это лишь один из примеров критической важности взлома SCADA в нашем новом мире кибервойны.
Взлом и безопасность SCADA стали одним из важнейших направлений информационной безопасности и хакерских атак в последние годы. SCADA расшифровывается как Supervisory Control and Data Acquisition (диспетчерское управление и сбор данных). Эта аббревиатура обозначает системы, управляющие практически всеми типами промышленных систем, такими как электросети, электростанции, производственные системы, системы канализации и водоснабжения, нефте- и газоперерабатывающие заводы и практически все типы промышленных систем. Термин «Промышленные системы управления» (ICS) часто используется как синоним SCADA.
За последние 20 лет мир кардинально изменился. Практически всё управляется цифровыми системами. Это упростило управление нашими системами, сделало их точнее и удобнее для взаимодействия, но одновременно сделало их более уязвимыми.
Представьте себе такую ситуацию. Две страны находятся в состоянии войны. Одна из стран имеет возможность манипулировать промышленной инфраструктурой другой страны, такой как электросети, системы водоснабжения и канализации, нефтеперерабатывающие заводы и т.д., и даже осуществлять DoS-атаку (отказ в обслуживании). Как долго страна и её военные силы смогут существовать без этих критически важных систем? Можно представить себе ещё более пугающий сценарий, когда манипулирование и контроль над этими промышленными системами сами по себе могут стать оружием. Сколько людей погибнет, если дистанционно и злонамеренно управлять клапаном давления на нефтеперерабатывающем заводе или атомной электростанции?
В XXI веке каждый конфликт будет включать в себя элементы SCADA/ICS . Первый залп в эпоху кибервойны, возможно, был произведён Россией в 2008 году в конфликте с Грузией из-за Южной Осетии. Если и были какие-либо сомнения относительно характера будущей войны, то атака американского АНБ Stuxnet на ядерные объекты Ирана в 2010 году не оставила никаких сомнений. SCADA/ICS — это ГЛАВНАЯ цель любой кибервойны .
За прошедшие 10 лет после Stuxnet было множество примеров новых атак на SCADA, большинство из которых были тихо разрешены, но конфликт между Россией и Украиной может быть предвестником грядущих событий . В недавней статье в журнале «Wired» Энди Гринберг подробно описывает российские атаки на украинские системы SCADA/ICS, включая их электросети ( подробнее об атаке Blackenergy3 можно прочитать здесь ) . Он также предполагает, что Россия использует Украину в качестве испытательной лаборатории для своих векторов атак SCADA/ICS и, возможно, готовится использовать их против других стран. Майкл Хейден, бывший директор АНБ, заявляет: «Это запах августа 1945 года. Кто-то только что применил новое оружие, и это оружие уже не положишь обратно в коробку», говоря о кибератаках на SCADA/ICS.
SCADA/ICS — это другое
Большинство из нас, работающих в сфере кибербезопасности, привыкли работать с традиционными IT-системами. Эти системы используют TCP/IP и другие протоколы связи, входящие в этот пакет, включающий UDP, DNS, SMB, SMTP и т. д. В системах SCADA/ICS используются другие протоколы. Изначально протоколы SCADA/ICS были разработаны для работы по последовательным соединениям и использовали различные пакеты и системы для внутренней связи . Большинство из них теперь адаптированы для внешней связи по протоколу TCP/IP, но внутри они используют такие малоизвестные протоколы, как MODBUS , DNP3 , OPC, PROFINET и т. д .
Если вы собираетесь защищать или атаковать эти системы, вам необходимо знать эти протоколы и специализированные инструменты для работы с ними. Например, из-за различий в пакетах большинство готовых систем защиты периметра, таких как системы обнаружения вторжений (IDS), не будут работать в среде SCADA/ICS, а большинство антивирусных программ неэффективно обнаруживают атаки на них.
Спрос
Каждая крупная страна и каждая крупная отрасль промышленности ищут специалистов, осведомлённых о рисках и уязвимостях систем SCADA/ICS. Инженеры по ИТ-безопасности пользуются высоким спросом, при этом безработицы практически нет, но спрос на специалистов, способных защищать, тестировать и проводить пентестинг систем SCADA/ICS, значительно превышает предложение. Военные и разведывательные подразделения каждой страны активно осваивают знания и навыки в области SCADA/ICS (я знаю, я обучал многих из них, включая АНБ). Компании, занимающиеся пентестингом и ИТ-безопасностью, безуспешно ищут специалистов, обученных SCADA/ICS. Каждая из многочисленных отраслей, входящих в эту обширную категорию SCADA/ICS, ищет специалистов, обладающих знаниями и навыками для защиты своих ценных систем.
