Примеры инцидентов в ИТ/промышленных системах с выводами и моралью

1. ptsecurity.ru
ptsecurity.ru
Чек-лист
технологической
безопасности
«Тренды угроз и инциденты
в технологических
компаниях»

2. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall

3. ptsecurity.ru
Угрозы ИБ для пром.систем
актуальны?
… или зачем говорить о киберугрозах, если есть сотня способов
нарушить работу промышленных систем при помощи молотка и…
и даже без молотка
«То что в этом здании всё ещё горит свет –
это не наша заслуга, а чья-то недоработка»
Руководитель ИБ одной уважаемой энергетической компании

4. ptsecurity.ru
CYBER
SECURITY:
CHECKLIST
Киберугрозы:
Чем рискуем?

5. ptsecurity.ru
Тренды угроз: анализ FY2015 (США)
295 крупных инцидентов (15% рост)
• 46 – энергетика
• 97 инцидентов c «участием» поставщиков оборудования и сервисов
• В 106 случаях - использовались вредоносы и целевой фишинг
• В 12% были затронуты компоненты АСУ ТП
http://www.darkreading.com/attacks-bre
Специфика «кибер» угроз
Тиражируемость
Управляемость по времени
Повторяемость
Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
Новые возможности/мотивация атакующих

6. ptsecurity.ru
Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
• Отключение
(исчерпание
батареи) SmartThings app that’s meant to check a lock’s battery
shouldn’t be able to steal its PIN or set off a fire alarm, they
argue. In fact, they analyzed 499 SmartThings and found that
more than half of them had at least some level of privilege they
considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.

7. ptsecurity.ru
А что если клиенты сыграют за
нападающих?
• Электро-распределительная компания
рассматривает возможность внедрения
«умных счетчиков»
• Умный?
• Канал связи (sms)
• Возможность (автоматического) управления
• Веб-интерфейс
• Мобильное приложение
• Что будет если
• Скомпрометировать веб-сервис/мобильное приложение?
• Подделать SMS от счетчика/на счетчик
• Осуществить массовую атаку на «сеть» счетчиков
• Повторять эту атаку еже-… (месячно, недельно, …, секундно)?

8. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
Анализ угроз и возможные
контрмеры

9. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы

10. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА

11. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА
Интеграция контролей безопасности

12. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
ИНВЕНТАРИЗАЦИЯ

13. ptsecurity.ru
Positive Technologies – Наши исследования
• Более 150 000
промышленных систем
оказались
подключенными к
Интернет
• Около 15 000 из них
имеют критические
уязвимости
https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf

14. ptsecurity.ru
АСУ ТП: доступность через Интернет
Компонент АСУ ТП
Найденное
количество
ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264
ТУД/ПЛК 18 233
Электроизмерительный прибор 17 979
ЧМИ/SCADA 13 485
Сетевое устройство 5 016
Сенсор 907
Компонент АСУ ТП
Найденное
количество
Конвертер интерфейсов 408
Автоматический выключатель 361
Электронное устройство 179
Инвертор 17
РЗА 9
Другие 76 229

15. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
УЯЗВИМОСТИ

16. ptsecurity.ru
АСУ ТП: уязвимости в цифрах
Высокую степень риска имеют 47%
среди выявленных уязвимостей АСУ ТП
Лишь 14% исправлены в течение
трех месяцев
Около 1/3 доступных через Интернет
систем управления не защищены:
лидируют системы автоматизации зданий
и управления электроэнергией
47%
14%
1/3

17. ptsecurity.ru
Состояние информационной безопасности современных АСУ
Более 150 000 АСУ доступны через интернет
Более 10% из них содержат критически опасные уязвимости*
Число кибератак на индустриальные системы за два года увеличилось на 636%**
Некоторые уязвимости
исправить нельзя
Вечно уязвимый ESC Model 8832
*Доклад Positive Technologies 2016
**Доклад IBM X-Force 2016
10%22%20%34%14%
Устранены
в течение
3 месяцев
Устранены
более чем через
3 месяца
Вендор
готовит патч
к выпуску
Статус неизвестен,
связались
с вендором
Не устранены

18. ptsecurity.ru
Мировая тенденция – разрыв увеличивается
Дни, часы, минуты
занимает
компрометация
Недели, месяцы
проходят до
обнаружения
Согласно 2015 Trustwave Global Security Report** среднее
время до обнаружения вторжения/ компрометации
составляет 188 дней
https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf

19. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
НАБЛЮДАЕМОСТЬ

20. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атаки из внешней сети неизбежны: обнаружение?
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8

21. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атаки из внешней сети неизбежны: обнаружение?
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
91%
73%
45%
27%
80%
91%
100%

22. ptsecurity.ru
Проблема с проблемами ИБ
в промышленных системах
100% функциональная безопасность: невмешательство
Информационная безопасность не должна нарушать технологический процесс
Специфика и возможность интерпретации
Каждый технологический процесс уникален
Проверка гипотез об уязвимостях
Нужна дублирующая площадка для проверки наличия уязвимости
А кто пользователь ИБ-решений?
Результаты работы ИБ-решений должны быть полезны и для технологов,
и для безопасников

23. ptsecurity.ru
Интеллектуальный разбор трафика  Интерпретируемость  PT ISIM
Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11,
объект информации 25 в состояние 0,
отправитель: 172.50.0.52, получатель: 172.50.0.72
Сообщение IEC104 от 172.50.0.52 на 172.50.0.72:
«Заземляющий нож QSG2: отключен»
Исходный трафик
Частичная обработка событий
Интеллектуальная обработка событий в трафике
0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10
0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00
0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05
0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff
0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92
00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3
00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c

24. ptsecurity.ru
PT ISIM – Возможность анализа инцидентов

25. ptsecurity.ru
Что нужно для обеспечения ИБ в АСУ ТП (и мы это делаем)
Учитывать отраслевую специфику
В системе учитываются используемые протоколы, архитектура
и оборудование, типичные уязвимости ТП
Сбор данных без вмешательства в технологический процесс
Для мониторинга событий используются копия сетевого трафика
«Умный» анализ трафика
Система разбирает сетевой трафик и генерирует список событий,
обогащённый информацией для интерпретации ИТ, ИБ, технологами
Оперативная информация на всех уровнях
Отражение информации на карте техпроцесса, автоматическое
уведомление об инцидентах, инструкции для оператора АСУ ТП
и доступ к анализу трафика для специалистов по безопасности
Механизм обнаружения распределенных во времени атак
PT ISIM связывает между собой и выстраивает в цепочку отдельные
события, сравнивая их с векторами типичных атак – «SIEM для АСУ ТП»
PT ISIM Эффективно выявляет
Внутренние угрозы
Внешние угрозы
Ошибки конфигурации

26. ptsecurity.ru
Данные
об активах
Уязвимости
конфигурации
Регистрация
инцидентов ИБ
Атаки
на бизнес логику
Журнал события
безопасности
Регистрация
цепочек атак
Провести
расследование инцидентов
Обнаружить
злоумышленника
ptsecurity.ru
PT ISIM™

27. ptsecurity.ru
Безопасность это купите наш продукт
процесс (и люди)
Но для организации процесса
нужны:
• Наблюдаемость
• Интерпретируемость
• Интеграция ИБ ИТ и ОТ
• …
http://www.osce.org/

28. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
ОСВЕДОМЛЕННОСТЬ
ОБ УГРОЗАХ

29. ptsecurity.ru
Глобальные Кампании:
атака на индустрию
• Серия атак на предприятия нескольких отраслей
• В нескольких регионах
• Схожие признаки (тактика атакующего)
• Атака начинается с фишинг-письма из банка
• В приложении – троян
• Цель – получение доступа, учетных данных
• 130 «поражённых» компаний

30. ptsecurity.ru
Типовой сценарий: ожидайте целевых атак
• Проникновение в систему
• Целевой фишинг
• Документы с вредоносным содержимым
• Не обнаруживается антивирусом
• Закрепление в системе
• Устранение систем защиты
• Бэкдоры, замаскированные под легитимные сетевые службы (SSH)
• Планирование реализации угрозы
• Анализ компонентов и архитектуры системы
• Анализ «важности» захваченной системы
• Подготовка к реализации угрозы
• Выведение из строя средств противодействия сбоям
• Запуск DDoS-атаки на колл-центры
• Осуществление атаки: нарушение тех.процесса
• Затруднение восстановления: удаление файлов и остановка процессов

31. ptsecurity.ru
Границы инцидента: больше чем «событие безопасности»
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Инцидент
рассматривается как
событие
• Анализ целей
• Атрибуция атакующего
• Расследовать
«событие» или
инцидент?

32. ptsecurity.ru
Увидеть путь атакующего в ИТ и ОТ
Initial
Compromise
Establish
Foothold
Escalate
Privileges
Internal
Recon
Move
Laterally
Complete
Mission
Maintain
Presence
Clean up &
Exfiltrate
Passive
Recon (OSINT)
Active
Recon
• Протяженность во времени
• Критичность событий
безопасности в зависимости от
этапа «продвижения»
атакующего
• «Прекратить безобразия» – не
всегда оптимальный путь
• Равно как и раскрыть факт
обнаружения проникновения

33. ptsecurity.ru
Легенда о Воздушном Зазоре
Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП)
с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего
периметра
Пример: отключение электроснабжения части украинских электросетей в декабре 2015
Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа.
Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их,
используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители
и смартфоны.
Пример: несанкционированное подключение модемов
Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ
на время сервисного обслуживания.
Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО
и заразил контроллеры

34. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
СПЕЦИФИКА
ПРЕДМЕТНОЙ
ОБЛАСТИ

35. ptsecurity.ru
Positive Technologies:
Approach to Oil & Gas Cybersecurity
Анализ специфики

36. ptsecurity.ru
PT Security Research: Oil Pumping Typical Infrastructure* (1/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm

37. ptsecurity.ru
PT Security Research: Oil Pumping Cyber Security Threats (2/5)
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition

38. ptsecurity.ru
PT Security Research: Oil Refinery Typical Infrastructure* (3/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Integration with MES & ERP
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm

39. ptsecurity.ru
PT Security Research: Refinery Case Description (4/5)
Based on comprehensive knowledge in SCADA/HMI software’s used in Refinery environments,
we’ve been able to verify, simulate several attack scenario’s
ICS Network penetration
Protocol analyzed / dissection.
ICS network unauthorized access using commonly exposed services (RDMS, Web Applications, RDP protocol, telnet,
etc.)
Vulnerabilities and Vectors
Identification of weak configurations
SCADA/HMI software vulnerabilities
Pivoting HMI /CDU/VDU
Fire Protection System
Manipulation of Fire system

40. ptsecurity.ru
Real Security Analysis - Oil Refinery Research Case (5/5)
WEB, RDP,
DBMS, OPC
Explosion plant
Fire protection
system
Operators’
workstations
CDU/VDU
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Process interruption
DMZ
Connection breach
Damage to environment
Internal
attacker
ICS Network Penetration
RDP, DBMS
Telnet, FTP,
WEB, etc
MES/ERP LIMS
Printers, CCTV,
UPS, etc
SCADA/Engineer
software
 Honeywell Experion PKS
 Yokogawa CENTUM VP
 DeltaV Emerson Process
Management
 Siemens WinCC / Step7
 Rockwell Studio 5000
 Schneider Electric
InTouch / Unity Pro
PLC and SIS
 Honeywell C300
 DeltaV MD/MD+
 Yokogawa SCP/CP
 Siemens Simatic S7 300/400
 Schneider Electric
Modicon/Quantum
SCADA
Safety warnings
Corporate
network
Target Systems Threats
Disposition

41. ptsecurity.ru
CYBER SECURITY:
CHECKLIST
ДИНАМИКА И
ИНТЕГРАЦИЯ
КОНТРОЛЕЙ

42. ptsecurity.ru
Уровень приложений:
пространство реальных угроз ИБ сегодня
Сетевая Инфраструктура
Платформы (ОС)
СУБД
Веб-сервер
Система управления содержимым
Приложение
Verizon DBIR2016

43. ptsecurity.ru
IT OpSec
AppSec
ОТ
Информационная безопасность ИТ+ОТ:
Вчера, сегодня, завтра
Сетевая Инфраструктура
Платформы (ОС)
СУБД
Веб-сервер
Система управления
содержимым
Приложения
Connectivity
Исполнительные устройства
ПЛК/SCADA
Система управления
производством (MES)
ERP
http://www.darkreading

44. ptsecurity.ru
Информационная безопасность ИТ+ОТ:
Вчера, сегодня,
завтра
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
IT OpSec
AppSec
ОТ
12% В 12% из 295
инцидентов затронуты
АСУ ТП
2017 - ?
9 из 10 Компаний «взламываются»
за 1 неделю
В 5 раз
Выросло количество инцидентов,
затрагивающих приложения

45. ptsecurity.ru
Application
Firewall
PT ISIM
MaxPatrol
SIEM
MaxPatrol
8
Контроль событий
АСУ ТП
Защита
приложений
Контроль ИТ
событий, действий
пользователей и
изменений в системе
Интеграция контролей ИБ:
промышленные системы
Инвентаризация и
контроль
уязвимостей
Анализ защищенности
и расследование
инцидентов (сервисы)
PT ESC

46. ptsecurity.ru
Тактика и стратегия ИБ-трансформации
+Осведомленность
+Мотивация
+Знание
+Возможность
+Принуждение
**ADKAR 5 Elements Model
+«Разморозить» -
предпосылки к изменению
+Изменить
+Заморозить –
зафиксировать изменения
*Lewin Change Model
+ Sense of urgency
+ Powerful coalition
+ Create a Vision
+ Communicate the Vision
+ Empower others to act on the
vision
+ Short term wins
+ Consolidate improvements produce
more change
+ Institutionalizing
*** Kotter’s 8-step Process
1
Анализ
защищённости
2
Контроль
защищённости
3 4
Контроль
изменений
и мониторинг
Защита и
предотвращение

47. ptsecurity.ru
Путь к Безопасности
1. Наши продукты, наши компетенции
https://www.ptsecurity.com
2. Анализ уязвимостей и/или пилот,
мониторинг событий ИБ
pt@ptsecurity.com
3. Решение актуальных ИБ-задач
- Инфраструктура: Maxpatrol & Maxpatrol SIEM
- AppSec: PT AF & AI
- Индустриальная безопасность: PT ISIM
4. Осведомленность об угрозах и методах атак
- PHDays
- SecurityLab.ru
- PT Research
47

48. ptsecurity.ru
Positive Research 2017
PHDays 7 – 23-24 мая
http://securitylab.ru
https://www.ptsecurity.com/
PHDays.com

49. ptsecurity.ru
ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall