Krajobraz zagro偶e艅 dla cyberbezpiecze艅stwa przemys艂owego

Przegl膮d

Systemy kontroli przemys艂owej (ICS) znajduj膮 si臋 w艣r贸d nas: s膮 wykorzystywane w bran偶y elektrycznej, wodno-艣ciekowej, ropy i gazu naturalnego, transportowej, chemicznej, farmaceutycznej, celulozowej i papierniczej, spo偶ywczej i napoj贸w, jak r贸wnie偶 produkcji przemys艂owej (np. motoryzacyjnej, lotniczej oraz artyku艂贸w trwa艂ego u偶ytku). Inteligentne miasta, domy i samochody, sprz臋t medyczny - wszystko to opiera si臋 na systemach ICS.

Ekspansja internetu sprawia, 偶e ICS stanowi 艂atwy cel os贸b atakuj膮cych. Liczba komponent贸w ICS dost臋pnych za po艣rednictwem internetu wzrasta z ka偶dym rokiem. Zwa偶ywszy na to, 偶e pocz膮tkowo wiele rozwi膮za艅 i protoko艂贸w ICS zosta艂o zaprojektowanych dla wyizolowanych 艣rodowisk, taka dost臋pno艣膰 zapewnia szkodliwemu u偶ytkownikowi wiele mo偶liwo艣ci wp艂ywu na infrastruktur臋 system贸w ICS ze wzgl臋du na brak bezpiecze艅stwa. Co wi臋cej, niekt贸re komponenty same w sobie s膮 podatne na ataki. Pierwsze dost臋pne informacje dot. luk w zabezpieczeniach komponent贸w ICS dotycz膮 1997 roku - opublikowano wtedy informacje dotycz膮ce jedynie dw贸ch luk. Od tego czasu liczba luk w zabezpieczeniach znacznie wzros艂a. W ci膮gu minionych pi臋ciu lat wska藕nik ten wzr贸s艂 z 19 luk w 2010 roku do 189 luk w 2015 roku.   

Wyrafinowane ataki na systemy ICS nie s膮 ju偶 niczym nowym. Warto pami臋ta膰 o incydencie, kt贸ry mia艂 miejsce w 2015 roku w miejscowo艣ci Iwano-Frankiwsk na Ukrainie, gdzie oko艂o po艂owa domostw pozosta艂a bez pr膮du na skutek cyberataku na elektrowni臋 Prykarpattyaoblenergo i by艂a to zaledwie jedna z licznych ofiar kampanii BlackEnergy APT.  

Inny znacz膮cy incydent, kt贸ry mia艂 miejsce w 2015 roku i zosta艂 opisany w Verizon Data Breach Digest, to atak na infrastruktur臋 ICS Kemuri Water Company, w kt贸rym cyberprzest臋pczy przenikn臋li do systemu kontroli firmy wodoci膮gowej i zmienili poziomy substancji chemicznych wykorzystywanych do oczyszczania wody pitnej. W艂amanie zosta艂o przeprowadzone za po艣rednictwem podatnego na ataki dost臋pnego z zewn膮trz systemu, kt贸ry zarz膮dza艂 programowalnymi sterownikami logicznymi (PLC) reguluj膮cymi zaworami i przewodami, kt贸re kontrolowa艂y przep艂yw wody i chemikali贸w wykorzystywanych do jej oczyszczania przy pomocy systemu.  

W 2015 roku mia艂y miejsce r贸wnie偶 inne incydenty zwi膮zane z ICS, takie jak ataki na stalowni臋 w Niemczech i na Lotnisko im. Fryderyka Chopina w Warszawie.

Badanie to nakre艣la obecn膮 sytuacj臋 dot. bezpiecze艅stwa ICS na ca艂ym 艣wiecie z perspektywy luk w zabezpieczeniach oraz podatnych na ataki komponent贸w ICS po艂膮czonych z internetem.

Podej艣cie zastosowane w analizie

Badanie koncentruje si臋 na dw贸ch obszarach: luk w zabezpieczeniach i dost臋pno艣ci system贸w ICS za po艣rednictwem internetu. Informacje dot. luk w zabezpieczeniach zosta艂y zebrane przy u偶yciu otwartych 藕r贸de艂, takich jak oficjalne ostrze偶enia dot. bezpiecze艅stwa Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), NVD/CVE, SCADA Strangelove, Siemens Product CERT oraz inne informacje dost臋pne online. Poziomy wa偶no艣ci luk w zabezpieczeniach zosta艂y ocenione na podstawie Common Vulnerability Scoring System (CVSS) w wersji 2 i 3. System CVSS v2 zosta艂 wykorzystany do por贸wnania statystyk dot. luk w zabezpieczeniach w latach 2014 i 2015 jak r贸wnie偶 w odniesieniu do wszystkich luk, kt贸rym nie zosta艂a przydzielona ocena CVSS v3.            

W drugiej cz臋艣ci wynik贸w badania (dost臋pno艣膰 ICS za po艣rednictwem internetu) zastosowali艣my pasywne podej艣cie do analizy na podstawie informacji z wyszukiwarki Shodan. W celu zidentyfikowania system贸w ICS w wyszukiwarce Shodan wykorzystali艣my baz臋 odcisk贸w palc贸w zawieraj膮c膮 oko艂o 2000 wpis贸w i umo偶liwiaj膮c膮 zidentyfikowanie dostawc贸w i wersji produkt贸w wed艂ug baner贸w. 

G艂贸wne wyniki badania

  • Liczba luk w zabezpieczeniach komponent贸w ICS nieustannie wzrasta. Wraz ze wzrostem zainteresowania bezpiecze艅stwem ICS w ci膮gu ostatnich kilku lat coraz wi臋cej informacji na temat luk w zabezpieczeniach tych system贸w staje si臋 publicznie znanych. Jednak same luki mog膮 wyst臋powa膰 w tych produktach przez wiele lat, zanim zostan膮 ujawnione. 艁膮cznie, w 2015 roku opublikowano 189 luk w zabezpieczeniach komponent贸w ICS, przy czym wi臋kszo艣膰 z nich to luki krytyczne (49%) lub maj膮ce 艣redni wp艂yw na bezpiecze艅stwo (42%).     

blogpost_ICS_01_auto.png

Luki w zabezpieczeniach ICS w kolejnych latach  

  • Luki w zabezpieczeniach mog膮 zosta膰 wykorzystane. Dla 26 luk w zabezpieczeniach opublikowanych w 2015 r. dost臋pne s膮 exploity. Ponadto, w przypadku wielu luk, kod exploita nie jest niezb臋dny do uzyskania nieautoryzowanego dost臋pu do podatnego na ataki systemu. Co wi臋cej, nasze projekty oceny bezpiecze艅stwa ICS pokazuj膮, 偶e systemy ICS s膮 cz臋sto postrzegane przez ich w艂a艣cicieli jako "czarna skrzynka", dlatego domy艣lne dane uwierzytelniaj膮ce w komponentach ICS cz臋sto nie s膮 zmieniane i mog膮 zosta膰 wykorzystane do przej臋cia zdalnej kontroli nad systemem. Projekt SCADAPASS zespo艂u SCADA Strangelove zapewnia prezentacj臋 znanych domy艣lnych danych uwierzytelniaj膮cych ICS. Obecnie dost臋pne s膮 informacje dotycz膮ce 134 komponent贸w ICS 50 producent贸w.     

blogpost_ICS_02.png

Luki ICS w 2015 roku wed艂ug poziomu ryzyka (CVSS v.2 a CVSS v.3)

  • Luki w systemach ICS s膮 niezwykle zr贸偶nicowane. W 2015 roku nowe luki w zabezpieczeniach zosta艂y wykryte w komponentach ICS r贸偶nych dostawc贸w (55 r贸偶nych producent贸w) i typ贸w (interfejsy cz艂owiek-maszyna, urz膮dzenia elektryczne, systemy SCADA, urz膮dzenia sieci przemys艂owej, programowalne sterowniki logistyczne i wiele innych). Najwi臋ksz膮 liczb臋 luk znaleziono w urz膮dzeniach firmy Siemens, Schneider Electric oraz Hospira. Luki w komponentach ICS maj膮 inny charakter. Najbardziej powszechne z nich to przepe艂nienie bufora (9% wszystkich wykrytych luk w zabezpieczeniach), wykorzystywanie zakodowanych na sztywno danych uwierzytelniaj膮cych (7%) oraz dzia艂anie skrypt贸w mi臋dzy witrynami (ang. cross-site scripting) (7%).  
  • Nie wszystkie luki w zabezpieczeniach wykryte w 2015 roku zosta艂y za艂atane. 艁aty i nowe oprogramowanie firmware s膮 dost臋pne dla 85% opublikowanych luk w zabezpieczeniach, reszta nie zosta艂a za艂atana lub z r贸偶nych wzgl臋d贸w zosta艂a za艂atana jedynie cz臋艣ciowo. Wi臋kszo艣膰 nieza艂atanych luk w zabezpieczeniach (14 z 19) prezentuje wysoki poziom ryzyka. Te nieza艂atane luki stanowi膮 powa偶ne ryzyko dla w艂a艣cicieli system贸w, zw艂aszcza tych, kt贸rzy - ze wzgl臋du na nieodpowiednie zarz膮dzanie konfiguracj膮 sieci - otwieraj膮 swoje podatne na ataki systemy ICS na internet. Przyk艂adem mo偶e by膰 11 904 zdalnie dost臋pnych interfejs贸w SMA Solar Sunny WebBox, kt贸re mog膮 zosta膰 zaatakowane. Chocia偶 w przypadku Sunny WebBox, liczba ta znacznie zmniejszy艂a si臋 od 2014 roku (gdy wykryto ponad 80 tysi臋cy dost臋pnych komponent贸w), nadal jest wysoka, a problem nieza艂atanych zakodowanych na sztywno danych uwierzytelniaj膮cych (opublikowanych w 2015 r.) nara偶a te systemy na znacznie wi臋ksze ryzyko, ni偶 s膮dzono wcze艣niej.    

blogpost_ICS_03_auto.png

艁atanie system贸w ICS

  • Wiele komponent贸w ICS jest dost臋pnych za po艣rednictwem internetu. Wyszukiwarka Shodan wykry艂a 220 668 komponent贸w ICS. S膮 one zlokalizowane w 188 019 hostach w 170 krajach. Wi臋kszo艣膰 zdalnie dost臋pnych host贸w z komponentami ICS jest zlokalizowana w Stanach Zjednoczonych (30,5%) oraz Europie. W艣r贸d pa艅stw europejskich prowadz膮 Niemcy (13,9%), za kt贸rymi plasuje si臋 Hiszpania (5,9%). Dost臋pne systemy pochodz膮 od 133 r贸偶nych producent贸w. Najpopularniejsze to Tridium (11,1%), Sierra Wireless (8,1%) oraz Beck IPC (6,7%).         

blogpost_ICS_04_auto.png

TOP 20 pa艅stw wed艂ug dost臋pno艣ci system贸w ICS

  • Niezabezpieczone protoko艂y s膮 powszechnie wykorzystywane przez zdalnie dost臋pne komponenty ICS. Istnieje wiele protoko艂贸w, kt贸re s膮 otwarte i niezabezpieczone ju偶 od fazy projektowania, takie jak HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 i wiele innych. S膮 one wykorzystywane na 172 338 r贸偶nych hostach, co stanowi 91,6% wszystkich wykrytych dost臋pnych z zewn膮trz urz膮dze艅 ICS. W efekcie, osoba atakuj膮ca posiada dodatkowe sposoby zaatakowania urz膮dze艅 przy u偶yciu atak贸w man-in-the-middle.      

blogpost_ICS_05_auto.png

TOP 15 protoko艂贸w wykorzystywanych przez dost臋pne z zewn膮trz komponenty ICS

  • Wiele podatnych na ataki komponent贸w ICS jest dost臋pnych z zewn膮trz.  Wykryli艣my 13 033 luk w zabezpieczeniach 11 882 host贸w (6,3% wszystkich host贸w z komponentami dost臋pnymi z zewn膮trz). Najbardziej rozpowszechnione spo艣r贸d wykrytych luk to Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) oraz krytyczne luki w zabezpieczeniach CVE-2015-1015 oraz CVE-2015-0987 w Omron CJ2M PLC. 艁膮cz膮c te wyniki ze statystykami dotycz膮cymi wykorzystywania niezabezpieczonych protoko艂贸w mogli艣my oszacowa膰 艂膮czn膮 liczb臋 podatnych na ataki host贸w ICS na 172 982 (92%).    

blogpost_ICS_06_auto.png

TOP 5 luk w zabezpieczeniach komponent贸w ICS

  • Problem dotyczy r贸偶nych bran偶. Wykryli艣my, 偶e co najmniej 17 042 ICS komponent贸w ICS w 13 698 r贸偶nych hostach w 104 krajach nale偶y prawdopodobnie do du偶ych firm, a dost臋pno艣膰 tych komponent贸w z internetu wi膮偶e si臋 prawdopodobnie z powa偶nymi zagro偶eniami. W艣r贸d w艂a艣cicieli zidentyfikowali艣my 1 433 du偶ych organizacji, w艣r贸d kt贸rych znajduj膮 si臋 te dzia艂aj膮ce w bran偶y energii elektrycznej, lotniczej, transportowej (obejmuj膮cej lotniska), gazowo-paliwowej, metalurgicznej, chemicznej, rolniczej, samochodowej, medi贸w, finansowej, jak r贸wnie偶 kurorty, hotele, muzea, biblioteki, ko艣cio艂y oraz liczne ma艂e firmy. Liczba podatnych na ataki, dost臋pnych z zewn膮trz host贸w ICS, kt贸re prawdopodobnie nale偶膮 do du偶ych organizacji, wynosi 12 483 (91,1%), przy czym 453 host贸w (3,3%), 艂膮cznie z tymi nale偶膮cymi do organizacji z bran偶y energetycznej, transportowej, gazowej, in偶ynieryjnej i produkcyjnej, spo偶ywczej, zawiera luki krytyczne.        

blogpost_ICS_07_auto.png

Dost臋pno艣膰 system贸w ICS w zale偶no艣ci od producenta

Powy偶sze wyniki to jedynie najni偶sze warto艣ci szacunkowe, a rzeczywista liczba dost臋pnych komponent贸w ICS, z kt贸rymi wi膮偶膮 si臋 znacz膮ce zagro偶enia, mo偶e by膰 znacznie wy偶sza.

Zako艅czenie

Je艣li chodzi o ochron臋, odizolowanie 艣rodowisk krytycznych nie stanowi ju偶 wystarczaj膮cego zabezpieczenia dla system贸w ICS. W XXI wieku wymagania biznesowe cz臋sto narzucaj膮 integracj臋 system贸w ICS z zewn臋trznymi systemami i sieciami. Ponadto, wzrastaj膮 mo偶liwo艣ci, motywacje oraz liczba cyberprzest臋pc贸w skoncentrowanych na 艣rodowiskach ICS. Od zainfekowanych dysk贸w twardych lub pami臋ci USB po nieautoryzowane po艂膮czenia z sieci ICS do internetu za po艣rednictwem smartphone'贸w czy modem贸w personelu oraz od zainfekowanych zestaw贸w narz臋dzi dystrybucji uzyskanych od dostawc贸w po wynaj臋tego szpiega wewn膮trz organizacji - wszystkie te metody mog膮 by膰 wykorzystywane przez posiadaj膮cych du偶e umiej臋tno艣ci cyberprzest臋pc贸w, kt贸rzy planuj膮 atak na fizycznie i logicznie wyizolowan膮 sie膰 ICS.   

Dzisiaj w艂a艣ciciele system贸w ICS powinni mie膰 艣wiadomo艣膰 wsp贸艂czesnych luk w zabezpieczeniach oraz zagro偶e艅 i w oparciu o t臋 wiedz臋 aktywnie zwi臋ksza膰 bezpiecze艅stwo swoich 艣rodowisk ICS. W tym celu niezb臋dne jest aktywne wsparcie ze strony producenta umo偶liwiaj膮ce szybk膮 identyfikacj臋 i usuni臋cie luk w zabezpieczeniach produkt贸w ICS jak r贸wnie偶 wymiana sposob贸w zabezpieczenia system贸w, zanim zostan膮 wypuszczone 艂aty.  

Specyfika system贸w ICS - polegaj膮ca na tym, 偶e ich cyberbezpiecze艅stwo jest 艣ci艣le zwi膮zane z bezpiecze艅stwem fizycznym - cz臋sto spotyka si臋 z podej艣ciem przeciwnym do tego, kt贸re jest wymagane w takich warunkach. Ma艂e i 艣rednie firmy, jak r贸wnie偶 osoby fizyczne, ca艂kowicie polegaj膮 na producencie je艣li chodzi bezpiecze艅stwo Internetu Rzeczy. Klienci nie robi膮 nic poza prostymi podstawowymi dzia艂aniami wskazanymi w podr臋cznikach u偶ytkownika, przez co maj膮 gotowe do dzia艂ania i 艂atwo dost臋pne, a zarazem podatne na ataki urz膮dzenia. Z kolei w sektorze przedsi臋biorstw firmy s膮 艣wiadome zagro偶e艅 wynikaj膮cych z nieprawid艂owej konfiguracji 艣rodowiska ICS. Z tego powodu w艂a艣ciciele system贸w cz臋sto postrzegaj膮 urz膮dzenia ICS jako "czarne skrzynki" i boj膮 si臋 dokona膰 jakichkolwiek zmian w 艣rodowisku, 艂膮cznie ze wzmocnieniem cyberbezpiecze艅stwa.

Wyniki przedstawionego badania stanowi膮 dodatkowe przypomnienie, 偶e zasada "bezpiecze艅stwo przez zaciemnienie" nie mo偶e stanowi膰 dobrej podstawy uzyskania skutecznej ochrony przed wsp贸艂czesnymi atakami, a bezpiecze艅stwo system贸w kontroli przemys艂owej nie powinno by膰 traktowane powierzchownie i zast臋powane pewno艣ci膮, zw艂aszcza 偶e bezpiecze艅stwo i pewno艣膰 s膮 w tej dziedzinie nierozerwalnie ze sob膮 z艂膮czone.

殴ród艂o: Kaspersky Lab