Анализ реального взлома нефтяной компании с Ближнего...
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая Алексей Лукацкий Бизнес-консультант по безопасности 28 May 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
What about a Stuxnet-style exploit?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Часто мы судим об атаках на АСУ ТП из СМИ
• http://www.wired.com/2015/01/german-steel-mill-hack-destruction/ Манипуляция в АСУ ТП, предотвратившая отключение доменной печи Доступ в индустриальный сегмент через бизнес сеть Доступ в бизнес-сеть через узконаправленный фишинг Компрометация множества систем: это привело к невозможности отключения Злоумышленник обладал высокой квалификацией и знанием по атакуемой системе
Атака на нефтяную компанию. Кейс 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Факт • Проникновение в индустриальный сегмент нефтяной компании
(Ближний Восток)
Как произошло • Использование методов социального инжиниринга для воздействия на оператора ночной смены, «отдыхающего» в Facebook, с последующей компрометацией его ПК и проникновением в индустриальный сегмент
Последствия • 3 дня простоя
А это то, с чем пришлось столкнуться на практике
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Сценарий проведенной атаки: случай №1
Злоумышленник нашел в Facebook оператора ночной
смены
Злоумышленник «подружился» с оператором
Нарушитель ищет персональные
данные оператора
Нарушитель использовал социальный инжиниринг
Оператор открывает
фейковый линк и заражается
Нарушитель скачивает базу данных SAM &
подбирает пароль
Нарушитель входит в систему, запускает
процедуру shutdown
Оператор реагирует очень медленно (не верит, что это с ним
происходит!)
Злоумышленник меняет условия работы АСУ ТП
Удаленная площадка теряет
функцию удаленного запуска
Удаленная площадка остается недоступной в течение 3+ дней
Снижение объемов переработки
нефтепродуктов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Фокус атаки был на нефтепереработку
Добыча Транспортировка Переработка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Хотя атака могла быть направлена и на другие АСУ ТП
Разведка Разработка Добыча
Морские платформы
Обработка Транспорт
Хранение & Транспорт
Торговля
Очистка Маркетинг
Маркетинг
Исследования & Разработка, Инжиниринг, Высокопроизводительные вычисления
Source: Cisco IBSG Oil & Gas Team, May 2011- in collaboration with Global Oil & Gas BDMs Note- excludes alternative energy such as wind etc
Газ Нефть Key
Офисное оборудование, Call Center, ЦОДы
Добыча Хранение и транспорт Переработка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Ночь… пустыня, скучающий оператор и Facebook
1970-е 2010-е
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Социальная сеть как точка отсчета атаки
• Активный поиск интересующих кандидатов В том числе и для последующей разработки – атака может происходить спустя месяцы, когда бдительность притупляется
• Привлечение интересующего кандидата за счет изучения его интересов и привычек Люди не склонны скрывать эти сведения
• Предложение дружбы Возможно с разных фальшивых учетных записей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Но иногда вы сами помогаете хакерам
• Установив «дружеские» взаимоотношения в социальной сети и выждав время, нарушитель пытается заразить компьютер оператора ночной смены
• Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Фальшивый сайт заражает ПК оператора ночной смены
• Ночью обычно внимание притупляется
• При отсутствии движухи (инцидентов) человек скучает
• Нарушитель учел психологию и физиологию оператора нефтяной компании, а также и часовой пояс, в котором она находится
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Другой вектор заражения – через электронную почту
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
И вновь оператор попадает на фишинговый сайт
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Настройки браузера только облегчают заражение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Дальнейшие действия предсказуемы
• Скачивание базы хешей паролей и использование инструментария для их подбора
• Этап возможен за счет использования «устаревшей», необновляемой и уязвимой платформы
• С реквизитами доступа можно осуществлять уже дальнейшее проникновение
Уровень 0 Распределенные I/O
Уровень 3 Управление и контроль
Уровень 2 Контроль процессов
Уровень 1 Программируемая автоматизация
Уровень 4 Планирование и
логистика
Уровень 5 Корпоративная сеть
Сенсоры, исполнител
ьные устройства
& RTUs
PLCs
HMIs, alarms & alerting
Комнаты управления, рабочие станции,
сервера, БД
Бэкофис, email, инвентаризация,
производительность, и т.д.
Инфраструктура корпоративной
сети, поддерживаемая корпоративным ИТ
Особые вендора
COTS
АСУ ТП
Общее
ПО Железо Модель Пурдью
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Насколько это типично?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
АСУ ТП – это часть целого
Филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводная сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAv ASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический центр Talos
Удаленные устройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ Беспроводная
сеть
Коммутатор
Маршрутизатор
Сегментация Мониторинг
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Это не единственный случай – нефтянка в фокусе
Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Вопреки мифам, многие ICS не изолированы
Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Чисто локальные инциденты происходят гораздо реже
Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Внешний нарушитель меньше знает, но больше может
Источник: база данных инцидентов RISI
Атака на нефтяную компанию. Кейс 2
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Злоумышленник нашел в Facebook оператора ночной
смены
Злоумышленник «подружился» с оператором
Нарушитель ищет персональные
данные оператора
Нарушитель использует недовольство
оператора работой
Нарушитель обсуждает способы дополнительного
заработка
Нарушитель делится
«экспертизой» (вре-доносным ПО)
Оператор использует ПО для изменения условий работы АСУ ТП
Запущено изменение
процесса выпуска нефтепродукта
Нарушитель ждет, когда процесс
пойдет «не туда»
Измененный процесс приводит к нарушению свойств нефтепродукта
Уничтожения некачественного нефтепродукта
Финансовый ущерб и затраты на PR
Сценарий проведенной атаки: случай №2
Атака на нефтяную компанию. Кейс 3
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Заражение вредоносным кодом через флешку
• Conficker (KIDO) заражение НПЗ – неопубликовано
• Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке.
• Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина)
• Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами.
• Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более UK£ 500,000
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Что было сделано?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Эталонная архитектура в ИБ АСУ ТП Общая политика, управление и учет
контекста в области IoT-безопасности
Конвергированная структура политик (IT/OT)
Управление политиками на оконечных устройствах
Управление идентификацией
Конфигурация и управление обновлениями
Инициализация
Управление учетными данными
Нормативное соответствие
AAA
Агрегация контекста и совместное использование
Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы
Обнаружение уязвимостей и вредоносного ПО
Сбор телеметрии и анализ угроз
Управление журналами/SIEM и их сохранение
Экспертиза (напр. Что произошло?)
Мониторинг и контроль приложений IoE
с сохранением состояния
Детализованное управление доступом (Гость/подрядчик, сотрудник и вещи)
Удаленный доступ для обслуживания устройств, процессов и систем
управления
Профилирование IoT-устройств и оценка
защищенности
Аутентификация и управление ключами доступа 802.1X, MAB, Гостевые
(в т.ч. устаревшие), 802.11i, 802.15.4 Транспортное шифрование
(802.11i, TLS, 802.1AE…)
Исследования, анализ и защита от угроз (в т.ч. в облаке)
Применение политик (Сеть)
Безопасность на транспортном уровне
Сообщество Intel
Сетевая безопасность IoT-устройств (FW/IPS/VPN)
Безопасность на физическом уровне
Обнаружение Мониторинг
Реагирование Анализ
Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Управление и безопасность Уровень 1
Устройство Уровень 0
Центр управления Уровень 3
Устаревшая RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы Ethernet-мультисервисы
WAN Беспроводн. соед.
Транспорт RFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель
Системы безопасности
Принтер
Оборудование
SIEMСистема SCADA Головная станция
Рабочие станции оператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционные бизнес-системы
SIEM
SIEM
SIEM
Надежность и безопасность
Система управления производством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллер доменов
Корп. сеть Уровни 4-5
Ист. данные SIEM
Анти- вирус
WSUS
SIEM
SIEMСервер удаленной разработки
SIEM
Сервер терминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль Уровень 2
Системы видеонаблюдения
Контроль доступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
Архитектура безопасности нефтяной компании
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Подрядчик
Когда Что Где Как
9:00-17:00
ноутбук Ячейка 1 Проводн.
Традиционный RBAC и политики
HMI Rockwell Automation
Stratix 8000 Коммутатор доступа уровня 2
Ввод-вывод
Контроллер
Диск
Ячейка/зона 1
Ввод-вывод
HMI
Контроллер
Volt
PTP
Коммутатор уровня доступа 2
и Протокол REP
Ячейка/зона 2
Роль Авторизация
Контр. Ячейка 2: Разр. CIP Разр. http Ячейка 1: Запрет
IED IED
Станционная шина
IED IED
Шина процессов
Подстанция
Операции SCADA инж
АКТИВЫ инж
Планиро-вание инж
Удаленное управление
R
Подтв. авар. сигн. R Точечная разметка R Точка ручного обновл.
R
Откр/Закр HMI R R R Выход HMI R R R
Мониторинг и контроль операций Возможности для инноваций
ISE + промышл. коммутаторы Отслеживание
Безопасный доступ для локальных пользователей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Безопасный доступ для локальных пользователей
Сеть доступа
Контроллер
Мультисервисная шина Производственная сеть Полевая сеть Буровая площадка Трансп. зона Умные города
Беспроводная IPS
OMSdACL VLAN
Тег группы безопасности
X Роль ИТ-персонал Поставщик
Когда 9:00-17:00 ВТ
Что Ноутбук Ноутбук
Где Центр обработки данных
Трансп. зона
Как Wi-Fi Проводн.
Wi-Fi Проводн.
Аутенти-фикация
Камеры IP-телефоны
WWW
Согласованная политика доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Безопасный удаленный доступ
Интернет
Корпоративная сеть WAN
Корпоративный экстранет
Аварийное переключение канала
Сервер удаленного доступа
Удаленный специалист или партнер
Корпоративный удаленный инженер
Межсетевой экран корпоративного периметра
Стек коммутаторов
EtherNet/IP
S S L V
P Н
IPSEC.
Производственная зона Производственные операции
Операции и контроль
Домен офиса Корпоративная
зона
ДМЗ
Уровни 4 и 5
Уровень 3
Интернет
Ячейки/зоны / Уровни 0-2
• Корпоративная сеть à Сеть OT • Интернет -> Корпоративная сеть -> Сеть OT • Сети VPN - без клиента, тонкий клиент, толстый клиент • Унифицированное управление проводным,
беспроводным и удаленным доступом
Сеть WAN поставщика
услуг
Корпоративная сеть
Частная сеть WAN компании
NMSКаталог
SIEM
Сервисы безопасности
Сеть автоматизации подстанций
OMS
Шлюз
РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ
OMS
AMI/DA RTU Реле PMU
Теле- защита
ЗАЩИТА И УПРАВЛЕНИЕ
Secure Business Partner Network
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Мониторинг и контроль доступа устройств и механизмов • Безопасность портов и централизованное управление • Реестр сетевых индустриальных систем • Идентификация и профилирование IoT-устройств
IoT-сети
Соотв. MAC
MAC IP
ACL
00:00:23:67:89:ab 10.1.1.1 ABB Сайт1
dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2
e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3
Контроллер CIP ABB Сайт1
RTU DNP Siemens Сайт1
IED Modbus Rockwell Сайт2
HMI OCP GE Сайт2
CA Управл.
Реестр — номер 1 среди 20 критических методов управления безопасностью
Сенсор IoT-устройств (в будущем)
802.1x Клиент
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Защита периметра NERC CIP (Защита критически важной инфраструктуры) NIST SP-800-82: Руководство по безопасности
систем промышленного управления (ICS)
OMS
Сервер приложений
OMS
Архив исторических данных
Рабочая станция
Корпоративная сеть
PLC PLC HMI
Сеть управления
Сервер обновлений
Антивирусный сервер
ДМЗ
Исторические данные
Сеть WAN поставщика услуг WAN
Частная сеть WAN компании
Подстанция
OMSHMI
РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ
OMS
AMI/DA RTU Реле PMU
Теле- защита
ЗАЩИТА И УПРАВЛЕНИЕ
Центр управления
SCADA OMSEMS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Извлеченные уроки Урок Мероприятия Индустриальный сегмент не всегда изолирован от внешнего мира
Контроль и мониторинг соединений Сегментация
АСУТПшный персонал не всегда в теме ИБ Повышение осведомленности Регулярные тренинги по ИБ Учет психологии Работа с персоналом
Не всегда можно активно блокировать какие-то действия и операции
Пассивный мониторинг для раннего предупреждения Использование функционала сетевого оборудования
Процесс нельзя останавливать Акцент на мониторинг, а не активное блокирование Стандартные ИТ/ИБ-принципы и правила не срабатывают
Обучение по промышленной ИБ
Корпоративные решения по ИБ не всегда применимы
Использование как традиционных корпоративных, так и специализированных ICS-решений по ИБ
Взлом ИБ АСУ ТП - это не всегда что-то сложное Все, что написано выше
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Благодарю за внимание