Угроза АСУ ТП растет

Угроза АСУ ТП растет
Американцы отмечают рост угроз для АСУ ТП. Это связано не только с ростом числа уязвимостей в системах, отвечающих за управление технологическими процессами, но и с ростом интереса различных хактивистских и анархистских групп. И если раньше атаки на АСУ ТП были уедом избранных, то сегодня это все больше и больше становится мейнстримом. Уже разработано немало инструментов, которые облегчают решение этой задачи. Речь идет и о специализированных поисковых системах, которые облегчают обнаружение АСУ ТП, смотрящих в Интернет, и о выпуске модулей для Metasploit, автоматизирующих поиск уязвимостей в АСУ ТП Rockwell, GE, Schneider Electric, Koyo и WAGO.

Для борьбы с этой угрозой необходима целенаправленная работа, заключающаяся в понимании той модели угроз, с которой нам придется работать, и с теми информационными потоками, которые циркулируют в АСУ ТП.


Уже после изучения данной картинки становится понятны и потенциальные точки приложения сил злоумышленников и методы их нейтрализации. Причем, тут можно выстраивать защиту не только с помощью специализированных инструментов (например, Cisco IPS for SCADA ), но и собственноручно создавая сигнатуры для свободно-распространяемой IDS Snort. Например, обнаружение использование уязвимости переполнения буфера в АСУ ТП Siemens может выглядеть так:

alert tcp any any -> any 7580 (msg:”ETPRO SCADA Siemens Tecnomatix FactoryLink CSService GetFileInfo path Buffer Overflow”; flow:to_server,established; content:”LEN|00|”; depth:4; byte_test:4,>,1028,0,little; content:”|99|”; distance:8; within:1; content:”|99 00 00 00 0a 00 00 00 01 06|”; distance:0; byte_test:4,>,1024,0,big; classtype:attempted-user; reference:url,digitalbond.com/tools/quickdraw/vulnerability-rules; sid:1111676; rev:1;)

а обнаружение атаки "отказ в обслуживании" на Rockwell Automation’s RSLogix и FactoryTalk так:

alert tcp any any -> $HOME_NET $ROCKWELL_PORTS (msg:”Rockwell RNA Message Negative Header Length”; flow:to_server; content:”rna|f2|”; byte_test:1,&,0
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!