Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Krajobraz zagrożeń dla cyberbezpieczeństwa przemysłowego

Tagi:

Przegląd

Systemy kontroli przemysłowej (ICS) znajdują się wśród nas: są wykorzystywane w branży elektrycznej, wodno-ściekowej, ropy i gazu naturalnego, transportowej, chemicznej, farmaceutycznej, celulozowej i papierniczej, spożywczej i napojów, jak również produkcji przemysłowej (np. motoryzacyjnej, lotniczej oraz artykułów trwałego użytku). Inteligentne miasta, domy i samochody, sprzęt medyczny – wszystko to opiera się na systemach ICS.

Ekspansja internetu sprawia, że ICS stanowi łatwy cel osób atakujących. Liczba komponentów ICS dostępnych za pośrednictwem internetu wzrasta z każdym rokiem. Zważywszy na to, że początkowo wiele rozwiązań i protokołów ICS zostało zaprojektowanych dla wyizolowanych środowisk, taka dostępność zapewnia szkodliwemu użytkownikowi wiele możliwości wpływu na infrastrukturę systemów ICS ze względu na brak bezpieczeństwa. Co więcej, niektóre komponenty same w sobie są podatne na ataki. Pierwsze dostępne informacje dot. luk w zabezpieczeniach komponentów ICS dotyczą 1997 roku – opublikowano wtedy informacje dotyczące jedynie dwóch luk. Od tego czasu liczba luk w zabezpieczeniach znacznie wzrosła. W ciągu minionych pięciu lat wskaźnik ten wzrósł z 19 luk w 2010 roku do 189 luk w 2015 roku.   

Wyrafinowane ataki na systemy ICS nie są już niczym nowym. Warto pamiętać o incydencie, który miał miejsce w 2015 roku w miejscowości Iwano-Frankiwsk na Ukrainie, gdzie około połowa domostw pozostała bez prądu na skutek cyberataku na elektrownię Prykarpattyaoblenergo i była to zaledwie jedna z licznych ofiar kampanii BlackEnergy APT.  

Inny znaczący incydent, który miał miejsce w 2015 roku i został opisany w Verizon Data Breach Digest, to atak na infrastrukturę ICS Kemuri Water Company, w którym cyberprzestępczy przeniknęli do systemu kontroli firmy wodociągowej i zmienili poziomy substancji chemicznych wykorzystywanych do oczyszczania wody pitnej. Włamanie zostało przeprowadzone za pośrednictwem podatnego na ataki dostępnego z zewnątrz systemu, który zarządzał programowalnymi sterownikami logicznymi (PLC) regulującymi zaworami i przewodami, które kontrolowały przepływ wody i chemikaliów wykorzystywanych do jej oczyszczania przy pomocy systemu.  

W 2015 roku miały miejsce również inne incydenty związane z ICS, takie jak ataki na stalownię w Niemczech i na Lotnisko im. Fryderyka Chopina w Warszawie.

Badanie to nakreśla obecną sytuację dot. bezpieczeństwa ICS na całym świecie z perspektywy luk w zabezpieczeniach oraz podatnych na ataki komponentów ICS połączonych z internetem.

Podejście zastosowane w analizie

Badanie koncentruje się na dwóch obszarach: luk w zabezpieczeniach i dostępności systemów ICS za pośrednictwem internetu. Informacje dot. luk w zabezpieczeniach zostały zebrane przy użyciu otwartych źródeł, takich jak oficjalne ostrzeżenia dot. bezpieczeństwa Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), NVD/CVE, SCADA Strangelove, Siemens Product CERT oraz inne informacje dostępne online. Poziomy ważności luk w zabezpieczeniach zostały ocenione na podstawie Common Vulnerability Scoring System (CVSS) w wersji 2 i 3. System CVSS v2 został wykorzystany do porównania statystyk dot. luk w zabezpieczeniach w latach 2014 i 2015 jak również w odniesieniu do wszystkich luk, którym nie została przydzielona ocena CVSS v3.            

W drugiej części wyników badania (dostępność ICS za pośrednictwem internetu) zastosowaliśmy pasywne podejście do analizy na podstawie informacji z wyszukiwarki Shodan. W celu zidentyfikowania systemów ICS w wyszukiwarce Shodan wykorzystaliśmy bazę odcisków palców zawierającą około 2000 wpisów i umożliwiającą zidentyfikowanie dostawców i wersji produktów według banerów. 

Główne wyniki badania

  • Liczba luk w zabezpieczeniach komponentów ICS nieustannie wzrasta. Wraz ze wzrostem zainteresowania bezpieczeństwem ICS w ciągu ostatnich kilku lat coraz więcej informacji na temat luk w zabezpieczeniach tych systemów staje się publicznie znanych. Jednak same luki mogą występować w tych produktach przez wiele lat, zanim zostaną ujawnione. Łącznie, w 2015 roku opublikowano 189 luk w zabezpieczeniach komponentów ICS, przy czym większość z nich to luki krytyczne (49%) lub mające średni wpływ na bezpieczeństwo (42%).     

blogpost_ICS_01_auto.png

Luki w zabezpieczeniach ICS w kolejnych latach  

  • Luki w zabezpieczeniach mogą zostać wykorzystane. Dla 26 luk w zabezpieczeniach opublikowanych w 2015 r. dostępne są exploity. Ponadto, w przypadku wielu luk, kod exploita nie jest niezbędny do uzyskania nieautoryzowanego dostępu do podatnego na ataki systemu. Co więcej, nasze projekty oceny bezpieczeństwa ICS pokazują, że systemy ICS są często postrzegane przez ich właścicieli jako „czarna skrzynka”, dlatego domyślne dane uwierzytelniające w komponentach ICS często nie są zmieniane i mogą zostać wykorzystane do przejęcia zdalnej kontroli nad systemem. Projekt SCADAPASS zespołu SCADA Strangelove zapewnia prezentację znanych domyślnych danych uwierzytelniających ICS. Obecnie dostępne są informacje dotyczące 134 komponentów ICS 50 producentów.     

blogpost_ICS_02.png

Luki ICS w 2015 roku według poziomu ryzyka (CVSS v.2 a CVSS v.3)

  • Luki w systemach ICS są niezwykle zróżnicowane. W 2015 roku nowe luki w zabezpieczeniach zostały wykryte w komponentach ICS różnych dostawców (55 różnych producentów) i typów (interfejsy człowiek-maszyna, urządzenia elektryczne, systemy SCADA, urządzenia sieci przemysłowej, programowalne sterowniki logistyczne i wiele innych). Największą liczbę luk znaleziono w urządzeniach firmy Siemens, Schneider Electric oraz Hospira. Luki w komponentach ICS mają inny charakter. Najbardziej powszechne z nich to przepełnienie bufora (9% wszystkich wykrytych luk w zabezpieczeniach), wykorzystywanie zakodowanych na sztywno danych uwierzytelniających (7%) oraz działanie skryptów między witrynami (ang. cross-site scripting) (7%).  
  • Nie wszystkie luki w zabezpieczeniach wykryte w 2015 roku zostały załatane. Łaty i nowe oprogramowanie firmware są dostępne dla 85% opublikowanych luk w zabezpieczeniach, reszta nie została załatana lub z różnych względów została załatana jedynie częściowo. Większość niezałatanych luk w zabezpieczeniach (14 z 19) prezentuje wysoki poziom ryzyka. Te niezałatane luki stanowią poważne ryzyko dla właścicieli systemów, zwłaszcza tych, którzy – ze względu na nieodpowiednie zarządzanie konfiguracją sieci – otwierają swoje podatne na ataki systemy ICS na internet. Przykładem może być 11 904 zdalnie dostępnych interfejsów SMA Solar Sunny WebBox, które mogą zostać zaatakowane. Chociaż w przypadku Sunny WebBox, liczba ta znacznie zmniejszyła się od 2014 roku (gdy wykryto ponad 80 tysięcy dostępnych komponentów), nadal jest wysoka, a problem niezałatanych zakodowanych na sztywno danych uwierzytelniających (opublikowanych w 2015 r.) naraża te systemy na znacznie większe ryzyko, niż sądzono wcześniej.    

blogpost_ICS_03_auto.png

Łatanie systemów ICS

  • Wiele komponentów ICS jest dostępnych za pośrednictwem internetu. Wyszukiwarka Shodan wykryła 220 668 komponentów ICS. Są one zlokalizowane w 188 019 hostach w 170 krajach. Większość zdalnie dostępnych hostów z komponentami ICS jest zlokalizowana w Stanach Zjednoczonych (30,5%) oraz Europie. Wśród państw europejskich prowadzą Niemcy (13,9%), za którymi plasuje się Hiszpania (5,9%). Dostępne systemy pochodzą od 133 różnych producentów. Najpopularniejsze to Tridium (11,1%), Sierra Wireless (8,1%) oraz Beck IPC (6,7%).         

blogpost_ICS_04_auto.png

TOP 20 państw według dostępności systemów ICS

  • Niezabezpieczone protokoły są powszechnie wykorzystywane przez zdalnie dostępne komponenty ICS. Istnieje wiele protokołów, które są otwarte i niezabezpieczone już od fazy projektowania, takie jak HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 i wiele innych. Są one wykorzystywane na 172 338 różnych hostach, co stanowi 91,6% wszystkich wykrytych dostępnych z zewnątrz urządzeń ICS. W efekcie, osoba atakująca posiada dodatkowe sposoby zaatakowania urządzeń przy użyciu ataków man-in-the-middle.      

blogpost_ICS_05_auto.png

TOP 15 protokołów wykorzystywanych przez dostępne z zewnątrz komponenty ICS

  • Wiele podatnych na ataki komponentów ICS jest dostępnych z zewnątrz.  Wykryliśmy 13 033 luk w zabezpieczeniach 11 882 hostów (6,3% wszystkich hostów z komponentami dostępnymi z zewnątrz). Najbardziej rozpowszechnione spośród wykrytych luk to Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) oraz krytyczne luki w zabezpieczeniach CVE-2015-1015 oraz CVE-2015-0987 w Omron CJ2M PLC. Łącząc te wyniki ze statystykami dotyczącymi wykorzystywania niezabezpieczonych protokołów mogliśmy oszacować łączną liczbę podatnych na ataki hostów ICS na 172 982 (92%).    

blogpost_ICS_06_auto.png

TOP 5 luk w zabezpieczeniach komponentów ICS

  • Problem dotyczy różnych branż. Wykryliśmy, że co najmniej 17 042 ICS komponentów ICS w 13 698 różnych hostach w 104 krajach należy prawdopodobnie do dużych firm, a dostępność tych komponentów z internetu wiąże się prawdopodobnie z poważnymi zagrożeniami. Wśród właścicieli zidentyfikowaliśmy 1 433 dużych organizacji, wśród których znajdują się te działające w branży energii elektrycznej, lotniczej, transportowej (obejmującej lotniska), gazowo-paliwowej, metalurgicznej, chemicznej, rolniczej, samochodowej, mediów, finansowej, jak również kurorty, hotele, muzea, biblioteki, kościoły oraz liczne małe firmy. Liczba podatnych na ataki, dostępnych z zewnątrz hostów ICS, które prawdopodobnie należą do dużych organizacji, wynosi 12 483 (91,1%), przy czym 453 hostów (3,3%), łącznie z tymi należącymi do organizacji z branży energetycznej, transportowej, gazowej, inżynieryjnej i produkcyjnej, spożywczej, zawiera luki krytyczne.        

blogpost_ICS_07_auto.png

Dostępność systemów ICS w zależności od producenta

Powyższe wyniki to jedynie najniższe wartości szacunkowe, a rzeczywista liczba dostępnych komponentów ICS, z którymi wiążą się znaczące zagrożenia, może być znacznie wyższa.

Zakończenie

Jeśli chodzi o ochronę, odizolowanie środowisk krytycznych nie stanowi już wystarczającego zabezpieczenia dla systemów ICS. W XXI wieku wymagania biznesowe często narzucają integrację systemów ICS z zewnętrznymi systemami i sieciami. Ponadto, wzrastają możliwości, motywacje oraz liczba cyberprzestępców skoncentrowanych na środowiskach ICS. Od zainfekowanych dysków twardych lub pamięci USB po nieautoryzowane połączenia z sieci ICS do internetu za pośrednictwem smartphone’ów czy modemów personelu oraz od zainfekowanych zestawów narzędzi dystrybucji uzyskanych od dostawców po wynajętego szpiega wewnątrz organizacji – wszystkie te metody mogą być wykorzystywane przez posiadających duże umiejętności cyberprzestępców, którzy planują atak na fizycznie i logicznie wyizolowaną sieć ICS.   

Dzisiaj właściciele systemów ICS powinni mieć świadomość współczesnych luk w zabezpieczeniach oraz zagrożeń i w oparciu o tę wiedzę aktywnie zwiększać bezpieczeństwo swoich środowisk ICS. W tym celu niezbędne jest aktywne wsparcie ze strony producenta umożliwiające szybką identyfikację i usunięcie luk w zabezpieczeniach produktów ICS jak również wymiana sposobów zabezpieczenia systemów, zanim zostaną wypuszczone łaty.  

Specyfika systemów ICS – polegająca na tym, że ich cyberbezpieczeństwo jest ściśle związane z bezpieczeństwem fizycznym – często spotyka się z podejściem przeciwnym do tego, które jest wymagane w takich warunkach. Małe i średnie firmy, jak również osoby fizyczne, całkowicie polegają na producencie jeśli chodzi bezpieczeństwo Internetu Rzeczy. Klienci nie robią nic poza prostymi podstawowymi działaniami wskazanymi w podręcznikach użytkownika, przez co mają gotowe do działania i łatwo dostępne, a zarazem podatne na ataki urządzenia. Z kolei w sektorze przedsiębiorstw firmy są świadome zagrożeń wynikających z nieprawidłowej konfiguracji środowiska ICS. Z tego powodu właściciele systemów często postrzegają urządzenia ICS jako „czarne skrzynki” i boją się dokonać jakichkolwiek zmian w środowisku, łącznie ze wzmocnieniem cyberbezpieczeństwa.

Wyniki przedstawionego badania stanowią dodatkowe przypomnienie, że zasada „bezpieczeństwo przez zaciemnienie” nie może stanowić dobrej podstawy uzyskania skutecznej ochrony przed współczesnymi atakami, a bezpieczeństwo systemów kontroli przemysłowej nie powinno być traktowane powierzchownie i zastępowane pewnością, zwłaszcza że bezpieczeństwo i pewność są w tej dziedzinie nierozerwalnie ze sobą złączone.