Для тех, кто имеет опыт работы в традиционных ИТ-системах или сфере ИТ-безопасности, безопасность систем SCADA/ICS может оказаться непростой задачей. Многие технологии, подходы и подходы традиционных ИТ-систем неприменимы к системам SCADA/ICS. В этой краткой статье я хотел бы перечислить и подробно рассмотреть лишь некоторые из наиболее важных различий между традиционными ИТ-системами и системами SCADA/ICS.
Защита данных против защиты процесса
При защите традиционных IT-систем мы, как правило, стремимся защитить данные. К ним относятся интеллектуальная собственность (ИС), номера кредитных карт, адреса электронной почты и персональные данные (PII). Мы стремимся не допустить, чтобы хакеры получили доступ к этой конфиденциальной информации.
Это резко контрастирует с системами SCADA/ICS, где основное внимание уделяется защите процесса . Системы SCADA/ICS зависят от непрерывной обработки данных. В некоторых случаях, если один из таких объектов выходит из строя, его перезапуск может занять несколько недель или месяцев, что обходится владельцу в миллионы долларов простоя.
Кроме того, в таких системах SCADA/ICS, как электрогенерация, передача электроэнергии, водоснабжение и очистка сточных вод и т.д., отключение может привести к серьёзным последствиям. Представьте себе внезапный отказ водоочистной станции или отказ системы электропередачи. Авария может быть очень серьёзной и опасной для жизни, что подчёркивает необходимость защиты процесса .
Наконец, иногда неисправность одного клапана или датчика на этих заводах может привести к сбою всего завода. В 2005 году нефтеперерабатывающий завод в Техас-Сити взорвался из-за неисправности одного предохранительного клапана, что привело к гибели 50 человек и миллиардам долларов для компании British Petroleum, владельца завода.
Важно ещё раз подчеркнуть это ключевое различие: в системах SCADA мы защищаем процесс, тогда как в традиционных ИТ-системах — данные.
Технологии
В традиционных ИТ-системах мы привыкли работать с набором протоколов TCP/IP. К ним относятся TCP, IP, UDP, DNS, DHCP и др. Большинство систем SCADA/ICS используют один из более чем 100 протоколов, обычно с последовательным интерфейсом, а также некоторые проприетарные протоколы. Наиболее популярными из них являются Modbus , DNP3 , PROFINET/PROFIBUS , OPC и некоторые другие.
Более того, большинство систем SCADA/ICS используют программируемые логические контроллеры (ПЛК). Эти ПЛК используются практически во всех типах промышленных систем управления, будь то производство, нефтепереработка, передача электроэнергии, очистка воды и т.д. Как правило, такие ПЛК не встречаются в традиционных IT-системах. Эти ПЛК представляют собой небольшие компьютерные системы, использующие релейную логику для управления датчиками, исполнительными механизмами, клапанами, сигнализациями и другими устройствами. Взлом систем SCADA/ICS часто требует знания программирования этих ПЛК.
Требования к доступности
Хотя доступность (CIA) является ключевым компонентом традиционной ИТ-безопасности, системы SCADA/ICS выводят её на новый уровень. Как упоминалось выше, в системах SCADA/ICS мы защищаем процесс, а не данные. Это означает, что зачастую возможность установки исправлений и перезагрузки системы может быть НЕВОЗМОЖНА, за исключением отдельных случаев, например, ежегодных или ежеквартальных остановок на техническое обслуживание. Это может означать, что операционная система и приложения могут оставаться без исправлений с известными уязвимостями в течение месяцев, а то и лет. Инженеру SCADA/ICS часто приходится прибегать к компенсирующим средствам контроля для предотвращения вторжений, тогда как традиционный инженер по ИТ-безопасности мог бы реализовать превентивный контроль, такой как установка исправлений.
Доступ к компонентам
За некоторыми исключениями, в традиционной сфере ИТ-безопасности инженер по безопасности имеет прямой физический доступ к компонентам системы. В системах SCADA/ICS компоненты системы могут быть разнесены на сотни или тысячи миль (например, трубопроводы, электросети и т.д.). Это может усложнить реализацию мер безопасности и сделать физическую безопасность ещё более важной. Удалённые полевые станции могут стать точкой входа для хакера во всю систему SCADA/ICS.
Безопасность через неизвестность
За последние 20 лет практически все системы SCADA/ICS были подключены к внешнему миру по протоколу TCP/IP. Хотя внутренняя связь может по-прежнему осуществляться последовательно, обычно эти системы имеют соединение, позволяющее инженерам и администраторам удалённо контролировать их работу (конечно, есть исключения. Некоторые плотины и другие системы общественной инфраструктуры были отключены для защиты от атак).
Годами эти системы пользовались защитой через незаметность. Другими словами, они были безопасны, потому что мало кто знал об их существовании, и ещё меньше людей понимали их технологии. В результате эти системы часто не реализовывали даже самых элементарных мер безопасности (это наглядно продемонстрировал OTW в 2016 году, когда он проник в систему автоматизации зданий Schneider Electric без специальных инструментов).
С появлением таких инструментов, как Shodan и других средств разведки, эти системы больше не могут полагаться на защиту через скрытность. Отрасль только начинает внедрять умеренные меры безопасности. Конечно, одна из проблем отрасли заключается в том, что многие готовые продукты безопасности не работают с их фирменными протоколами. В некоторых случаях для защиты этих систем приходится разрабатывать индивидуальные межсетевые экраны и системы обнаружения вторжений (IDS).
Защита данных против защиты процесса
При защите традиционных IT-систем мы, как правило, стремимся защитить данные. К ним относятся интеллектуальная собственность (ИС), номера кредитных карт, адреса электронной почты и персональные данные (PII). Мы стремимся не допустить, чтобы хакеры получили доступ к этой конфиденциальной информации.
Это резко контрастирует с системами SCADA/ICS, где основное внимание уделяется защите процесса . Системы SCADA/ICS зависят от непрерывной обработки данных. В некоторых случаях, если один из таких объектов выходит из строя, его перезапуск может занять несколько недель или месяцев, что обходится владельцу в миллионы долларов простоя.
Кроме того, в таких системах SCADA/ICS, как электрогенерация, передача электроэнергии, водоснабжение и очистка сточных вод и т.д., отключение может привести к серьёзным последствиям. Представьте себе внезапный отказ водоочистной станции или отказ системы электропередачи. Авария может быть очень серьёзной и опасной для жизни, что подчёркивает необходимость защиты процесса .
Наконец, иногда неисправность одного клапана или датчика на этих заводах может привести к сбою всего завода. В 2005 году нефтеперерабатывающий завод в Техас-Сити взорвался из-за неисправности одного предохранительного клапана, что привело к гибели 50 человек и миллиардам долларов для компании British Petroleum, владельца завода.
Важно ещё раз подчеркнуть это ключевое различие: в системах SCADA мы защищаем процесс, тогда как в традиционных ИТ-системах — данные.
Технологии
В традиционных ИТ-системах мы привыкли работать с набором протоколов TCP/IP. К ним относятся TCP, IP, UDP, DNS, DHCP и др. Большинство систем SCADA/ICS используют один из более чем 100 протоколов, обычно с последовательным интерфейсом, а также некоторые проприетарные протоколы. Наиболее популярными из них являются Modbus , DNP3 , PROFINET/PROFIBUS , OPC и некоторые другие.
Более того, большинство систем SCADA/ICS используют программируемые логические контроллеры (ПЛК). Эти ПЛК используются практически во всех типах промышленных систем управления, будь то производство, нефтепереработка, передача электроэнергии, очистка воды и т.д. Как правило, такие ПЛК не встречаются в традиционных IT-системах. Эти ПЛК представляют собой небольшие компьютерные системы, использующие релейную логику для управления датчиками, исполнительными механизмами, клапанами, сигнализациями и другими устройствами. Взлом систем SCADA/ICS часто требует знания программирования этих ПЛК.
Требования к доступности
Хотя доступность (CIA) является ключевым компонентом традиционной ИТ-безопасности, системы SCADA/ICS выводят её на новый уровень. Как упоминалось выше, в системах SCADA/ICS мы защищаем процесс, а не данные. Это означает, что зачастую возможность установки исправлений и перезагрузки системы может быть НЕВОЗМОЖНА, за исключением отдельных случаев, например, ежегодных или ежеквартальных остановок на техническое обслуживание. Это может означать, что операционная система и приложения могут оставаться без исправлений с известными уязвимостями в течение месяцев, а то и лет. Инженеру SCADA/ICS часто приходится прибегать к компенсирующим средствам контроля для предотвращения вторжений, тогда как традиционный инженер по ИТ-безопасности мог бы реализовать превентивный контроль, такой как установка исправлений.
Доступ к компонентам
За некоторыми исключениями, в традиционной сфере ИТ-безопасности инженер по безопасности имеет прямой физический доступ к компонентам системы. В системах SCADA/ICS компоненты системы могут быть разнесены на сотни или тысячи миль (например, трубопроводы, электросети и т.д.). Это может усложнить реализацию мер безопасности и сделать физическую безопасность ещё более важной. Удалённые полевые станции могут стать точкой входа для хакера во всю систему SCADA/ICS.
Безопасность через неизвестность
За последние 20 лет практически все системы SCADA/ICS были подключены к внешнему миру по протоколу TCP/IP. Хотя внутренняя связь может по-прежнему осуществляться последовательно, обычно эти системы имеют соединение, позволяющее инженерам и администраторам удалённо контролировать их работу (конечно, есть исключения. Некоторые плотины и другие системы общественной инфраструктуры были отключены для защиты от атак).
Годами эти системы пользовались защитой через незаметность. Другими словами, они были безопасны, потому что мало кто знал об их существовании, и ещё меньше людей понимали их технологии. В результате эти системы часто не реализовывали даже самых элементарных мер безопасности (это наглядно продемонстрировал OTW в 2016 году, когда он проник в систему автоматизации зданий Schneider Electric без специальных инструментов).
С появлением таких инструментов, как Shodan и других средств разведки, эти системы больше не могут полагаться на защиту через скрытность. Отрасль только начинает внедрять умеренные меры безопасности. Конечно, одна из проблем отрасли заключается в том, что многие готовые продукты безопасности не работают с их фирменными протоколами. В некоторых случаях для защиты этих систем приходится разрабатывать индивидуальные межсетевые экраны и системы обнаружения вторжений (IDS).
