РСПП_v071 2019.pptx

1. РСПП 2019 Наступательная кибербезопасность в ТЭК https://itsecint.ru/news/press-reliz/sostoyalos-zasedanie-komiteta-rspp-po-energeticheskoy-politike-i-energoeffektivnosti/

2. О нас Илья Карпов • эксперт по кибербезопасности промышленных систем управления • > 5 лет работы с системами АСУ ТП • > 6 лет в ИБ • исследователь • организатор международного форума PHDays 3-8 • сооснователь сообщества RuScadaSec • участник группы РНК СИГРЭ ПРГ № 2 D2/В5 Дружинин Евгений • эксперт по кибербезопасности промышленных систем управления • > 11 лет в ИБ • исследователь • организатор международного форума PHDays 5-8 • сооснователь сообщества RuScadaSec • наблюдатель группы РНК СИГРЭ ПРГ № 2 D2/В5

3. Инициатива Независимая некоммерческая инициатива по развитию открытого русскоязычного международного сообщества специалистов по промышленной кибербезопасности / кибербезопасности АСУ ТП Целями инициативы являются повышение осведомлённости и квалификации специалистов по безопасности и промышленной автоматизации, развитие профессиональных связей между специалистами и организациями, содействие развитию рынка, развитие связей с профильными международными сообществами, и в итоге повышение уровня безопасности на промышленных предприятиях https://www.ruscadasec.ru/

4. Часть 1 Никакие типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут гарантировать полную защиту информации, информационных систем, сервисов или сетей. ГОСТ Р ИСО/МЭК 18044-2007

5. Компоненты https://www.slideshare.net/IlyaKarpov2/phdays-8-blackout

6. Компоненты и уязвимости в них Распределение опубликованных на ICS CERT уязвимостей по компонентам АСУ ТП за 2018 год Количество опубликованных уязвимостей на ICS-CERT за 2017 и 2018 годы * Уязвимости РЗА и ПО для РЗА с 2015 года от общего объема уязвимостей, 1-2% https://ics-cert.kaspersky.ru/category/reports/ https://ics-cert.us-cert.gov/

7. Степень критичности * Большинство уязвимостей, получивших 10 баллов, связаны с проблемами аутентификации или переполнением буфера. Больше половины выявленных в системах АСУ ТП уязвимостей (в 2018 - 284, а в 2017 - 194) получили оценку более 7 баллов по шкале CVSS версии 3.0 Оценка степени риска от 9 до 10 критическая от 7 до 8,9 высокая от 4 до 6,9 средняя от 0 до 3,9 низкая Количество уязвимостей в 2018 году 92 192 128 3 https://ics-cert.kaspersky.ru/category/reports/ https://ics-cert.us-cert.gov/ https://www.first.org/cvss/calculator/3.0 https://bdu.fstec.ru/cvss3

8. Классификация https://ics-cert.kaspersky.ru/category/reports/ https://ics-cert.us-cert.gov/ Common Weakness Enumeration CWE — система классификации ошибок, приводящих к уязвимостям https://ru.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures ТОП уязвимостей компонентов АСУ ТП по классификации на 2018 год по данным ICS-CERT Более 1000 идентификаторов кодов ошибок с примерами и описанием https://cwe.mitre.org/data/published/cwe_v3.2.pdf

9. Вектора и вероятность атак Возможные векторы атак и процент компьютеров АСУ, на которых были задетектированы вредоносные объекты, в странах мира, по результатам Kaspersky Lab ICS CERT https://ics-cert.kaspersky.ru/category/reports/ https://ics-cert.us-cert.gov/

10. Что интересней 1. Все исполнительные устройства 2. Поиск опубликованных уязвимостей и exploit 3. Открытые коммуникационные управляющие протоколы 4. Инженерное ПО или Firmware update 5. Web-интерфейсы и популярные сетевые сервисы 6. Сервисные сетевые протоколы и Web-интерфейсы 7. Поиск возможностей обхода авторизации 8. Фаззинг на вероятность переполнения или ошибок 9. Различные исследования и реверс инжиниринг 10. Изучение специфики и функциональная безопасность с л о ж н о с т ь

11. МЭК-60870 (104) • Открытый стандарт • Нет аутентификации • Без шифрования и т.д. https://habr.com/ru/post/280818/

12. МЭК-61850 (GOOSE) Подмена данных https://www.slideshare.net/IlyaKarpov2/phdays-8-blackout

13. МЭК-61850 (MMS) Отправка управляющих команд с любого устройства https://www.slideshare.net/IlyaKarpov2/phdays-8-blackout

14. Незабываемая классика Siemens Simatic S7-300/400 - CPU START/STOP Module (Metasploit) https://www.exploit-db.com/exploits/19831/

15. Airbus и SIMATIC linkedin профиль: “Support, management and planning in the maintenance of industrial machines involved in the A320, A350 and A380 of areas inside the Airbus plant in Illescas.” CNC 840D SL / SINAMICS S120 Maintenance (SIEMENS) SIMATIC S7 300/400 Level 1 (SIEMENS) https://es.linkedin.com/in/antonio-guerrero-espartero-3007092a/es

16. Признанная классика Schneider Electric Modicon Modbus Protocol - CPU run, stop, upload, and download https://ics-cert.us-cert.gov/advisories/ICSA-17-101-01

17. Этапы появления зловредного ПО Havex 2014 Stuxnet 2012 Trisis/ Triton 2017 LockerGoga 2019 https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/

18. Industroyer (CrashOverride) IEC 60870-5-101, IEC 60870-5-104, IEC 61850, и OLE for Process Control Data Access (OPC DA)... • Первое комплексное вредоносное ПО для энергетической отрасли • Многие детали модернизации атакуемой подстанции общеизвестны подстанция Укрэнерго, обслуживающая север Киева %LAUNCHER%.exe %WORKING_DIRECTORY % %PAYLOAD%.dll %CONFIGURATION%.ini Crash101.dll 101.dll 104.dll Crash101.dll D2MultiCommService.exe 61850.exe 61850.dll i.ini OPCClientDemo.dll haslo.dat haslo.exe SYS_BASCON.COM … https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

19. Industroyer и РЗА Терминалы SIEMENS SIPROTEC 4 Firmware Update (пароль не нужен) Терминалы GE Multilin UR Firmware Update (стандартный пароль) • Использование специалистов наладчиков для разработки атакующего ПО • Нет явных признаков, что подстанция являлась стратегической целью CVE-2015-5374

20. Triton (Trisis/Hitman) 2017 • Нефтехимический завод • Только для аварийной системы • Старые версии Triconex 3008 • Безопасное отключение ПЛК при загрузке данных в память контроллера • Маскировка под инженерное ПО используя протокол TriStation https://dragos.com/wp-content/uploads/TRISIS-01.pdf https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html https://www.slideshare.net/MarinaKrotofil/

21. Triton (Trisis/Hitman) 2017 https://www.nozominetworks.com/downloads/US/Nozomi-Networks-TRITON-The-First-SIS-Cyberattack.pdf • Вшитые учетные записи (backdoor) T****FD и T****BD в TriStation 1131 версии 4.9.0 и ниже позволяют получить доступ к файлу проекта, где находятся дополнительные функциональные возможности • Однако Tritin использовал возможность читать и писать любые данные изв памяти ПЛК, без backdoor

22. Венесуэла 2019 https://www.slideshare.net/MarinaKrotofil/ электростанция "Эль-Гури" https://twitter.com/cherepanov74

23. ABB и OPC • Имена элементов дают основание предполагать, что атакующих интересует элементы OPC, предоставленные серверами OPC, которые относятся к решениям ABB, такие как линейка MicroSCADA. • SYS_BASCON.COM https://habr.com/ru/company/eset/blog/330730/ Атакующие используют строку Abdul при добавлении новой группы OPC. Возможно эта строка используется атакующими в качестве сленгового названия решений ABB. ctlSelOn ctlOperOn ctlSelOff ctlOperOff Pos и stVal

24. Norsk Hydro 2019 • Шифровальщик (стиратель) LockerGoga • IT инфраструктура (сервера компании) • Ущерб $34,8 — $40,6 млн • Работа систем АСУ ТП продолжалась • Распространение через Active Directory и Hexion и Momentive Ryuk https://regnum.ru/news/2606716.html https://labsblog.f-secure.com/2019/03/27/analysis-of-lockergoga-ransomware/

25. Взгляды на ИБ АСУ ТП Производитель системы управления • Быстрее запустить продажи, потом добавим • Нет требований к ИБ - нет ИБ • Встроенные методы защиты по собственному желанию • Добавить еще больше возможностей и функций • IIoT это ведь доступ через Интернет? Интегратор • Нет требований, нет лишней работы • Заказчик должен сам обеспечить ИБ • Функциональная безопасность – защита от дурака • Все сделали по документации и ТЗ • Производитель уверил, что все безопасно Эксплуатация • Не трогай, не сломается • Так и должно быть • Быстрее и удобнее • Пароли можно менять? • Что такое ИБ? • Нет ресурсов на поддержку • Посмотрим, подождем Интегратор ИБ • Инциденты по всему миру • Нет сегментации? • Нет документации? • Кто это все разместил? • Нужно срочно защищать • ФЗ 187 • Stuxnet Поддержка информационных систем • Настроил и забыл • Максимум доступности • Простые пароли • Больше RPD • Я не ответственен за это

26. Часть 2

27. Цифровое оборудование для ТЭК Использование Embedded систем основанных на доступных платформах и архитектурах процессоров https://www.slideshare.net/MarinaKrotofil/

28. Цифровое оборудование и ПО для ТЭК Использование распространённых ОС и зачастую доступного ПО для разработки https://www.slideshare.net/MarinaKrotofil/

29. Безопасное программирование Secure coding — методика написания программ, устойчивых к атакам со стороны вредоносных программ и злоумышленников. https://en.wikipedia.org/wiki/Secure_coding Анализ исходного кода? Сканеры уязвимостей? Фаззинг? Динамический анализ? Жизненный цикл безопасной разработки?

30. Доверие? Количество опубликованных уязвимостей в продуктах, используемых в различных отраслях ICS-CERT в 2017 году ICS-CERT в 2018 году https://ics-cert.us-cert.gov/

31. Исправить за 5 лет • Уязвимость не уязвимость • Обфускация с помощью таблицы ASCII • Полный доступ к управлению .0 .1 .2 .3 .4 .5 .6 .7 .8 .9 .A .B .C .D .E .F 0. NUL SOH STX ETX EOT ENQ ACK BEL BS TAB LF VT FF CR SO SI 1. DLE DC1 DC2 DC3 DC4 NAK SYN ETB CAN EM SUB ESC FS GS RS US 2. AI BI CI DI AJ BJ CJ DJ AK BK CK DK AL BL CL DL 3. AM BM CM DM AN BN CN DN AO BO CO DO AP BP CP DP 4. EA FA GA HA EB FB GB HB EC FC GC HC ED FD GD HD 5. EE FE GE HE EF FF GF HF EG FG GG HG EH FH GH HH 6. EI FI GI HI EJ FJ GJ HJ EK FK GK HK EL FL GL HL 7. EM FM GM HM EN FN GN HN EO FO GO HO EP FP GP DEL .0 .1 .2 .3 .4 .5 .6 .7 .8 .9 .A .B .C .D .E .F 0. NUL SOH STX ETX EOT ENQ ACK BEL BS TAB LF VT FF CR SO SI 1. DLE DC1 DC2 DC3 DC4 NAK SYN ETB CAN EM SUB ESC FS GS RS US 2. ! " # $ % & ' ( ) * + , — . / 3. 0 1 2 3 4 5 6 7 8 9 : ; < = > ? 4. @ A B C D E F G H I J K L M N O 5. P Q R S T U V W X Y Z [ ] ^ _ 6. ` a b c d e f g h i j k l m n o 7. p q r s t u v w x y z { | } ~ DEL 0=AM, 1=BM, 2=CM, 3=DM, 4=AN, 5=BN, 6=CN, 7=DN, 8=AO, 9=BO

32. Важность процедур раскрытия информации БДУ ФСТЭК https://bdu.fstec.ru/

33. Регламенты БДУ ФСТЭК Устранение уязвимостей критического или высокого уровня, рекомендуемый срок – 30 дней. Устранение уязвимостей среднего или низкого уровня, рекомендуемый срок – 60 дней. Производитель компонентов систем АСУ ТП должен выслать данные об уязвимостях в течение 3 рабочих дней с даты выявления https://bdu.fstec.ru/site/regulations https://bdu.fstec.ru/documents/files/regulations.rtf Раскрытие информации об уязвимости осуществляется путем размещения ФСТЭК России описания уязвимости в Банке данных угроз.

34. Кейсы https://www.facebook.com/RUSCADASEC/

35. CVE-2015-5374 x11x49x00x00x00x00x00x00x00x00x00x00x00x00x00x00x28x9e Отключение терминалов Siprotec4 https://www.youtube.com/watch?v=dtUGxbxsjJY

36. ICSA-18-067-01 Получение паролей к SIPROTEC 4 https://www.slideshare.net/IlyaKarpov2/phdays-8-blackout

37. ICSA-18-067-01 Постоянно обновляйте прошивку EN100 модулей Название деревни во Франции Полный доступ к SIPROTEC 4 https://www.youtube.com/watch?v=FrpX3THqSTw

38. DIGSI4 Название деревни во Франции Управление SIPROTEC 4 https://www.youtube.com/watch?v=FrpX3THqSTw

39. CVE-2018-20720 Перезагрузка терминалов Relion 630

40. ICSA-18-011-03 и CVE-2018-7243 Обход авторизации

41. ICSA-18-065-01 11111111111111111111111 = 22222222222222222222222 PASSWORD = OZRRVWNRC -> CRNWVRRZO + - = Шифр Цезаря и Абташ

42. Часть 3 Анализ защищенности, ИТ vs АСУ ТП

43. Наша сеть отделена/построена по всем канонам Сравнение топологии сети с задокументированной и с реальной

44. Векторы, такие векторы Сеть с точки зрения атакующего

45. Векторы/Атака на КИС/Внешка https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/

46. Векторы/Атака на КИС Уязвимости сетевого периметра

47. Векторы/Атака на КИС https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/

48. Векторы/Атака на КИС От простых паролей до непропатченных систем

49. Векторы/Атака на КИС

50. Использование учетных записей по умолчанию • apcapc • Передача данных в открытом виде Результат: CVE-2017-8371 и учетная запись администратора домена

51. Векторы/Атака на КИС Wi-Fi удобно! Атакующему тоже! https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/

52. • Конфиденциальная информация общедоступна • Общий сетевой ресурс • Одна учетная запись на всех https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/ Векторы/Атака на КИС

53. Векторы/Атака на ТС https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/

54. Векторы/Атака на ТС Избыточные возможности вспомогательного оборудования

55. Векторы/сквозной пробой до ТС Выявление нелегитимных точек входа в производственную или офисную сеть и прохода через них до систем управления

56. Векторы/сквозной пробой до ТС Выявление нелегитимных точек входа в производственную или офисную сеть и прохода через них до систем управления

57. Векторы/сквозной пробой до ТС Зачем заборы и КПП?

58. Мы в сети АСУ ТП

59. Но тут не все так просто

60. Чтоб не бахнуло! Работы в 2 этапа: • На «живом» объекте • В лаборатории

61. На «живом» объекте • На рабочей системе o Визуальный осмотр o Физ. безопасность o Технический аудит o Продвинутый анализ на полукомплекте • В технологические окна o Глубокий технический аудит с возможным применением инструментального анализа

62. Визуальный осмотр

65. Технический анализ/Режим киоска

66. Технический анализ/Учетные записи • Вшитые простые учетные записи БД • Использование БД для удаленного доступа • Получение данных учетных записей SICAM PAS • Все версии SICAM PAS до 8.09 Результат: CVE-2016-8567 (CVSSv3 9.8) и CVE-2016-5848 - полный доступ Base 64 -> Hex -> SHA1 4E7AFEBCFBAE000B22C7C85E5560F89A2A0280B4:Admin

67. Технический анализ/ПО

68. Технический анализ/Конфигурации Tracing route to 8.8.8.8 over a maximum of 30 hops 1 1 ms 1 ms 1 ms 192.168.1.10 2 34 ms 22 ms 34 ms 172.11.x.x 3 * * * Request timed out. 4 16 ms 21 ms 24 ms 213.97.x.x 5 27 ms 21 ms 22 ms 212.178.x.x 6 44 ms 24 ms 23 ms 196.33.x.x 7 19 ms 21 ms 21 ms 212.177.x.x 8 34 ms * 20 ms 195.24.x.x 9 30 ms 22 ms 20 ms 216.232.x.x 10 27 ms 21 ms 22 ms 8.8.8.8

69. Анализ систем в лаборатории • Общая аналитика o Определение угроз тех. процессу, моделирование реальных угроз o Перенос выявленных ошибок с «живого» объекта на модель угроз o Перенос результатов технического анализа на модель угроз • Технический анализ o «Жесткий» инструментальный анализ o Ручной анализ o Снятие и реверс прошивок o Анализ криптографии o Анализ аппаратных средств o Моделирование атак на тех. процесс в соответствии с моделью угроз

70. Анализ систем в лаборатории Результаты работы в лаборатории • Множественные уязвимости (например, представленные в части «кейсы» нашей презентации): o CVE-2015-5374 o CVE-2018-20720 o ICSA-18-067-01 o ICSA-18-065-01 o ICSA-18-011-03 o CVE-2018-7243 o CVE-2016-8567 … • Модели угроз для различных тех. процессов • Анализ и выявление вредоносного кода • Аналитика как общая, так и специализированная https://www.slideshare.net/IlyaKarpov2/

71. Пентест vs комплексный анализ (аудит) Пентест выявляет векторы, базируясь на ограниченном количестве уязвимостей, цель - проход до технологической сети Комплексный анализ, помимо пентеста, выявляет в том числе: • Архитектурные проблемы; • Более широкий охват уязвимостей в компонентах АСУ ТП; • Уязвимости ИТ-инфраструктуры, напрямую влияющие на ТС; • Выявление недостатков в применяемых Заказчиком мерах информационной безопасности; • Ошибки конфигураций оборудования и ПО; • Выявление сокрытых инцидентов; • Проверка на соответствие стандартам безопасности, таким как ФСТЭК №239 и №31, NIST 800-82, Security Guide производителя системы АСУ ТП и т.п. • Комплексной оценки текущего уровня защищенности систем АСУ ТП, возможных средств безопасности, сетевого оборудования или всех возможных смежных систем.

72. Выводы • С 2010 г. по 2019 г. безопасность компонентов АСУ ТП перешла из состояния бедственного к плачевному; • Технологическая сеть по сей день беззащитна от атакующего воздействия и требует внедрения дополнительных средств защиты; • Сетевая IT и АСУ ТП инфраструктура требует постоянного контроля; • Оценка эффективности существующей защиты от киберугроз достаточно глубока во время технического останова; • Обучение ИБ персонала специфике АСУ ТП, повышение осведомленности персонала АСУ ТП в вопросах ИБ; • ФЗ 187 нужен и его надо исполнять.

73. Вопросы? scadaxsec@gmail.com

РСПП_v071 2019.pptx

Vous êtes en train de lire un aperçu.

Consultez-les par la suite

РСПП_v071 2019.pptx

Plus De Contenu Connexe

Similaire à РСПП_v071 2019.pptx (20)

Plus récents (19)