Динамические техники обхода и сети SCADA
В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Динамические техники обхода и сети SCADA
Недавнее открытие компанией Stonesoft динамических техник обхода (AET) потребовало от IT-специалистов во всем мире уделить особое внимание безопасности сетевых инфраструктур.
Екатерина Яблокова
заместитель директора по развитию бизнеса
Stonesoft в России, СНГ и странах Балтии
заместитель директора по развитию бизнеса
Stonesoft в России, СНГ и странах Балтии
Первоначальные исследования показали, что динамические техники обхода (АЕТ) могут быть скомбинированы в любом порядке для создания новых техник, что вместе с широким распространением интернет- и Web-приложений существенно повышает риски информационной безопасности для современных компаний.
Открытие АЕТ дает хакерам много новых возможностей и, по сути, предоставляет им мастер-ключ для доступа к современным информационным системам посредством использования уязвимостей протоколов стека TCP/IP, при этом они не детектируются традиционными IPS (системы обнаружения вторжений) и не блокируются ими. Это означает, что никакие данные теперь нельзя считать полностью защищенными.
Поворотный инцидент
В июле 2010 г. стали известны случаи "нападения" на промышленные системы нового компьютерного червя, который получил название Stuxnet. Stuxnet был основан на использовании четырех zero-day уязвимостей системы Microsoft Windows и червя Conficker. Это был не первый случай, когда хакеры направили свои усилия на промышленные системы, но это был первый известный червь, который внедрялся и перепрограммировал промышленные системы, и первое вредоносное ПО, которое атаковало системы Supervisory Control and Data Acquisition (SCADA). В этом случае хакеры еще не использовали AET, чтобы доставить Stuxnet к цели, но потенциал AET для доставки такого рода контента, минуя системы безопасности, вызывает серьезную тревогу.
Угроза безопасности систем SCADA
Динамические техники обхода (AET) – это развитие традиционных техник обхода, которые используются с целью доставки вредоносного контента к уязвимым хостам без обнаружения системами сетевой защиты.
Системы SCADA имеют много уязвимых хостов, так как при их создании не учитывались вопросы безопасности и аутентификации. В большинстве случаев сети SCADA не были соединены с офисными или публичными сетями, так что проблемы сетевой безопасности их не касались. Однако ситуация изменилась, и сегодня все больше и больше организаций, использующих системы SCADA, подключаются к офисным внутренним сетям и Интернету, пользуются услугами тонкого клиента, Web-порталов и сетевыми продуктами. Использование удаленного доступа в рабочих процессах, несомненно, удобно для конечных пользователей, но это еще острее ставит вопросы безопасности такого доступа. Тем не менее не все организации, ответственные за развертывание систем SCADA, отдают себе отчет в том, чем им грозит подключение систем к сети Интернет.
Обычно для устранения уязвимостей в IT-системах устанавливаются патчи, но многие системы SCADA настолько критичны, что они не могут иметь больше, чем одно-два окна обслуживания для добавления патчей, и их можно перезагружать только раз в год. Если учесть, что, например, операционная система Windows получает исправления безопасности (патчи) каждый месяц, можно легко понять, что системы SCADA остаются уязвимыми для хакерских атак в течение года.
Возможно ли защитить системы SCADA?
Чтобы обеспечить защиту, необходимо поместить систему предотвращения вторжений (IPS) перед уязвимой системой SCADA. Чем больше уровней защиты, тем лучше. IPS создаст "виртуальный патч", который будет обеспечивать защиту системы SCADA до тех пор, пока во время ежегодного обслуживания систем не будут установлены новые патчи. Однако открытие AET делает данный подход неэффективным.
Сети SCADA – это промышленные централизованные системы управления; компьютерные системы, которые производят мониторинг и контроль важнейших объектов инфраструктуры – от водоснабжения до объектов атомной энергетики. Трудно представить последствия в случае успешного взлома таких инфраструктур для безопасности общества.
Хорошо подготовленный киберпреступник, используя AET, может обойти "виртуальный патч" и атаковать уязвимую систему SCADA. При этом хакер может использовать широко растиражированную "старую" атаку, такую как, например, червь Conficker, поскольку достаточно систем SCADA, все еще уязвимых для этой угрозы, которые в настоящий момент целиком полагаются на защиту "виртуального патча". Следовательно, важно, чтобы организации, ответственные за сети SCADA, знали о AET и способах устранения этой новой угрозы.
Лучшая защита против AET – нормализация протоколов. Это означает, что организации должны инспектировать и анализировать весь сетевой трафик по набору сигнатур, чтобы любая незнакомая и потенциально опасная последовательность данных могла быть легко идентифицирована, а ее распространение по сети – своевременно предотвращено. Однако это очень сложный процесс, и если нормализация протоколов не будет в полной мере реализована, эксплойты смогут "пройти" через систему безопасности, и в этом случае IPS, установленная впереди системы SCADA, будет бесполезна.
Stonesoft открыла динамические техники обхода (АЕТ) в 2010 г. и с тех пор проводит масштабные исследования этой новой угрозы с целью найти эффективные пути противодействия. Проблема продолжает быть актуальной: количество новых динамических техник обхода, по сути, бесконечно, и они представляют собой постоянно эволюционирующую угрозу как для ИБ-индустрии, так и для организаций во всем мире.
Более подробную информацию о динамических техниках обхода вы можете найти на www.antievasion.com.
STONESOFT
Тел.: (495) 787-9936, 721-8932
Факс: (495) 787-2767
E-mail: info.russia@stonesoft.com
www.stonesoft.com
Тел.: (495) 787-9936, 721-8932
Факс: (495) 787-2767
E-mail: info.russia@stonesoft.com
www.stonesoft.com
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2011
