Активная диагностика безопасности систем Smart Grid. Доклад на Security Innovation Forum, апрель 2012. Рассмотрены особенности выполнения penetration testing проектов для систем Smart Grid.

1. Активная диагностика
безопасности систем Smart Grid
Андрей Лысюк, CCIE, CISA, CISM, CISSP, ITILF
Старший консультант Ernst & Young
консультант,
Директор по сертификациям ISACA Kyiv Chapter
сертификациям,
Security Innovation Forum, 11 Апреля 2012

2. Содержание
1. Архитектура систем Smart Grid
2. Общие подходы к активной диагностике безопасности (тестам
на проникновение)
3. Анализ систем Smart Grid
A. Компьютерная сеть систем Smart Grid
B. Интеллектуальные измерительные системы
C. Приложения
4. Методы социальной инженерии
5. Заключение
Стр. 2 Активная диагностика безопасности систем Smart Grid

3. 1. АРХИТЕКТУРА СИСТЕМ SMART
GRID
Стр. 3 Активная диагностика безопасности систем Smart Grid

4. Системы Smart Grid
► Smart Grid –
автоматизированная сеть
генерации, передачи и
потребления электроэнергии
► Компоненты Smart Grid
собирают, передают и
обрабатывают информацию
об участниках сети
► Эта информация
используется для принятия
оператором или самой
системой решений по
управлению компонентами
энергетической сети
Стр. 4 Активная диагностика безопасности систем Smart Grid

5. Системы Smart Grid
► Системы Smart Grid используются для повышения
эффективности генерирования, передачи и потребления
электроэнергии на основе информации о поведении
потребителей и поставщиков
► Одна из главных целей систем Smart Grid – повышение
надежности и безотказности работы систем
► Начало развитию концепции Smart Grid в США положил ряд
крупных системных аварий на территории страны
► Технологическая база систем Smart Grid включает:
► Автоматический учет энергоресурсов
► Автоматизацию распределительных сетей
► Управление и мониторинг состояния электротехнического оборудования
Стр. 5 Активная диагностика безопасности систем Smart Grid

6. Системы Smart Grid
► Системы Smart Grid увеличивают контролируемость и улучшают
обратную связь для всех точек генерации, передачи и
потребления электроэнергии, позволяют вводить новые
сервисы (например, тарификацию в зависимости от времени
потребления)
► Многие мировые компании энергетического сектора считают
выгоды от использования систем больше стоимости внедрения
и планируют или выполняют переходы на эти системы
► Системы управления предприятием ( (ICS – Industrial Control
System) для энергетического сектора фокусируются на
)
интеграции интеллектуальной измерительной инфраструктуры
(AMI – Advanced Metering Infrastructure и переходе на сети на
Infrastructure)
базе IP (Internet Protocol)
Стр. 6 Активная диагностика безопасности систем Smart Grid

7. Анализ безопасности систем Smart Grid
► Развитие систем сдерживает неуверенность в стабильности
технологий на фоне повышенных ожиданий по доступности
► Этот фактор может быть уменьшен путем расширенного
тестирования, анализа технологии и архитектуры, проведения
диагностики безопасности
► Диагностика безопасности необходима для оценки
защищенности системы от различных угроз и атак и должна
выполнятся с учетом основных типов угроз
► Анализ безопасности включает анализ:
► Сетевой архитектуры
► Потоков данных
► Удаленного доступа
► Интеллектуальной измерительной инфраструктуры
► Приложений
Стр. 7 Активная диагностика безопасности систем Smart Grid

8. 2. ОБЩИЕ ПОДХОДЫ К АКТИВНОЙ
ДИАГНОСТИКЕ БЕЗОПАСНОСТИ
(ТЕСТАМ НА ПРОНИКНОВЕНИЕ)
Стр. 8 Активная диагностика безопасности систем Smart Grid

9. Особенности среды Smart Grid
► Отличие приоритетов в атрибутах безопасности. Доступность
важнее конфиденциальности
► Повышенный контроль выполнения проекта, особое внимание к
возможным DoS эффектам (прямым или непрямым)
► Приоритет «совместному анализу конфигураций» по сравнению
с активным действиями
► Тесное общение между командой, выполняющей активную
диагностику и персоналом клиента (инженеры, менеджеры
безопасности)
► В остальных моментах подходы к активной диагностике
безопасности систем Smart Grid аналогичны подходам к
активной диагностике безопасности для бизнес приложений
Стр. 9 Активная диагностика безопасности систем Smart Grid

10. Общие правила к проектам активной диагностики
безопасности (тестам на проникновение)
► Тесное взаимодействие с инженерами систем ICS
► Однозначное определение и утверждение объема
тестирования: перечень подсетей, систем, приложений,
исключений
► Установка протоколов общения
► Предоставление контактной информации
► Регулярные встречи (телефонные конференции) по статусу
выполнения проекта
Стр. 10 Активная диагностика безопасности систем Smart Grid

11. Определение цели тестирования
► Возможные цели тестирования:
► Получить представление о возможных атаках
► Тщательно проанализировать существующие уязвимости
► Оценить насколько вероятна компрометация
► Входящая информация для оценки рисков
► Ожидаемые результаты тестов определяют методы
► Общие подходы к проведению тестов на проникновение
► Black-box
► Grey-box
► White box
► «Слепой метод»
► Методики «маскировки» атак
► Выборка систем
Стр. 11 Активная диагностика безопасности систем Smart Grid

12. Обнаружение (discovery)
► Тестирование начинается с обнаружения объектов
тестирования и определения атрибутов объектов
► Цель фазы обнаружения – определения основных технологий,
сетевой архитектуры, приложений, версий сервисов,
уязвимостей
► Чаще всего для обнаружения используются сетевые сканеры
► Сканирование критичных систем может повлиять на доступность
► Лучше не использовать сканирование с установкой TCP соединений (full
TCP handshake)
► Сканирование может вызвать загрузку процессорных ресурсов объекта
► Снифферы (перехватчики) трафика могут использоваться как
альтернатива сканерам (пример – сканер Sophia)
► Сбор информации по Web-приложениям (ручной и
приложениям
автоматизированный методы)
Стр. 12 Активная диагностика безопасности систем Smart Grid

13. Идентификация уязвимостей
► Ручные проверки
► Автоматизированное тестирование
► Сканеры уязвимостей
► Сканеры определенных сервисов
► Сопоставление отклика объекта тестирования с базой
«цифровых отпечатков» различных систем
► Явное присутствие информации о версии сервиса в отклике
► Реакция на набор сформированных определенным образом пакетов
► Пассивный перехват трафика
► Позволяет выявить определенные уязвимости, например, проблемы с
шифрованием
► Предпочтителен для систем, где использование активных сканеров
представляет большой риск
► Комбинация тестирования с экспертным анализом
Стр. 13 Активная диагностика безопасности систем Smart Grid

14. Работа с критичными системами
► Использование тестовой среды
► Среда, идентичная продуктивной
► Репликация отдельных элементов системы (программных модулей,
устройств) в тестовой среде
► Безопасная идентификация цели
► Обсуждение деталей тестирования и возможных последствий
► Пересмотр объема тестирования
► Упражнение по оценке уязвимостей путем дискуссий (
(table top
exercise)
► Подтверждение уязвимости
► Определение потенциального ущерба
► Анализ механизмов устранения уязвимости
Стр. 14 Активная диагностика безопасности систем Smart Grid

15. Эксплуатация уязвимостей
► Найденные уязвимости необходимо проверить
► Эксплуатация уязвимостей может отличаться по степени риска
► Выполнение команд в рамках нормальной работы сервиса представляет
меньший риск для систем
► Выполнение действий за пределами нормальной работы сервиса
(переполнение буфера, вызов отказа в обслуживании) несет в себе
больший риск для систем. Необходимо взвесить выгоду от выполнения
теста с возможным ущербом
► Эксплуатация на тестовой среде
► Использование анализа версий и установленных обновлений
для проверки уязвимостей
Стр. 15 Активная диагностика безопасности систем Smart Grid

16. Эскалация привилегий
► Оценка возможности получить дополнительный доступ
► Первоначальная компрометация наименее защищенных систем
► Использование скомпрометированных систем как
промежуточных площадок для дальнейшего возможного
доступа
► Оценка архитектуры безопасности компьютерной сети
► Выполнение повторных итераций тестирования
► Системы управления энергетическими компаниями
разрабатываются с фокусом на доступность и
отказоустойчивость. При этом вопросы контроля привилегий
отодвигаются на второй план
Стр. 16 Активная диагностика безопасности систем Smart Grid

17. Основные категории уязвимостей
► Неправильная обработка входов
► Ошибки в коде и конфигурации программных модулей
► Недостатки аутентификации
► Недостатки в управлении привилегиями и правами доступа
► Недостатки проверки аутентичности данных
► Управление ключами
► Недостатки шифрования
► Мониторинг действий и событий
► Недостатки архитектуры и конфигурации компьютерной сети
► Излишние разрешения в правилах межсетевых экранов
Стр. 17 Активная диагностика безопасности систем Smart Grid

18. 3. АНАЛИЗ СИСТЕМ SMART GRID
Стр. 18 Активная диагностика безопасности систем Smart Grid

19. 3. АНАЛИЗ СИСТЕМ SMART GRID
A. Сетевая архитектура
Стр. 19 Активная диагностика безопасности систем Smart Grid

20. Сетевая архитектура Smart Grid
Корпоративная сеть Home Area
Network
Подстанция Подстанция (HAN)
Wide Area Neighborhood
Межсетевой Магистральная area network
Network
экран сеть (NAN)
(WAN)
Операционная сеть Подстанция Home Area
Сервер
Network
Operator (HAN)
HMI реального Historian
console
IED RTU
времени
Стр. 20 Активная диагностика безопасности систем Smart Grid

21. Особенности традиционной сетевой архитектуры
Smart Grid
► Географическая удаленность элементов
► Традиционно использовались закрытые протоколы
► Различные производители аппаратных и программных
компонент
► Отклонение от основных принципов построение сетей:
► Масштабируемость
► Открытость
► Взаимодействие оборудования различных производителе
► Сложности в определении требований информационной
безопасности и внедрении контролей
► Отсутствие стандартизации
► Сложные условия эксплуатации
► Сегменты сети могут быть физически разделены
Стр. 21 Активная диагностика безопасности систем Smart Grid

22. Интеграция с ИТ сетями
► Переход на Smart Grid требует увеличения интеграции
► Объединение сегмента ICS (операционная сеть) и
операционная
корпоративной сети
► Традиционные протоколы в системах SCADА (Supervisory
Control and Data Acquisition) замещаются или туннелируются
через IP
► Modbus TCP/IP
► DNP3 over IP
► Новые уязвимости, которые не характерны для серийных
протоколов
► Перехват и анализ DNP3 over IP пакета
► Модификация и повторная передача захваченного пакета
Стр. 22 Активная диагностика безопасности систем Smart Grid

23. Периметр
► Периметр представляет первый эшелон защиты
► Ошибочно считается, что операционная сеть отделена от
остальных сегментов
► Управление IED (Intelligent Electronic Devices) требуется из
нескольких точек (центров управления)
► Wide Area Network используется для подключения удаленных
точек. Недостатки в конфигурации межсетевых экранов
приводят к возможным атакам со стороны Wide Area Network
Стр. 23 Активная диагностика безопасности систем Smart Grid

24. Возможные недостатки архитектуры сети
► Часто протоколы работы, например протокол ICCP (Inter-Control
Center Communications Protocol), не используют аутентификации
и шифрования. Возможность передать команду из
неавторизованного контрольного центра
► Использование Wi-Fi с небезопасными параметрами для
подключения компонент Smart Grid сети
► Уязвимости в программном обеспечении удаленного доступа,
которое используется для доступа вендоров
► Недостатки QoS и определения приоритета для трафика
управления
Стр. 24 Активная диагностика безопасности систем Smart Grid

25. Сегментация сети
► Корпоративная сеть
► Размытие границ
► Доступ администраторов ICS в операционную сеть
► Рабочие станции администраторов – основная цель
► Взаимодействие с рынком (например OASIS – Open-Access-Sametime-
Information-System)
► Операционная сеть
► SCADA
► Исторические данные
► Требования к надежности и доступности
► Магистральная сеть
► Общение между подстанциями и контрольным центром
► NAN – Neighborhood area networks
► Сети для поддержки интеллектуальных измерительных систем
Стр. 25 Активная диагностика безопасности систем Smart Grid

26. 3. АНАЛИЗ СИСТЕМ SMART GRID
B. Интеллектуальные измерительные системы
Стр. 26 Активная диагностика безопасности систем Smart Grid

27. Интеллектуальные измерительные системы
► Интеллектуальные измерительные системы являются
дополнительной движущей силой перехода на IP сети и
стандартизации
► Двусторонняя связь
► Дополнительные преимущества для производителей и
потребителей:
► Тарификация в зависимости от времени потребления
► Управление восстановлением после сбоев
► Смещение парадигмы и интеграция операционной сети и
корпоративной сети
Стр. 27 Активная диагностика безопасности систем Smart Grid

28. Угрозы и недостатки интеллектуальных
измерительных систем
► Расположение на территории потребителей
► Полезный срок использования измерителей – несколько
десятилетий. Измеритель может долго находится у
потенциального злоумышленника, который будет выполнять
обратный инжиниринг
► Архитектура измерителей разрабатывалась без учета вопросов
безопасности
► Возможность несанкционированного подключения по
протоколам удаленного доступа
► Подверженность зловредному коду
► Результаты атак – сбои в работе электросетей или
мошенничество с отчетами потребления
Стр. 28 Активная диагностика безопасности систем Smart Grid

29. Активная диагностика безопасности
интеллектуальных измерительных систем
► Предотвращение вскрытия устройства
► Препятствие вскрытию (например, стирание памяти при вскрытии)
► Обнаружение вскрытия (например, печати)
► Предположение, что устройство будет физический скомпрометировано
► Расположение на территории клиента
► Длительный срок эксплуатации
► Анализ конфигурации
► Анализ интерфейсов
► Наличие внешнего физического интерфейса для управления
► Протоколы передачи данных
► Подключение специализированной аппаратной части
Стр. 29 Активная диагностика безопасности систем Smart Grid

30. Активная диагностика безопасности
интеллектуальных измерительных систем
► Анализ шины данных
► Анализ пульсов, кодирующих данные
► Анализ шифрования данных
► Анализ микроконтроллера
► «Clock glitching»
► «Power glitching»
► Анализ ПЗУ (EPROM – erasable programmable read
read-only memory)
► Конфигурация
► Операционная система
► Ключи шифрования
Стр. 30 Активная диагностика безопасности систем Smart Grid

31. 3. АНАЛИЗ СИСТЕМ SMART GRID
С. Приложения
Стр. 31 Активная диагностика безопасности систем Smart Grid

32. Приложения ICS систем
► Приложения вендоров ICS систем закрыты по своей природе
► Неширокое использование увеличивает вероятность
присутствия уязвимостей
► Могут использоваться злоумышленниками для обратного
инжиниринга
► Атаки на приложения ICS систем могут потенциально принести
большую выгоду для злоумышленников. Как следствие
следствие,
ресурсы, которые выделяются злоумышленниками для анализа
относительно большие
► СERT (Computer Emergency Response Team) создал орган ICS-
ERT
CERT для ответственного раскрытия информации об
уязвимостях
Стр. 32 Активная диагностика безопасности систем Smart Grid

33. Анализ конфигурации приложения
► Шифрование
► Поддержка протоколов взаимодействия
► Использование механизмов аутентификации
► Настройки по умолчанию
► Пароли
► Пароли по умолчанию
► Пароли, которые внесены в код системы
► Зловредное ПО, нацеленное на системы SCADA использует внесенные в
код системы пароли (например Stuxnet)
Стр. 33 Активная диагностика безопасности систем Smart Grid

34. Сервисы и протоколы
► Изначально использовались закрытые протоколы вендоров
► Миграция на IP требует стандартизации протоколов
► Внедрение Web технологий в среду ICS
► OPC UA (OPC Unified Architecture)
► Microsoft COM (Component Object Model)
► SOA (Service Oriented Architecture)
► Платформа Microsoft .NET
► Поддержка Java для кросс-платформенного внедрения
платформенного
Стр. 34 Активная диагностика безопасности систем Smart Grid

35. Подходы к диагностике приложений
► Black-box
► Выполняется только на работающем коде
► Отсутствие первоначальной информации о системе
► Проверка обходных путей аутентификации и авторизации
► Манипуляция вводом полей
► Анализ функциональности
► White-box
► Глубокий анализ внутренней работы приложения
► Анализ шифрования
► Анализ аутентификации и контролей доступа
► Анализ работы кода не выполняется
► Grey-box
► Комбинация первых двух подходов
► Наиболее эффективный подход
Стр. 35 Активная диагностика безопасности систем Smart Grid

36. 4. МЕТОДЫ СОЦИАЛЬНОЙ
ИНЖЕНЕРИИ
Стр. 36 Активная диагностика безопасности систем Smart Grid

37. Методы социальной инженерии
► Социальная инженерия является искусством влияния на людей
с целью убедить людей:
► Предоставить конфиденциальную информацию
► Выполнить неавторизованные действия
► Предоставить неавторизованный доступ
► Влияние на людей выполняется путем
► Обмана
► Насилия
► Запугивания
► Жалости
► Включение методов социальной инженерии в активную
диагностику безопасности систем позволяет:
► Выявить недостатки в административных мерах
► Применять методы, которые более полно отображают спектр действий,
выполняемых потенциальными злоумышленниками
Стр. 37 Активная диагностика безопасности систем Smart Grid

38. Методы социальной инженерии
► Фишинг
► Целевая аудитория наиболее широкая (например, все сотрудники
компании)
► Возможная атака на субконтракторов
► Использование технических уязвимостей для эскалации привилегий
► «Spear phishing» - целевая аудитория более узкая
► Администраторы ICS
► Доступ к критичным системам
► Беспокойство по поводу доступности систем
► Физический доступ
► Энергетические компании фокусируются на вопросах безопасности
жизнедеятельности, а не информационной безопасности
► Портативные медиа-носители
► Несколько методов (утерянный носитель, приз)
Стр. 38 Активная диагностика безопасности систем Smart Grid

39. 5. ЗАКЛЮЧЕНИЕ
Стр. 39 Активная диагностика безопасности систем Smart Grid

40. Заключение
► Интеграция операционных сетей с корпоративной сетью в
системах Smart Grid устраняет традиционную физическую
границу и выдвигает новые требования к информационной
безопасности
► Активная диагностика информационной безопасности
позволяет выявить недостатки контролей и помочь с оценкой
рисков в системах Smart Grid для целей определения
приоритета выделения ресурсов
Стр. 40 Активная диагностика безопасности систем Smart Grid

41. Основные соображения при проведении тестов
► Определение целей теста и желаемых результатов
► Определение наиболее вероятных угроз
► Анализ доступа к системам
► Определение ключевых людей для выполнения теста
► Определения плана по коммуникациям
► Выбор системы для тестирования: продуктивная или тестовая
► Предоставление начальной информации тестерам
Стр. 41 Активная диагностика безопасности систем Smart Grid

42. Вопросы?
Стр. 42 Активная диагностика безопасности систем Smart Grid