Positive Technologies провела секцию на прошедшей в Москве конференции InfoSecurity 2012. В рамках мероприятия эксперты-практики выступили с докладами, в которых предложили возможные меры противодействия наиболее острым современным проблемам информационной безопасности. Речь шла главным образом о защищенности телекоммуникационных сетей и АСУ ТП, а также о низком уровне безопасности мобильных устройств.
Телекоммуникационные компании и хакерские атаки
Еще вчера компании телекоммуникационного сектора могли позволить себе не думать о киберпреступниках: благодаря специализированным системам и протоколам, а также разделению сетей, реализация хакерских атак была очень сложным мероприятием.
Но сегодня ситуация изменилась. Эволюция сетей связи привела к стандартизации платформ и протоколов в телекоммуникационных компаниях, объединению сетей с различным уровнем безопасности и доступности из глобальной сети Интернет.
Однако и сейчас большинство телекоммуникационных компаний не придает особого значения безопасности собственных сетей связи. В их технологических сетях могут попросту отсутствовать процессы устранения уязвимостей в ПО и настройках оборудования, процедуры регулярного обновления и установки пакетов с исправлениями. Почти не применяются четкие, согласованные стандарты конфигураций для критического оборудования, управляемый аутсорсинг и адекватные средства контроля. По сути, в технологических сетях отсутствуют процессы Vulnerability and Compliance Management, что приводит к возможности эксплуатации сотен существующих уязвимостей.
В итоге совокупные убытки от деятельности киберпреступников и телефонных мошенников за 2011 год во всем мире были оценены в 388 млрд долларов.
Как рассказал руководитель отдела поддержки продаж Positive Technologies Константин Гурзов, выступивший на секции с докладом «От SS7 к IP — эволюция безопасности сетей связи», год назад в рамках Исследовательского центра Positive Research был создан центр компетенции, сосредоточивший усилия на разработке стандартов ИБ для телекоммуникационного оборудования (HLR, MSC, VAS и т. п.). К сегодняшнему дню портфель услуг Positive Technologies пополнился работами по аудиту и тестированию на проникновение VoIP-сегмента, а также услугами по адаптации и разработке ИБ-стандартов в рамках технологических сетей.
«Буквально несколько лет назад при присоединении очередной дочерней компании мы обладали достаточным запасом времени, чтобы привести уровень ее информационной безопасности к нашему корпоративному стандарту, — прокомментировал руководитель службы развития информационной безопасности ОАО "ВымпелКом" Андрей Жуков. — Но сегодня, в условиях постоянных слияний и поглощений, а также конвергенции технологических и корпоративных сетей, требуются профессиональные системы анализа и контроля защищенности. В настоящий момент совместно со специалистами Positive Technologies мы успешно завершаем первый этап проекта "Контроль защищенности технологических сетей ОАО ‘ВымпелКом’"».
«Мы стали первой ИБ-компанией в мире, которая задумалась о контроле защищенности в технологических сетях телекоммуникационных компаний, о разработке стандартов ИБ и предприняла ряд шагов для изменения ситуации,— рассказал Константин Гурзов. — В ходе аудита защищенности нам удалось убедительно доказать представителям заказчика, техническим специалистам эксплуатирующих подразделений "ВымпелКома", важность регулярных проверок технологических сетей».
Система контроля защищенности и соответствия стандартам MaxPatrol была специально доработана с учетом особенностей специализированных устройств. В нее были добавлены стандарты ИБ и определение устройств в режиме инвентаризации для оборудования Huawei (Node B, RNC). В ближайшее время будет также реализована поддержка оборудования Ericsson (Node B, RNC) и Cisco SGSN/GGSN на базе ASR5000.
Личные смартфоны и планшеты — угроза для компаний
Вечеринку, на которую гости приносят свою собственную выпивку, в США принято называть BYOB (bring your own booze). Похожей аббревиатурой (BYOD) стали обозначать политику, при которой сотрудники компании используют на работе собственные электронные устройства (слово booze сменилось на devices). Чем грозит «зоопарк» гаджетов для корпоративной информационной безопасности, рассказал ведущий специалист группы анализа защищенности веб-приложений Positive Technologies Артем Чайкин в докладе «Мобильные устройства + BYOD + критические данные = ?».
У системы BYOD есть свои преимущества. Компания существенно экономит, возлагая расходы на приобретение и замену (в случае утери, поломки) мобильных устройств на плечи сотрудников. Работники, в свою очередь, не ограничены корпоративным стандартом и могут покупать самые последние технические новинки, используя один и тот же «офис в кармане» для доступа к личной переписке, социальным сетям, корпоративной почте, внутренним документам.
Серьезный минус BYOD заключается в том, что ответственность за доступ к критическим данным ложится на владельцев смартфонов и планшетов (либо превращается в труднейшую задачу для ИБ-службы). Известные проблемы с защищенностью корпоративной информации на персональных гаджетах можно разделить на две группы: группа проблем физической безопасности (кражи, потери) и программной безопасности (вредоносное ПО, уязвимости в приложениях).
Нельзя сказать, что механизмы защиты при утере девайса полностью отсутствуют. В случае пропажи устройства заблокировать доступ к важной информации поможет пароль для разблокировки аппарата (PIN to unlock), шифрование или автоматическое удаление данных, а также программное блокирование. Полное шифрование диска (Full Disk Encryption) функционирует начиная с Android 3.0 и iPhone 3GS, причем для iOS, в отличие от Android, существует аппаратное шифрование и стандартное API для сторонних приложений. Устройства на Android и iOS позволяют владельцу экстренно удалить информацию из Outlook, поддерживают системы защиты мобильных устройств, на которые попадает коммерческая информация, Mobile Device Management (MDM), однако аппаратное стирание данных (так называемый железный вайп) способна делать только аппаратура на iOS.
С программной безопасностью ситуация более драматичная. Хакер и на расстоянии может получить доступ к мобильному устройству. Основная угроза исходит от сторонних приложений, которые устанавливают пользователи на свои устройства. Уязвимости приложений приводят к небезопасному хранению и передаче данных, позволяют проводить атаки типа MITM («человек посередине») и различные другие атаки.
Продемонстрировав реальные уязвимости в популярных приложениях для мобильных платформ, включая недавно устраненные проблемы в браузере Chrome для платформы Google Android, Артем Чайкин прогнозирует резкое увеличение числа троянских программ для мобильных платформ, отличающихся максимальной скрытностью в системе и вызывающих минимальные подозрения у пользователя. По словам эксперта, появятся новые методы эксплуатации уязвимостей (как локальные, так и удаленные), а основные цели, преследуемые злоумышленниками, не изменятся: это кража финансовых средств (fraud) и конфиденциальных данных пользователя.
Пользователю, не желающему стать источником информационных угроз для собственной компании, эксперт рекомендует придерживаться хотя бы минимальных правил безопасности при использовании мобильных устройств: выбирать сложные пароли для PIN to unlock смартфона или планшета, применять полное шифрование системы и механизмы удаления данных, не жалеть средств на покупку антивирусов и устанавливать только доверенное ПО.
АСУ ТП остались в прошлом веке
Уровень информационной безопасности в АСУ ТП, по оценкам Ernst & Young, отстает на 10—15 лет от уровня безопасности в ИТ в целом. Об этом сообщил ведущий консультант отдела поддержки продаж Positive Technologies Евгений Зайцев, выступая с докладом «Безопасность АСУ ТП. Добро пожаловать в прошлый век!»
Согласно исследованию Positive Technologies, за неполный 2012 год в компонентах АСУ ТП было обнаружено больше уязвимостей, чем за весь предыдущий год. В большинстве случаев причина уязвимостей заключается в незащищенном дизайне систем защиты АСУ ТП. Существует множество потенциальных угроз как со стороны внутреннего, так и со стороны внешнего нарушителя. Оператор может через АРМ распространить вирус в технологической сети, изменить конфигурации ОС, может вывести АРМ из строя, предоставить сетевой доступ третьим лицам, распространить технологическую информацию о работе АСУ ТП. В то же время потенциальный злоумышленник способен распространить вирус в технологической сети через АРМ, изменить конфигурации серверов, контроллеров (что приведет к неработоспособности системы и финансовым потерям), похитить конфиденциальные данные, содержащие коммерческую тайну.
Распространенный миф о том, что АСУ ТП всегда отделена от корпоративной сети, сегодня даже отдаленно не согласуется с реальностью. Без постоянного контроля нельзя быть уверенным в таком разделении, к тому же интеграция ERP и SCADA создает бизнес-мотивацию для объединения сетей. Утверждение, что SCADA и ERP слишком сложны, чтобы их так просто было взломать, также не выдерживает никакой критики. Чем сложнее система — тем больше в ней нюансов, уязвимостей и тем выше требования к персоналу.
В новостных лентах мы находим множество доказательств низкой готовности систем АСУ ТП к отражению кибератак. В 2000 году хакеры временно взяли под контроль управление газовыми потоками «Газпрома». В 2009 году силовыми структурами зафиксировано проникновение в электроэнергетическую сеть США и размещения в ней программных «закладок», направленных на внештатную остановку ее функциональных элементов и нарушение корректной работы. В июле 2010 года 43 операторских станции одной из крупных государственных компаний США были заражены червем Stuxnet. Вирус сделал незначительные, случайные изменения в конфигурационных файлах — и через месяц была полностью потеряна информация всей системы. В ноябре 2011 года хакеры взломали SCADA-систему одной из американских ГЭС. Из строя выведен насос, который использовался для водоснабжения. Наконец всемирную известность получила серия инцидентов со специализированными компьютерными вирусами, такими как Flame и Stuxnet, атаковавшими объекты ядерной промышленности Ирана.
Говоря о результатах практического анализа защищенности систем SCADA и построенных на их основе АСУ ТП ведущих производителей, Евгений Зайцев рассказал об успехах исследователей Positive Technologies. В популярных системах Siemens SIMATIC WinCC специалисты Positive Research обнаружили более 50 уязвимостей, включая такие недостатки безопасности, как различные уязвимости на стороне клиента (XSS, CSRF), внедрение SQL/XPath, чтение произвольных файлов, разглашение имен пользователей и их паролей, слабое шифрование и жестко запрограммированные ключи шифрования.
Часть уязвимостей были оперативно закрыты производителем (1, 2), над устранением прочих продолжает работать Siemens Product CERT.
Все новые данные были внесены в систему контроля защищенности и соответствия стандартам MaxPatrol. В ней появился стандарт конфигурации SIMATIC WinCC, были реализованы определение компонентов различных производителей АСУ ТП, поддержка протоколов ModBus, S7, DNP3, OPC, возможность поиска уязвимостей PLC, SCADA, MES и встроенные (безопасные) профили для SCADA. Были добавлены проверки конфигурации SCADA, доступа в интернет и HMI Kiosk mode. Кроме того, появились черные и белые списки, антивирусы и HIPS-проверки.