Страна заповедных зловредов

Об особенностях защиты и обновления ОТ-инфраструктуры.

Как организовать безопасное обновление и модернизацию ОТ-инфраструктуры, чтобы это не привело к нарушениям в производственном процессе?

Я давно и часто говорю: антивирус мертв.

На первый взгляд странная фраза, в особенности от человека, который стоял практически у истоков этого самого антивируса в бородатых 90-х. Но если внимательно пожевать тему, да с авторитетными источниками, то утверждение приобретает логичность: во-первых, антивирусы превратились в защитные решения «против всего», а во-вторых, вирусов, как разновидности вредоносных программ, не осталось. Но есть нюанс: почти не осталось.

И где же сейчас обитают это заповедные твари краснокнижного зловредства?

А вот прям здесь, под боком. В одной из самых консервативных областей автоматизации — операционных технологиях (ОТ, не путать с IT — информационными технологиями). Не буду впадать в занудство чрезмерно глубокого раскрытия существа темы — уточню проще: ОТ — это системы управления на фабриках-заводах, электростанциях, транспорте, в добыче-обработке и подобных «тяжелых» секторах-отраслях. Да, вы правильно поняли — компьютерные вирусы довольно часто встречаются в критической инфраструктуре! Около 3% инцидентов вызваны именно этим видом зловредства.

Почему так получается?

На самом деле ответ уже звучал выше. ОТ — очень консервативная область. Здесь давно и прочно в иконостасе схемы принятия решений стоит аксиома: «работает — не трогай!». В ОТ с большим скепсисом смотрят на любые нововведения (включая обновление софта). Увы, здесь запросто можно встретить компьютеры с устаревшими Windows 2000, античный софт со множеством уязвимостей, чудовищные дыры в политиках безопасности и прочие ночные кошмары IT-безопасника. По этой причине вся кибергадость, которую уже давным-давно вывели в IT-инфраструктурах (с помощью современных систем и методик защиты), вполне неплохо себя чувствует в OT-сетях.

Посмотрите на топ-10 самых распространенных «олдскульных» вредоносов, замеченных на OT-компьютерах:

Топ-10 самых распространенных вредоносов, замеченных на OT-компьютерах.

Sality! Virut! Nimnul! Кто-то может сказать «подумаешь 0,14%!».

Ну, во-первых, это только в «спящей» фазе — время от времени, когда вирусу случается вырваться за пределы одной зараженной системы и распространиться по всей сети, начинается настоящая локальная эпидемия. Причем вместо полноценного лечения обычно раскатывают старый добрый бэкап, к слову не всегда «чистый». Кроме того, заражению подвергаются не только рабочие машины, но и промышленные контроллеры (ПЛК)! Задолго до появления Blaster (proof-of-concept-червя, способного заражать прошивки ПЛК) загрузчик Sality был уже там. Ну почти — не в прошивке, конечно, а в виде скрипта в HTML-файлах веб-интерфейса.

Что же до последствий, тот же Sality может очень сильно испортить производственный процесс — банальная порча памяти, вызванная загрузкой зловредного драйвера, а также заражение файлов и памяти приложений в считаные дни доведут любую систему управления (АСУ) до отказа. А в случае активного заражения еще и сеть может лечь, так как уже с 2008-го Sality использует peer-to-peer-коммуникации для обновления списка активных центров управления. Едва ли производители АСУ писали код с расчетом на столь агрессивную среду.

Во-вторых, 0,14% за месяц — это тысячи критических инфраструктур по всему миру. Тем более что этот риск можно запросто исключить вообще, и довольно простыми методами.

А в-третьих — ну решето же! Немудрено, что сплошь и рядом всплывают новости об успешных атаках на фабрики-заводы других вредоносов, в частности шифровальщиков-вымогателей (например, Snake vs Honda).

В общем, получается типичный конфликт приоритетов. Да, хочется, чтобы производственный процесс был непрерывным. Но что несет этой хотелке больший риск: консервативность в инновациях и обновлениях софта или возможность подцепить заповедный (и не только) зловред? Действительно, перед ОТ-специалистом стоит непростой выбор: в случае отказа быть порицаемым за бездействие или… за действие? Сейчас чаша весов склоняется к первому.

Дилемма сложная, но у нас есть для нее эффективная таблетка :)

Как проложить безопасную дорожку для инновации и обновлений? Так, чтобы они ничего не нарушили в производственном процессе? В прошлом году мы получили два патента (RU2755252 и RU2755006), которые описывают именно такую систему.

Вкратце: прежде чем что-то внедрять, надо это «что-то» тщательно протестировать (свежо!). Однако тестировать не на работающем процессе, а на специальном стенде, который эмулирует критические производственные функции.

На стенде воспроизводится конфигурация действующей ОТ-сети, которая включает реальные девайсы (компьютеры, ПЛК, датчики, коммуникационное оборудование, прочий IoT-зверинец) и взаимодействие между ними — производственный процесс. На входы стенда подается тестируемый образец софта, за которым начинает наблюдать «песочница» — записывать все его действия, наблюдать за откликом сетевых узлов, изменением их производительности, доступностью соединений и многими другими атомарными характеристиками. Полученные таким образом данные позволяют построить модель, описывающую риски нового софта, и принимать взвешенные решения как о его внедрении, так и… правильно — доработки ОТ-сети для исправления выявленных уязвимостей!

Дальше — еще интереснее.

На входы стенда можно подавать вообще все что угодно! Не только новый софт и обновления уже установленного. Но и, например, проверять устойчивость к вредоносным программам, которые могут проникнуть в защищенную промышленную сеть в обход внешних средств защиты.

Такая технология открывает бизнес-перспективы в области страхования. Страховщики смогут более осведомленно оценивать киберриски и проводить калькуляцию страховой суммы, а страхуемые не будут переплачивать за воздух и «пальцем в небо». Стендовое тестирование может использоваться производителями промышленного оборудования для сертификации софта и харда сторонних разработчиков. Развивая мысль дальше, такая схема подойдет и для отраслевых сертификационных центров. Ну и конечно, безграничное пространство для исследований в образовательных учреждениях!

Однако вернемся к нашему заводскому стенду.

Разумеется, что никакая эмуляция не сможет на 100% воспроизвести все разнообразие процессов в ОТ-сети. Но благодаря построенной модели мы уже знаем, откуда ждать, простите за тавтологию, нежданчик после внедрения нового софта! И можем надежно контролировать ситуацию другими методами, например системой раннего обнаружения аномалий MLAD (подробно писал о ней здесь), которая по прямым или косвенным корреляциям определяет, что на таком-то участке производства что-то не так. И, соответственно, предотвращать миллионные и миллиардные убытки от инцидентов. М — многоуровневый контроль!

Насколько сложно сделать стенд?

Хороший вопрос из серии соответствия овчинки выделке. И на него есть тоже хороший и простой ответ: овчинка сполна окупит выделку для любого крупного предприятия. ОТ-сети консервативны (где-то уже это было) к изменениям, и стенд будет служить «долго и счастливо» без существенных дополнительных вложений. Эффект от модернизации сети и минимизации сопутствующих рисков (регуляторных, репутационных, операционных) очень быстро окупят инвестиции. Не говоря о сохраненных нервах ОТ-специалистов.

Советы