Безопасность промышленных систем в цифрах

[Василий Иванович]

Люди, факт наличия плохих парикмахеров не отменяет необходимости стричься. После стакснета уже любой скрипт кидди может налабать нечто подобное и запросто, скажем, оставить город без воды на пару дней. То, что ничего не случается, ни о чем в принципе не говорит. Проблема в том, что защищать установку - это не защищать офис. Здесь другая иерархия целей, которую понимает не каждый традиционный специалист по ИБ. Если в офисе в первую очередь важна конфиденциальность, потом целостность, а уж потом работоспособность системы, то у нас все наоборот - в первую очередь работоспособность, потом целостность, и уж потом конфиденциальность.

[VADR]

Это точно. Если офис ляжет на полчаса - планктон только рад будет внеплановому перерыву :). У нас же ситуация обратная - если оператор видит, что его операторский интерфейс отказал (а пофиг почему - это уж потом нам разбираться) - он жмёт аварийную кнопку (которая, естественно, никогда не рисуется на экране :) ).

[Ryzhij]

Поздравляю с "Днём специалиста по безопасности!", отмечаемым сегодня, 12 ноября.

Вообще-то это 10 ноября- не? :) http://ru.wikipedia.org/wiki/%D0%94%D0% ... 0%B8%D0%B8

Не, эти два праздника совмещать никак низ-з-зя. В целях безопасности ;)
http://www.calend.ru/holidays/0/0/1541/
http://pozdravok.ru/pozdravleniya/prazd ... opasnosti/

[scadastrangelove]

Коллеги, попытаюсь ответить/прокомментировать ваши вопросы. Прошу использовать для комментариев оригинал отчета, указанный топикстартером, Гаско Вячеслав (Ryzhij), а именно http://www.ptsecurity.ru/download/SCADA ... ussian.pdf. Чтобы не было как в том анекдоте (http://anekdot-good.info/?anek=5176).


>Ryzhij: Какое отношение к безопасности имеет востребованность специалистов в области АСУ ТП, знакомых с тем или иным пакетом программирования?

>Ryzhij: В случае с использованием косвенных данных с hh.ru не было даже намёка на попытку оценить степень корреляции количества заявок на специалистов на этом специфическом ресурсе с распространённостью уже внедрённых систем различных типов в России.


Это попытка оценить востребованность специалистов по тем или иным технологиям, один из способов проведения маркетинговых исследований (т.е. исследований рынка). И могу сказать, что выводы, а именно серьезное превосходство Siemens подтверждается и другими результатами, в особенности в нефтегазе. В энергетике его меньше, но например SPPA T-3000 тоже не на последнем месте в запросах на анализ защищенности.

Цитата из отчета:

"Мы получили представление о степени востребованности специалистов, обладающих опытом работы с той или иной системой, технологией, протоколом или программным продуктом. На основании этих данных можно приблизительно оценить доли различных производителей на рынке программных и аппаратных составляющих систем АСУ ТП"


Понятно, что в России достаточно много локальных производителей, но они не вошли в отчет. Причины также указаны в отчете.

"В статистику вошли только продукты и технологии, имеющие известные к настоящему моменту уязвимости. На российском рынке достаточно распространены решения АСУ ТП местных производителей. Однако, поскольку информация о проблемах безопасности этих систем недоступна, они не были включены в отчет."

И это только одна часть отчета.

>Ryzhij: как можно вот так в одну кучу свалить транспортные протоколы и технологию обмена данными?

Понятно, что это протоколы различного уровня (модели OSI). Но "сравнивать" их никто и не собирался. Просто оценить востребованность. Например если брать ИТ, я не вижу ничего страшно если будет написано в аналогичной манере про протоколы HTTP и IEEE 802.11/802.16, хотя это протоколы различных уровней.
Возможно мы неверно выбрали формат графика и надо было использовать не круговую диаграмму, которая подспудно подразумевает противопоставление, а столбчатую. В данном случае будет более корректно?

>BigDog: Меня удивили цифры в доле уязвимых АСУ ТП в России. Откуда такие выводы?

Позволю себе цитату из отчета

Для того чтобы понять, в какой мере описанные выше уязвимости могут быть использованы злоумышленником, было проведено обследование сети Интернет на предмет наличия уязвимых систем АСУ ТП. Поиск и проверка версий систем осуществлялась методами пассивного анализа с использованием поисковых машин (Google, Yahoo, Bing) и специализированных баз знаний, таких как Shodanhq, Every Routable IP Project. Полученная информация была проанализирована с точки зрения наличия уязвимостей, связанных с управлением конфигурацией, и уязвимостей, связанных с установкой обновлений.
К сожалению, использование пассивной методики не позволяет достоверно идентифицировать все выявленные уязвимости, поэтому большую часть информации в данном разделе нужно расценивать в качестве позитивного сценария: при детальном анализе количество обнаруженных уязвимостей неминуемо возрастет.

>Василий Иванович: У них как я понял принцип такой - что связывается с контроллером - то скада. Им нужно было заменить слово "скада" словом "промышленный софт"

Мы указываем это как компоненты АСУ ТП, это корректно? В английском есть термин ICS, мы решили что компоненты АСУ ТП это наиболее близкий русский вариант, это верно?

>Василий Иванович: Пускай до кучи ответит, чем WinCC отличается от PCS7

Позволю себе цитату из отчета

...На основании этих данных можно приблизительно оценить доли различных производителей на рынке программных и аппаратных составляющих систем АСУ ТП.
Согласно полученным данным, наиболее востребованными являются специалисты, имеющие навыки работы с решениями компании Siemens. Из шести самых распространенных продуктов четыре относятся к семейству Siemens SIMATIC:
- STEP 7 — разработка систем автоматизации на основе ПЛК (около 22,05%);
- WinCC и WinCC Flexible — создание человеко-машинного интерфейса (18,11% и 3,94% соответственно);
- SIMATIC PCS 7 — построение комплексных систем автоматизации (7,87%).

Краткий ответ: набором функциональных возможностей, стоимостью.

Если комментарий был о том, что PCS 7 включает в себя Step 7 и WinCC, то да, так и есть. Но "сравнивать" их никто и не собирался. Возможно мы неверно выбрали формат графика и надо было использовать не круговую диаграмму, которая подспудно подразумевает противопоставление, а столбчатую. В данном случае будет более корректно?

>Ryzhij: Добро бы в элементы SCADA у ребят попадали реальные составляющие системы, они же ухищряются включать туда утилиты для компиляции проектов в панели оператора и пакеты для программирования контоллеров.

Прошу прощения, но такого в отчете нет. Средства разработки указаны как компоненты АСУ ТП а не SCADA. Если такое следует из каких-то разделов отчета, прошу указать, посыпав голову пеплом исправим.

>Многие: Регуляторы...

Коллеги, прошу прощения за использование профессионального сленга, который действительно очень распространён в ИБ (см. https://www.google.ru/search?q=регуляторы+ИБ).
Будет ли корректно с вашей точки зрения использование фразы "регулирующих органов и организаций в области ИБ"?


Спасибо!

[Ryzhij]

Это попытка оценить востребованность специалистов по тем или иным технологиям, один из способов проведения маркетинговых исследований (т.е. исследований рынка). И могу сказать, что выводы, а именно серьезное превосходство Siemens подтверждается и другими результатами, в особенности в нефтегазе.

Будем спорить о вкусе апельсинов с теми, кто их ест? ;) Валяйте, только учтите, что мне для оценки ситуации на hh.ru ходить незачем. Я - инсайдер.
Гляньте в мой профиль, если не верите.
Я утверждаю, что в российской нефтянке сименс только-только начал появляться. Систем SCADA на нем практически нет. Попадаются только локальные системы управления отдельными агрегатами, не дотягивающие даже до уровня цеха.
О причинах такого положения пока умолчу.

Понятно, что это протоколы различного уровня (модели OSI). Но "сравнивать" их никто и не собирался. Просто оценить востребованность. Например если брать ИТ, я не вижу ничего страшно если будет написано в аналогичной манере про протоколы HTTP и IEEE 802.11/802.16, хотя это протоколы различных уровней.
Возможно мы неверно выбрали формат графика и надо было использовать не круговую диаграмму, которая подспудно подразумевает противопоставление, а столбчатую. В данном случае будет более корректно?

Сравнивать саму OPC технологию и с её же составлющими и отдельными частями (коммуникационными протоколами/драйверами связи)?
С таким же успехом можно сравнивать автомобиль с коробками передач от разных комплектаций того же автомобиля.
Такое сравнение будет выглядеть глупо на любой диаграмме.
Не менее глупо сравнивать число специалистов "широкого" и "узкого профиля".

>Ryzhij: Добро бы в элементы SCADA у ребят попадали реальные составляющие системы, они же ухищряются включать туда утилиты для компиляции проектов в панели оператора и пакеты для программирования контроллеров.

Прошу прощения, но такого в отчете нет. Средства разработки указаны как компоненты АСУ ТП а не SCADA. Если такое следует из каких-то разделов отчета, прошу указать, посыпав голову пеплом исправим.

Сергей, я уже не знаю как донести до Вас простую мысль: СРЕДСТВА РАЗРАБОТКИ НЕ ЯВЛЯЮТСЯ ЧАСТЯМИ (компонентами) ни АСУТП вообще, ни SCADA в частности.
Точно так же, как мастерок или лопата строителя (вкупе с компьютером архитектора) не являются частью (компонентом) дома, в котором Вы живёте.

Про то, что InTouch от Wonderware, загадочный WW и InTouch от Invensys, упоминаемые в отчёте, это один и тот же пакет Вам уже говорили?
Сейчас Woderware принадлежит Invensys.

Удачи!

[pike]

Было бы великолепно, если бы были указаны конкретные ляпы и недочеты.
Спасибо!

стр 6 "Таблица 1. Востребованность специалистов АСУ ТП"
- Fraunc (GE) - ошибка в написании и терминах, должно быть Fanuc-GE - некогда совместное предприятие двух компаний Fanuc и General Electric (GE)
- General Electrick MARK VIе - ошибка в названии компании, правильно General Electriс, MARK VIе - это ПТК, а не программный продукт.
- Advantech, Vipa, Delta, Mitsubishi - это названия компаний производителей средств автоматизации, а не программных продуктов.
Название таблицы корявое, да же с точки зрения бытовой логики.

[pike]

Еще очень показательна в плане общего барадака в отчете стр 29 "5.2. Типы систем АСУ ТП", где дается "Таблица 14. Компоненты АСУ ТП" и тут же представление данных из таблицы в виде "Рис. 16. Типы систем АСУ ТП". Фраза "Типы систем АСУ ТП", здесь кстати то же используется ошибочно. Сами же приведенные данные являются бессмысленными без разжевывания, что есть HMI (панели оператора?), SCADA/HMI, PLC (PC-based, web-controller ...?).

[scadastrangelove]

> BigDog: Сименса по сравнению с остальными системами там меньше всего. 1\10 наверное Это если не считать Газпрома

Коллеги, я не опровергаю наличие других систем. И возможно наши выводы по популярности Siemens (с учетом "лавочки", да) неверны. Не могли бы вы помочь и показать какие системы (с учетом приведенных ограничений, т.е. наличия уязвимостей) действительно наиболее распостранены?

>Ryzhij: Сравнивать саму OPC технологию и с её же составлющими и отдельными частями (коммуникационными протоколами/драйверами связи)?

Еще раз повторюсь, сравнения нет! Есть просто констатация количества запросов на специалистов, занющих ту или иную технологию. Глупо? Возможно. Но нам это было полезно с точки зрения решения определенных задач по приоретизации своих активностей и мы решили включить в отчет.

>Ryzhij: Сергей, я уже не знаю как донести до Вас простую мысль: СРЕДСТВА РАЗРАБОТКИ НЕ ЯВЛЯЮТСЯ ЧАСТЬЮ ни АСУТП вообще, ни SCADA в частности.

Хорошо. Но какой термин вы предложете для оъединения всех этих штук? Включая лопаты, тфу, средства разработки? Мы не нашли, поэтому сгенерировали "кальку" с английского ICS, добавив "компоненты", поскольку под ICS обычно пакеты разработки подразумеваются. Если есть устоявшийся термин, сообщите пожалуйста. Если нет, прошу предложить принятый вариант, который будет понятен специалистам.

>Ryzhij: Про то, что InTouch от Wonderware, загадочный WW

Спасибо, поправим

>Ryzhij: InTouch от Invensys

Да, но мы оставили так, поскольку именно так указано в описании уязвимостей и если кто-то будет искать по CVE/NVD, рискует не найти. Наверное стоит поменять в 6м графике.

>BigDog: Что касается поиска уязвимостей Гуглом- я еще ни одной АСУТП не видел с выходом в Интернет Вы о чем вообще?

This ALERT identifies several new exploit tools that were publicly released and that specifically target programmable logic controllers (PLCs).The update identifies that researchers used SHODAN search engine to compile a list of more than 500,000 control systems related devices using supervisory control and data acquisition (SCADA) and ICS-related search terms.
(October 25, 2012)

http://www.us-cert.gov/control_systems/ ... 46-01A.pdf

Ну или так, для наглядности:
https://www.google.ru/search?q="simatic ... niweb%20on"

>pike: стр 6 "Таблица 1. Востребованность специалистов АСУ ТП"

Спасибо, перепроверим!

>pike: ...Таблица 14. Компоненты АСУ ТП...без разжевывания...

Да, действительно, заголовок раздела не соответсует. Название " Компоненты АСУ ТП" в данном случае будет корректно? Разжевывать наверное не стоит, ведь это же общепринятые аббревиатуры? Или вы имели ввиду что-то другое?

[pike]

Да, действительно, заголовок раздела не соответсует. Название " Компоненты АСУ ТП" в данном случае будет корректно? Разжевывать наверное не стоит, ведь это же общепринятые аббревиатуры? Или вы имели ввиду что-то другое?

Попробую объяснить на пальцах, HMI - это все что обеспечивает получение информации/управление системой человеком: это может быть пульт собраный на лампах, кнопках и цифровых индикаторах, может быть панель оператора, может быть скада, может быть веб-сервер на самом контроллере или же смс'ки/e-mailы присылаемые контроллером вам на телефон/почту. Каждый из вариантов так же имеет массу внутренних особенностей, взять хотя бы кучу ОС в панелях оператора. Без конкретики в АСУТП ни куда, все ваши у язвимости не превязанные хотя бы к конкретному классу оборудования - это просто таскание воды в решете.

ЗЫ Компоненты АСУ ТП пожалуй ближе по смыслу.

[Василий Иванович]

>Василий Иванович: Пускай до кучи ответит, чем WinCC отличается от PCS7

Краткий ответ: набором функциональных возможностей, стоимостью.

Если комментарий был о том, что PCS 7 включает в себя Step 7 и WinCC, то да, так и есть. Но "сравнивать" их никто и не собирался. Возможно мы неверно выбрали формат графика и надо было использовать не круговую диаграмму, которая подспудно подразумевает противопоставление, а столбчатую. В данном случае будет более корректно?

Да какая разница, пирог или столбики, если у Вас в сумме сто процентов всё равно. Технология, лежащая в основе, идентична, а Вы выделяете PCS7 в отдельный кусок, хотя это не что иное, как WinCC + Step 7 в одном флаконе да плюс пару визардов и библиотек. Вы режете пирог по принципу "наклейка на коробке", хотя заявляете, что критерий различения между кусками - это технология.

[Jackson]

И снова я не понимаю, почему все эти вопросы автор задает уже после того как вся работа проделана. Где он был раньше? :) Специалисту в АСУТП ведь ничего не составило бы найти ответы на эти вопросы в процессе работы. Если бы специалист задался этими вопросами.

[scadastrangelove]

> BigDog: Вот интересно, мы Вам все расскажем, а Вы с этого отчета денег заработаете? Вообще-то такая информация количественная конфиденциальна.

Жаль, жаль... Возможно вы сможете подсказать какую-либо методику, позволяющую получить подобные числа хотя бы приблизительно?

>pike: ...Без конкретики в АСУТП ни куда, все ваши у язвимости не превязанные хотя бы к конкретному классу оборудования...

В исходных данных эти уязвимости привязаны кокретным системам. Т.е. если мы видели WinCC Flexible, то писали что это HMI.

>pike: ЗЫ Компоненты АСУ ТП пожалуй ближе по смыслу.

Спасибо!

>Василий Иванович: Да какая разница, пирог или столбики, если у Вас в сумме сто процентов всё равно

Да, включить столбчатую диаграмму с абсолютными значениями. См:http://2.bp.blogspot.com/-_BMz7YeZ8Kk/U ... 00/qnt.jpg. Нормально? Хотя принципиально числа в данном случае отличаться не будут, поскольку в знаменателе константа.

[pike]

В исходных данных эти уязвимости привязаны кокретным системам. Т.е. если мы видели WinCC Flexible, то писали что это HMI.

То есть в ваши "сети" попались только СУ с панелями оператора от Сименса? Это сразу же ставит под сомненье всю методику выборки.

[VADR]

> BigDog: Вот интересно, мы Вам все расскажем, а Вы с этого отчета денег заработаете? Вообще-то такая информация количественная конфиденциальна.

Жаль, жаль... Возможно вы сможете подсказать какую-либо методику, позволяющую получить подобные числа хотя бы приблизительно?

Вряд ли возможно, опираясь лишь на открытые источники, что-то подобное посчитать. Да и надо ли? Вас ведь интересуют безопасность систем, то есть в том числе - уязвимости этих систем. А уязвимости (если не считать общих, привнесённых операционными системами и т.п.) - у каждой системы свои. Вот, Сименс вы уже пощупали. Берите наугад других производителей, работайте с ними напрямую - думаю, ради такого дела они смогут и с тестовым оборудованием помочь.

[Jackson]

scadastrangelove, Сергей, вопрос не по теме.

http://rutv.ru/brand/show/episode/139985 - на этом видео Вы?

[Jackson]

Компания Positive Technologies, от имени которой выступает Сергей Гордейчик на телеканале Вести-24 (ссылка выше): http://www.ptsecurity.ru/about/

Цитата с сайта:

Основные направления деятельности компании:

• разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider.
• предоставление консалтинговых и сервисных услуг в области информационной безопасности;
• развитие специализированного портала по ИБ Securitylab.ru.

Собственно этот топик с них и начался: http://www.ptsecurity.ru/about/news/13045/

Так мы познакомились заодно и со специалистами SecurityLab.ru :)

[RSA]

>Если комментарий был о том, что PCS 7 включает в себя Step 7 и WinCC, то да, так и есть.
Что-что, простите, в себя включает SIMATIC PCS 7?

[scadastrangelove]

Коллеги, обновили текст с учетов ваших замечаний. Все ли корректно учли?
http://www.ptsecurity.ru/download/SCADA ... ian_v2.pdf

[RSA]

Что в лоб, что по лбу. Нет такой компании "Allen-Bradley".

[Romcheg]

"В наше время, когда уничтожают вредных насекомых, стерилизуя самцов, мы должны поднять уровень спора до абстрактной высоты. Давайте рассуждать о крахе и подъеме Голливуда, не видя ни одного фильма. Давайте сталкивать философов, не читая их работ. Давайте спорить о вкусе устриц и кокосовых орехов с теми, кто их ел, до хрипоты, до драки, воспринимая вкус еды на слух, цвет на зуб, вонь на глаз, представляя себе фильм по названию, живопись по фамилии, страну по «Клубу кинопутешествий», остроту мнений по хрестоматии.
Выводя продукцию на уровень мировых стандартов, которых никто не видел, мы до предела разовьем все семь чувств плюс интуицию, которая с успехом заменяет информацию. С чем и приходится себя поздравить.
Прошу к столу – вскипело!"

(с) Жванецкий.

Прошу прощения, не удержался... :D но это будет бесконечный спор о вкусе устриц с тем, кто их ест каждый день...

[Ryzhij]

4.4. Уязвимости по типам программно-аппаратных компонентов АСУ ТП

Наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых
логических контроллерах различных производителей за отчетный период нашли 20 уязвимостей.

Уязвимости средств разработки, как правило не являются чем-то специфическим и совпадают с уязвимостями компонентами SCADA/HMI, входящих в средства разработки.

Если насчёт средств разработки и самой SCADA ещё можно как-то принять заявление о совпадении уязвимостей, то в части HMI (львиную долю которых составляют панели оператора, а не ПК) это утверждение ложно.

[pike]

то в части HMI (львиную долю которых составляют панели оператора, а не ПК) это утверждение ложно.

В связи с удешевлением базы панелей операторов и необходимостью прикручивать "перламутровые пуговицы" там где они не нужны, многие изготовители панелей оператора перешли на WINCE в качестве ОС. И иногда разработчики забывают поставить нужные галочки при сборке, из-за чего через Ethernet легко удается поменять календарь для подделки журнала аварий, например, или вытащить проект который защищен от скачивания.

[Ryzhij]

...многие изготовители панелей оператора перешли на WINCE в качестве ОС. И иногда разработчики забывают поставить нужные галочки при сборке, из-за чего через Ethernet легко удается поменять календарь для подделки журнала аварий, например, или вытащить проект который защищен от скачивания.

Спасибо за дополнение и наглядную иллюстрацию того, что далеко не всегда уязвимости конечного продукта наследуются от средств разработки.
В среде исполнения вполне могут быть и свои собственные дыры, отличающиеся от дыр в среде разработки.

[scadastrangelove]

>RSA: Что в лоб, что по лбу. Нет такой компании "Allen-Bradley".

Виноват, исправим

> Ryzhij: В среде исполнения вполне могут быть и свои собственные дыры, отличающиеся от дыр в среде разработки.

Ни кто не отрицает этого факта. Во многом (как правило) совпадают, но могут и различаться. Особенно это касается уязвимостей, связанных с конфигурацией. Но по текущим опубликованным уязвимостям совпадение достаточно большое.

-----

Коллеги, нет возражений по поводу наличия ссылки на asutpforum.ru?

[VADR]

А почему у вас такой однобокий подход к уязвимостям? А уязвимости применяемых технологий - не рассматриваете? Вот придёт, к примеру, злоумышленник в цех, подключится HART-коммуникатором (или ноутом с HART-модемом) к датчику, который в ПАЗ задействован, перенастроит шкалу - и кирдык: датчик показывает ложную информацию, оператор не в курсе, объект фактически в аварийном режиме, должен по идее аварийно встать, но не встаёт из-за ложной входящей информации. Кирдык, авария.