Отчёт ICS-CERT за май-июнь 2016 - Shodan, взгляд врага и что болит в АСУ

---

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

---

Продолжу (1, 2, 3) публикацию серии постов по материалам ежедвухмесячных отчётов Команды экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT (Industrial Control Systems Cybersecurity Emergency Response Team). Сегодня самое интересное из отчёта, выпущенного по итогам мая-июня 2016 года: ICS-CERT Monitor ICS-MM201606.

Важный инцидент

С помощью известного поисковика Shodan специалисты ICS-CERT обнаружили некоторое (сколько именно - не раскрывают) число IP-адресов устройств напрямую доступных через Интернет. Зная провайдеров Интернет, которые обслуживают обнаруженные IP-адреса, в ICS-CERT попросили их сообщить конечным пользователям о важной находке и передать просьбу связаться с ICS-CERT.

Один из провайдеров на просьбу отреагировал (интересно, а сколько проигнорировали?) и помог связаться команде ICS-CERT и владельцу обнаруженных устройств (то ли вендор, то ли сервисная компания - конкретики минимум), находящихся на некотором водном сооружении (и тут тоже сказано общо). В итоге сейчас ведётся совместная работа по повышению уровня безопасности.

Интересно, а в России нет никакой государственной структуры, которая могла бы сделать что-то подобное? И, если не самостоятельно найти публично доступные критические объекты, то, как вариант, заказать такую работу специалистам?

Посмотрите на свою сеть глазами атакующих

Сециалисты ICS-CERT в ходе проведения оценок уровня кибербезопасности различных критичных систем выработали ключевые признаки, по которым можно оценить общий уровень зрелости подхода конкретной организации к вопросам обеспечения безопасности:

• насколько хорошо в организации знают, какая информация об их системах управления находится в открытом доступе,
• и как осуществляют контроль над этой информацией,
• насколько хорошо понимают как спроектированы их системы управления (архитектура, компоненты и пр.)
• и как организованы потоки данных между различными узлами, особенно в местах пересечения границы между технологическими и ИТ сетями.

Проще говоря, уровень зрелости подхода к вопросам обеспечения кибербезопасности в организации зависит от того, насколько хорошо она знает и понимает свои системы управления и сети. В ICS-CERT считают это важным, потому что любая атака предваряется стадией разведки, в ходе которой злоумышленники как раз и пытаются собрать максимум информации об атакуемых системах для определения возможных векторов атаки. Взгляд на свои собственные активы глазам злоумышленника как раз помогает выявить слабые места и заранее усилить контроль над ними. В качестве конкретных методов понимания своих систем управления и сетей именно с точки зрения потенциального атакующего ICS-CERT называет: изучение открытых источников, поисковик Shodan и пассивное сканирование сетей АСУ. С помощью этих инструментов и методов можно узнать то же, что может узнать потенциальный злоумышленник. Ну, а чем лучше вы знаете свою собственную сеть, тем лучше вы сможете защитить её. Всё это, конечно, вполне разумно, вот только какой процент владельцев АСУ ТП имеют персонал с опытом, достаточным для использования этих инструментов? Требуется хорошая аналитическая проработка и знакомство с основными методами работы злоумышленников. По сути, ICS-CERT завуалировано предлагает обращаться к специалистам, например, к ним самим =)

Болевые точки в безопасности АСУ

Так как ICS-CERT активно занимается проведением оценок соответствия требованиям безопасности для АСУ, у них накапливается достаточно информации, на основе которой можно делать обещающие выводы. Так, например, вот основные проблемы, которые в ходе таких оценок в 2015 году на практике обнаруживались чаще всего:

• Защита периметра - большинство изученных сетей были плоскими (одноранговыми) без каких-либо внутренних границ и разделения на сегменты. Сама ICS-CERT рекомендует проводить сегментацию как на втором уровне, так и на третьем, естественно, разделять офисные и технологические сети и осуществлять мониторинг сетевого трафика.
• Проблемы с конфигурациями - неправильная или неполная настройка имеющего программного и аппаратного обеспечения ведёт к существенным проблемам, помимо аккуратной настройки дополнительно рекомендуется отключение любых ненужных сервисов, закрытие лишних портов и использование минимально необходимого набора функций из всех имеющихся.
• Идентификация и аутентификация - тут отмечается нерекомендуемая практика использования групповых учётных записей, затрудняющая анализ инцидентов, а также недостаточная распространённость многофакторной аутентификации при организации удалённого доступа, являющегося одной из самых высокорисковых технологий.

Рекомендации понятны, про их важность говорится достаточно часто, но, видимо, пока недостаточно часто, чтобы это перестало быть основными выявляемыми проблемами.

---

В целом, материалы у ICS-CERT мне нравятся - они действительно делают много для популяризации темы и выпускают хорошие практические рекомендации. Материалы у них общедоступны, достаточно часто обновляются и расширяются. Из минусов можно назвать разве что доступность исключительно на английском языке =) Ну, и есть, конечно, некоторые нюансы, связанные с географической привязкой - российские реалии не всегда полностью совпадают со среднестатистическими американскими. Другие публикации по теме:

• Отчёт ICS-CERT за май-июнь 2015
• Отчёт ICS-CERT за июль-август 2015
• Отчёт ICS-CERT за ноябрь-декабрь 2015 - Статистика инцидентов кибербезопасности АСУ ТП
• Отчёт ICS-CERT за январь-февраль 2016 - WiFi, модемы, TeamViewer и прочие ужасы ИБ АСУ ТП

--- === @zlonov === ---

---

--- === @zlonov === ---