Решил сделать краткий пост на тему, вынесенную в заголовок, ну и немного порекламировать свой доклад про безопасность АСУ ТП на сочинском ИнфоБЕРЕГе . В последнее время, особенно после выхода документа СовБеза , тема защиты АСУ ТП и вообще КВО стала достаточно актуальной и многие интеграторы стали развивать это направление как отдельное и самостоятельное.
Не споря с его важностью, хотелось бы показать неверность выбранного многими интеграторами пути. Что они обычно делают и предлагают с точки зрения своего портфолио? Пентесты и иные анологичные продукты и услуги, связанные с сетевой составляющей АСУ ТП. Это безусловно важно; особенно учитывая, что многие вендоры предлагают решения по защите АСУ ТП (например, Cisco предлагает систему предотвращения вторжений для SCADA), но достаточно ли? И немаловажный вопрос - нужно ли это заказчикам?
Для этого надо ответить себе на вопрос, что такое современная система, обслуживающая критически важный объект? Есть неплохая обзорная иллюстрация, показывающая взаимосвязь элементов современной АСУ ТП. По вертикали их 3:
А теперь, собственно, о том, что и как делают интеграторы в России. Они концентрируются только на сетевом уровне. Это очевидно - защита на сетевом уровне более проста и понятна. Протокол IP знаком многим; средства его защиты в лице межсетевых экранов и IPS тоже известны. Что может быть проще, чем взять уже известный продукт и выдать его за средство защиты АСУ ТП? Хорошо, если он поддерживает специфические для АСУ ТП протоколы (например, DNP3, Modbus и т.д.). Но если нет, то тоже ничего ;-) Правда, тут возникает задача правильного внедрения решений для защиты АСУ ТП. Ведь между ними существует очень серьезная разница . Можно воспользоваться рекомендациями вендоров по дизайну системы защиты для АСУ ТП (например, от Cisco ), но про такие дизайны еще надо знать.
Но очевидно, что только защитой сетевого уровня дело не ограничивается. Пример с Stuxnet показал, что защиты только на уровне сети не достаточно. Но адекватных решений на этом уровне почти нет ;-( Касперский давно пытается создать свою ОС для решения таких задач, но пока до готового и тиражируемого продукта дело не дошло. А ведь им еще надо заинтересовать производителей решений для АСУ ТП.
С уровнем взаимодействия более менее все понятно - технологии обеспечения конфиденциальности и целостности существуют давно. А вопрос их соответствия требованиям ФСБ к СКЗИ я поднимать не буду преднамеренно ;-)
Но самое интересное заключается в другом - в России защита этих уровней не так востребована, как это кажется интеграторам, предлагающим защиту именно их. Многих заказчиков волнует совершенно другой вопрос. А как мне предотвратить кражу пары составов с рудой, которую может провернуть привилегированный пользователь системы управления цепочками поставок? А вы можете отследить на каком звене цепочки доставки нефтепродукта от нефтехранилища по нефтепроводу до нефтеперерабатывающего завода (принадлежащих зачастую разным юрлицам) произошла кража нефтепродукта? Или еще один из вопросов, который могут задать, когда возникнет тема "защиты АСУ ТП" (под которой понимают очень много различных задач, не всегда впрямую связанных с самой АСУ ТП). А вы можете нам помочь отследить операторов-мошенников, которые несанкционированно изменяют маршруты транспортировки бензина в системе контроля передвижения опасных грузов через ГЛОНАСС/GPS? Или вот еще. Как можно обнаружить модификацию ПО, отвечающее за сигнализацию о падении давления в магистральном трубопроводе (по снижению давления можно определить наличие и примерное местоположение незаконной врезки в трубу).И как защищаться от таких инцидентов?
Решить такие задачи очень непросто, т.к. требуется досконально знать, как работает та или иная система на уровне ее бизнес-логики. Инструментов для обнаружения инцидентов на бизнес-уровне немного и можно пересчитать по пальцам одной руки. Например, Appercut Security (и то с оговорками и доработками). Но это именно то, что нужно потребителю и то, на чем он теряет деньги, несопоставимые с ущербом от других видов инцидентов. Точнее это реальные деньги, которых недополучает владелец критически важного объекта. В отличие от вирусных эпедимей, простоев от DoS-атак, утечек информации, ущерб от которых еще надо посчитать и обосновать.
Возможно ситуация со временем поменяется. Если документ СовБеза начнут претворять в жизнь, то акценты могут и сместиться в сторону первых двух описанный мной уровней. Ведь Совету Безопасности по сути все равно - сколько денег не досчитается конкретный владелец критически важного объекта. А вот инцидент, который может повлиять на национальную безопасность, привести к чрезвычайной ситуации, сделать невозможным оказание какой-либо услуги в час Х и т.п. их волнует гораздо больше и поэтому их документы, скорее всего, будут описывать то, что описывают почти все современные стандарты безопасности АСУ ТП - традиционные вопросы защиты - обеспечение доступности, конфиденциальности, целостности компонентов АСУ ТП на нижних уровнях; закрывая глаза на верхний. И потребитель задумается о решении и этой задачи только тогда, когда число инцидентов применения кибероружия увеличится многократно (и именно в России) или когда за невыполнение требований нормативных документов будут выставляться реальные и значительные штрафы.
Пока же потребитель подходит к вопросу защиты АСУ ТП с точки зрения риск-ориентированного подхода (за что было бы глупо его ругать) и требует совершенно не тех средств и услуг защиты АСУ ТП, которые ему пытаются предлагать интеграторы и вендоры. А может я ошибаюсь и есть интеграторы, которые учитывают то, что я написал?
PS. Помимо ИнфоБЕРЕГа на тему АСУ ТП буду также выступать 3-го октября на круглом столе в рамках " Инфобезопасности ".
Не споря с его важностью, хотелось бы показать неверность выбранного многими интеграторами пути. Что они обычно делают и предлагают с точки зрения своего портфолио? Пентесты и иные анологичные продукты и услуги, связанные с сетевой составляющей АСУ ТП. Это безусловно важно; особенно учитывая, что многие вендоры предлагают решения по защите АСУ ТП (например, Cisco предлагает систему предотвращения вторжений для SCADA), но достаточно ли? И немаловажный вопрос - нужно ли это заказчикам?
Для этого надо ответить себе на вопрос, что такое современная система, обслуживающая критически важный объект? Есть неплохая обзорная иллюстрация, показывающая взаимосвязь элементов современной АСУ ТП. По вертикали их 3:
- Сетевой уровень, представленный протоколом IP, который сейчас повсеместно используется в решениях АСУ ТП большинства зарубежных и отечественных вендоров.
- Уровень Middleware, как я его называю. Это то, что касается "родных" АСУ ТПшных вопросов - контроллеры, сенсоры, управляющее ПО и т.д. Сюда же можно отнести и общесистемное ПО, которое используется на компонентах АСУ ТП.
- Бизнес-уровень, отвечающий как за формирование различной отчетности по различным срезам работы АСУ ТП, так и управление ею (отгрузить столько-то руды, заполнить цистерну на столько-то и т.д.).
А теперь, собственно, о том, что и как делают интеграторы в России. Они концентрируются только на сетевом уровне. Это очевидно - защита на сетевом уровне более проста и понятна. Протокол IP знаком многим; средства его защиты в лице межсетевых экранов и IPS тоже известны. Что может быть проще, чем взять уже известный продукт и выдать его за средство защиты АСУ ТП? Хорошо, если он поддерживает специфические для АСУ ТП протоколы (например, DNP3, Modbus и т.д.). Но если нет, то тоже ничего ;-) Правда, тут возникает задача правильного внедрения решений для защиты АСУ ТП. Ведь между ними существует очень серьезная разница . Можно воспользоваться рекомендациями вендоров по дизайну системы защиты для АСУ ТП (например, от Cisco ), но про такие дизайны еще надо знать.
Но очевидно, что только защитой сетевого уровня дело не ограничивается. Пример с Stuxnet показал, что защиты только на уровне сети не достаточно. Но адекватных решений на этом уровне почти нет ;-( Касперский давно пытается создать свою ОС для решения таких задач, но пока до готового и тиражируемого продукта дело не дошло. А ведь им еще надо заинтересовать производителей решений для АСУ ТП.
С уровнем взаимодействия более менее все понятно - технологии обеспечения конфиденциальности и целостности существуют давно. А вопрос их соответствия требованиям ФСБ к СКЗИ я поднимать не буду преднамеренно ;-)
Но самое интересное заключается в другом - в России защита этих уровней не так востребована, как это кажется интеграторам, предлагающим защиту именно их. Многих заказчиков волнует совершенно другой вопрос. А как мне предотвратить кражу пары составов с рудой, которую может провернуть привилегированный пользователь системы управления цепочками поставок? А вы можете отследить на каком звене цепочки доставки нефтепродукта от нефтехранилища по нефтепроводу до нефтеперерабатывающего завода (принадлежащих зачастую разным юрлицам) произошла кража нефтепродукта? Или еще один из вопросов, который могут задать, когда возникнет тема "защиты АСУ ТП" (под которой понимают очень много различных задач, не всегда впрямую связанных с самой АСУ ТП). А вы можете нам помочь отследить операторов-мошенников, которые несанкционированно изменяют маршруты транспортировки бензина в системе контроля передвижения опасных грузов через ГЛОНАСС/GPS? Или вот еще. Как можно обнаружить модификацию ПО, отвечающее за сигнализацию о падении давления в магистральном трубопроводе (по снижению давления можно определить наличие и примерное местоположение незаконной врезки в трубу).И как защищаться от таких инцидентов?
Решить такие задачи очень непросто, т.к. требуется досконально знать, как работает та или иная система на уровне ее бизнес-логики. Инструментов для обнаружения инцидентов на бизнес-уровне немного и можно пересчитать по пальцам одной руки. Например, Appercut Security (и то с оговорками и доработками). Но это именно то, что нужно потребителю и то, на чем он теряет деньги, несопоставимые с ущербом от других видов инцидентов. Точнее это реальные деньги, которых недополучает владелец критически важного объекта. В отличие от вирусных эпедимей, простоев от DoS-атак, утечек информации, ущерб от которых еще надо посчитать и обосновать.
Возможно ситуация со временем поменяется. Если документ СовБеза начнут претворять в жизнь, то акценты могут и сместиться в сторону первых двух описанный мной уровней. Ведь Совету Безопасности по сути все равно - сколько денег не досчитается конкретный владелец критически важного объекта. А вот инцидент, который может повлиять на национальную безопасность, привести к чрезвычайной ситуации, сделать невозможным оказание какой-либо услуги в час Х и т.п. их волнует гораздо больше и поэтому их документы, скорее всего, будут описывать то, что описывают почти все современные стандарты безопасности АСУ ТП - традиционные вопросы защиты - обеспечение доступности, конфиденциальности, целостности компонентов АСУ ТП на нижних уровнях; закрывая глаза на верхний. И потребитель задумается о решении и этой задачи только тогда, когда число инцидентов применения кибероружия увеличится многократно (и именно в России) или когда за невыполнение требований нормативных документов будут выставляться реальные и значительные штрафы.
Пока же потребитель подходит к вопросу защиты АСУ ТП с точки зрения риск-ориентированного подхода (за что было бы глупо его ругать) и требует совершенно не тех средств и услуг защиты АСУ ТП, которые ему пытаются предлагать интеграторы и вендоры. А может я ошибаюсь и есть интеграторы, которые учитывают то, что я написал?
PS. Помимо ИнфоБЕРЕГа на тему АСУ ТП буду также выступать 3-го октября на круглом столе в рамках " Инфобезопасности ".
