Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » Инциденты информационной безопасности АСУ ТП зарубежных государств
Новости

Инциденты информационной безопасности АСУ ТП зарубежных государств

автор: Administrator | 5 октября 2010, 14:05 | Просмотров: 10796
теги: УЯЗВИМОСТИ, АСУ ТП, Статистика



 Инциденты информационной безопасности АСУ ТП зарубежных государств Специалисты компании «Станкоинформзащита», основная деятельность которой направлена на разработку программного обеспечения и средств защиты информации, в том числе содержащих сведения, составляющие гостайну — опубликовали аналитический отчёт об инцидентах информационной безопасности АСУ ТП зарубежных государств по материалам Интернет-изданий за 2008-2010 гг.

Автоматизированная система управления технологическим процессом (АСУ ТП), это комплекс программных и технических средств, предназначенный для автоматизации управления технологическим оборудованием на предприятиях. Под АСУ ТП обычно понимается комплексное решение, обеспечивающее автоматизацию основных технологических операций на производстве в целом или каком-то его участке, выпускающем относительно завершенный продукт. Термин автоматизированный в отличие от термина автоматический подчеркивает возможность участия человека в отдельных операциях, как в целях сохранения человеческого контроля над процессом, так и в связи со сложностью или нецелесообразностью автоматизации отдельных операций.

  1. Статистика уязвимостей программно-аппаратного обеспечения сектора АСУ ТП
    На сегодняшний момент существующие подходы к обеспечению информационной безопасности элементов АСУ ТП являются недостаточными в виду особенностей архитектуры и свойств программно-аппаратного обеспечения её элементов, что предоставляет злоумышленнику несколько векторов воздействия на технологические автоматизированные системы. С развитием информационных технологий и существенным усложнением архитектуры АСУ ТП появились множественные угрозы информационной безопасности, реализация которых со стороны злоумышленника может привести к катастрофическим последствиям.

    За период с 2008 по 2010 год в элементах АСУ ТП, составляющих её программно-аппаратную базу, были обнаружены множественные уязвимости, которые могут привести к нарушению корректной работы технологического процесса и реализации угроз несанкционированного доступа к информации, обрабатываемой в:
    • системах диспетчерского управления и сбора данных (SCADA);
    • отдельных интерфейсах управления объектами автоматизации;
    • элементах телеметрической подсистемы и телемеханики;
    • прикладных приложениях для анализа производственных и технологических данных;
    • системах управления производством (MES-системы);

    В настоящем аналитическом отчёте отдельно выделялись специфичные АСУ ТП уязвимости, наряду с векторами атак, уже нашедшими своё применение в отношении современных WEB-приложений, СУБД, компонентов операционных систем, стороннего прикладного ПО.

    Использование традиционных информационных технологий в элементах АСУ ТП является одной из причин низкого уровня защищённости большинства из них. Данный фактор позволяет злоумышленнику апробировать существующие знания в отношении элементов АСУ ТП, что говорит о существенной доступности эксплуатации уязвимостей по открытым источникам (подтверждается наличием афишированного способа эксплуатации в виде «эксплоита» или «Proof-of-Concept»).

    Время устранения уязвимости варьируется и было дополнительно изучено в ходе составления отчёта для уточнения возможного интервала пребывания скомпрометированной АСУ ТП или её элементов в аварийном состоянии. Содержание отчёта было построено исключительно на общедоступных сведениях и фактах о случившихся инцидентах информационной безопасности АСУ ТП и опубликованных уязвимостях. Представленные уязвимости на данный момент не являются критическими в связи с выпуском обновлений безопасности для каждой из них.

    Дополнительным источником происхождения представленных инцидентов информационной безопасности являлись специализированные базы данных учёта инцидентов такого рода в секторе критически важных инфраструктур зарубежных государств:
    • RISI (The Repository of Industrial Security Incidents);
    • ISID (Industrial Security Incident Database);

    Публикация направлена на повышение уровня осведомлённости специалистов в области автоматизации технологических процессов, сотрудников подразделений информационной безопасности данного сектора, специалистов по анализу защищённости автоматизированных систем критически важных объектов.

    1. 1.1 Использованная методика анализа характеристик и свойств уязвимости

      При составлении данного аналитического отчёта специалистами НТЦ «Станкоинформзащита» использовалась общая система оценки уязвимостей версии 2 (CVSS v2), которая позволяет наиболее ёмко описать свойства уязвимости и соответствующие риски, которые она может за собой повлечь. CVSS v2 разбита на три группы описательных метрик: базовые, временные и метрики окружения.
      Базовые метрики
      описывают основные свойства уязвимости;

      Временные метрики
      описывают характеристики, изменяющиеся с течением времени, среда применения уязвимости (окружения) не влияет на их изменение;

      Метрики окружения
      свойства уязвимости, характерные определённой среде применения уязвимости

      К каждой из групп определены параметры, значения которых подсчитываются по специальной методике. После выставления соответствующих значений, результат вычисления градируется по шкале от 1 до 10, пропорциональной шкале от низкого уровня критичности до высокого.

      Для тех уязвимостей, подсчёт показателей CVSS v2 которых не проводился, были проведены дополнительные описания с выставлением значений групп метрик по сведениям информационно-аналитических ресурсов, зафиксировавших появление уязвимости (ленты уязвимостей «Bugtrack», ресурсы технической поддержки пользователей на официальных сайтах производителей программной продукции).




    2. 1.2 Использованная методика оценки последствий реализации угроз НСД АСУ ТП

      После определения свойств уязвимостей в программных продуктах элементов АСУ ТП проводился сравнительный анализ угроз реализации НСД в отношении АСУ ТП с использованием:
      1) организации апробации уязвимости в стендовых условиях лаборатории;
      2) анализа категории безопасности (КБ, SC) и соответствующего суммарного ущерба (Impact), который может быть нанесён информационной системе на примере информационных систем федерального уровня зарубежных государств в соответствии с документом FIPS 199 «Standards for Security Categorization of Federal Information and Information Systems»;

      В основе методики лежит описание ущерба от воздействия на каждую из составляющих информационной системы по критериям показателей раскрытия конфиденциальности, нарушения целостности и доступности.
      Значения показателей нанесённого ущерба:
      низкий уровень ущерба
      НИЗКИЙ, раскрытие конфиденциальности, нарушение целостности и доступности влекут несущественные, ограниченные или предотвратимые последствия;

      средний уровень ущерба
      СРЕДНИЙ, раскрытие конфиденциальности, нарушение целостности и доступности влекут существенные негативные последствия в отношении деятельности Владельца информационной системы, её пользовательских активов;

      высокий уровень ущерба
      ВЫСОКИЙ, раскрытие конфиденциальности, нарушение целостности и доступности влекут катастрофические последствия;



  2. Доступность сведений для успешной эксплуатации уязвимостей
    Одним из критериев, существенно влияющих на возможность эксплуатации уязвимости, является доступность сведений о ней злоумышленнику. В настоящий момент 35% из числа всех приведённых уязвимостей имеют доступный функциональный код эксплуатации, включённый в состав свободно распространяемых программных пакетов для анализа защищённости и проведения тестов на проникновение.


  3. Распространение специального злонамеренного кода в секторе АСУ ТП
    Отдельной угрозой, частично использующей штатные методы для исполнения, является распространение злонамеренного кода для кражи критически важных данных о проектах технологических процессов и нарушения их корректной работы, подтверждение чему является факт распространения вредоносного кода «Rootkit.TmpHider» и «Scope.Rookit.TmpHider.2». Многие популярные системы диспетчеризации (SCADA) базируются на платформе ОС Microsoft Windows, поэтому данный факт указывает на необходимость обеспечения информационной безопасности операционной системы, на которую устанавливается прикладное программное обеспечение.

    Названные образцы вредоносного кода использовали уязвимость MS10-046 в Windows Shell, позволяющей неавторизированно исполнить произвольный код с помощью отображения специально сформированного ярлыка оболочки ОС Microsoft Windows. Основным методом распространения являлось применение отделяемых носителей (USB-flash, Compact-Flash, сторонние съёмные носители информации), которые могут использовать Операторы для управления проектами технологических процессов, обмена информацией между собой.


  4. Статистика инцидентов информационной безопасности сектора АСУ ТП
    Анализ повышения интереса независимых исследователей был существенно высок в период 2008 года. Практически из всех известных общественности уязвимостей были обнаружены в это время, наибольший рост появления сводок о безопасности компонентов АСУ ТП был зафиксирован в период с марта по сентябрь. Данный факт сопровождался появлением соответствующих инцидентов безопасности данной области.


Полный отчёт, который включает в себя интересные сведения, примеры и многое другое — можно скачать по адресу: industrial_incidents_2010.pdf



источник:
itdefence.ru
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.