Threats and Consequences: A Security Analysis of Smart Manufacturing Systems

Безпека виробництва в епоху Industry 4.0: як зловмисники можуть хакнути завод

  • Перегляди: 812
Актуальне дослідження
Industry 4.0

Компанія Trend Micro опублікувала результати дослідження Threats and Consequences: A Security Analysis of Smart Manufacturing Systems, присвяченого атакам на промислові об'єкти. У ньому описується, як сучасні хакери можуть використовувати нестандартні моделі атак, щоб виводити з ладу «розумне» обладнання на виробництві.
Для роботи над цим дослідженням фахівці Trend Micro об'єднали зусилля з Міланським політехнічним університетом (Politecnico di Milano), який надав свою лабораторію Industry 4.0 з реальним виробничим обладнанням від лідерів галузі. На прикладі цього обладнання було продемонстровано те, як кіберзлочинці можуть використовувати уразливості в об'єктах промислового інтернету речей у своїх цілях, наприклад, для промислового шпигунства або отримання фінансової вигоди.
Фабрика Industry 4.0

Загальна архітектура розумного заводу, який фахівці використовували в дослідженні

У ключових об'єктах «розумного» виробництва в основному використовуються пропрієтарні системи, але за своєю обчислювальною потужністю вони цілком порівнянні з традиційним ІТ-обладнанням. Це означає, що можливості таких систем у багато разів перевищують необхідні для виконання цілей, для яких вони були розгорнуті, і зловмисники можуть використати ці «зайві» потужності собі на користь. Хоча в таких системах найчастіше використовуються пропрієтарні мови, вони, як і у випадку з атаками на ІТ-системи, можуть застосовуватися для введення шкідливого коду, отримання доступу до інших об'єктів мережі або крадіжки конфіденційної інформації без ризику виявлення.

«Розумні» виробничі системи спочатку проєктуються і розгортаються як ізольовані об'єкти, але ця ізоляція руйнується в міру зростання взаємодії між інформаційними та операційними технологіями у виробництві. Такі системи, як наслідок, майже позбавлені механізмів для боротьби зі шкідливим ПЗ і проведення перевірок цілісності.

До числа систем і обладнання, вразливих для злому, відносяться, наприклад, системи управління виробництвом (MES), інтерфейси «людина-машина» (HMI) і кастомні об'єкти промислового інтернету речей. Вони є слабкою ланкою в системі безпеки виробничого об'єкта, яке хакери можуть використовувати, щоб пошкодити товари, викликати несправності обладнання або внести зміни в робочі процеси, що призведе до випуску бракованої продукції.

У дослідженні пропонуються комплексні заходи для захисту від атак і зниження їх негативного впливу, включаючи:
  • глибоку інспекцію пакетів, яка підтримує протоколи операційних технологій і здатна виявити аномальні пакети даних на рівні мережі;
  • регулярні перевірки цілісності, які допоможуть виявити змінені хакерами компоненти програмного забезпечення на кінцевих пристроях;
  • використання підпису виконуваного коду в пристроях промислового інтернету речей, включаючи залежні об'єкти й ПЗ, наприклад, бібліотеки від сторонніх виробників;
  • аналіз ризиків, який зачіпає не тільки фізичну безпеку виробництва, але і софту для його автоматизації;
  • ланцюжки сертифікатів для всіх даних і програмного забезпечення в «розумних» виробничих середовищах;
  • застосування інструментів для виявлення і розпізнавання вразливостей / "програмних закладок" в складному виробничому обладнанні;
  • застосування «пісочниць» і поділ привілеїв для ПЗ промислового обладнання.
Точки входу для нападників

Точки входу для нападників

Існує кілька ключових моментів входу, які досвідчений нападник може врахувати при здійсненні нападу на розумну виробничу систему. Наприклад, порушувати ланцюг постачань програмного забезпечення (зовнішнє програмне забезпечення, бібліотеки, розширення тощо).

Інженерна робоча станція

Інженерна робоча станція — це спільна система з доменними користувачами, яка більшість часу підключена до виробничого майданчика. В основному використовується для розробки та розгортання логіки програми або для управління польовими пристроями, такими як PLC та HMI. Її також використовують для інсталяції нових програм. Зазвичай існує небезпечне довірче відношення між робочою станцією та іншою частиною системи: цим можуть скористатись.

Середовище розробки IIoT

Інтелектуальні виробничі системи іноді використовують власні промислові пристрої (IIoT - Industry IoT), які пропонують кращі можливості автоматизації, ніж класичні пристрої автоматизації, такі як PLC. Ці пристрої запрограмовані або внутрішніми працівниками, або системними інтеграторами. Зловмисник може скористатися довірчими відносинами між розумною виробничою системою та бібліотеками спеціального програмного забезпечення, які потрібні для розробки.

База даних MES

База даних MES (manufacturing execution system або система керування виробництвом) зберігає конфіденційні дані з MES, такі як робочі доручення та робочі шаблони. Решта системи імпліцитно довіряє базі даних MES, тобто зловмисник, що має доступ до мережі або до неавтентифікованої бази даних MES, може змінити виробничий або технологічний процес, підробляючи або змінюючи записи в базі даних.
Image

Залежності даних та програмного забезпечення в контексті розумної виробничої системи

Можливі напади

Можливі напади

Дослідники перевірили здійсненість кількох атак на основі різних припущень моделі дій зловмисників, зосередившись на трьох вищезазначених точках входу. Також проаналізували п'ять атак відповідно до глибини їх проникнення в систему (від точки входу до кінцевої мети).

Шкідлива надбудова

Зловмисники можуть отримати доступ до інженерної робочої станції, використовуючи шкідливі додатки та вразливе середовище розробки, характерні для промислової автоматизації. Вони можуть використовувати інженерну робочу станцію для крадіжок секретів та віддаленої троянізації програм завдань, щоб перейти до інших частин системи з метою змінити виробництво фабрики, або отримати доступ для подальших атак. Зловмисник також може скористатися тим, що в додатку є доступ до системних ресурсів.

Трояни для пристрою IIoT

Розробка для користувальницьких пристроїв IIoT часто передбачає використання ресурсів, навчальних посібників та бібліотек, які завантажуються у загальнодоступні сховища, у яких відсутні механізм чи процес перевірки їх цілісності. Деякі з цих інструментів розробки можуть мати зловмисні функції, інтегровані в їх код, або навіть можуть мати уразливості, які мимоволі запроваджуються або їхніми творцями, або розробниками, які беруть попередні бібліотеки, змінюють їх і потім знову завантажують.
Image

Огляд можливих атак

Експлуатація вразливого мобільного HMI

Ризики безпеки мобільних HMI (Human machine interface або людино-машинний інтерфейс) є досить високими. Вони працюють у закритій мережі, де надається довіра між HMI та рештою системи. Зловмисник може скористатися цим довірчим відношенням, хакнувши мобільний пристрій HMI та використати його для впливу на машини, з якими він взаємодіє.

Обмін даними в MES

Дослідники довели, що зловмисник може перейти безпосередньо до MES, щоб викликати несправності у виробництві товарів, або ввівши помилку в технологічний процес (наприклад, змінивши значення параметрів) призвести до дефектів кінцевого продукту, або шляхом введення неперервного значення у значення параметрів операції спричинити відмову в обслуговуванні, що заблокує виробництво.
Image

Елементи логіки автоматизації, які є небезпечними

Використання вразливої ​​або зловмисної логіки автоматизації у складному виробничому верстаті

Складні машини, що використовуються в розумному виробництві для виконання своїх виробничих завдань, покладаються на логіку автоматизації. Дослідники показали, що зловмисник, якому вдалося отримати доступ до мережі або до самої цільової машини, може навмисно записувати шкідливі програми, що зловживають певними функціональними можливостями, або можуть використовувати існуючі вразливості, про які програмісти навіть не думали під час розробки. І вразлива, і шкідлива логіка автоматизації можуть призвести до небезпечних наслідків — від крадіжки інформації до самовільного руху механізмів.

Прогнозний підхід до забезпечення розумних виробничих систем

Відбувається все більший зсув організацій у виробничій галузі від статичних розгортань до підключених та динамічних налаштувань із застосуванням перенастроюваних модульних установок. Відповідно до цього, у них є необхідність в коригуванні політики безпеки, не припускаючи, що кінцевим точкам або машинам у виробничому заводі слід автоматично довіряти, а замість цього вибирати більш детальний підхід.

Зважаючи на це, ми пропонуємо організаціям робити конкретні кроки щодо захисту своїх систем:

Image

На рівні мережі слід проводити глибоку перевірку пакетів, яка підтримує відповідні протоколи операційної технології (ОТ) для виявлення аномальних навантажень

Image

Для пристроїв IIoT: потрібно підписати код за допомогою ЕЦП. Мова йде не лице про прошивку, а й будь-які залежності для захисту їх від сторонніх бібліотек, які можуть приховувати шкідливі функції

Image

Для кінцевих точок: варто періодично перевіряти цілісність бази даних та програмного забезпечення, щоб отримувати сповіщення про будь-які змінені компоненти

Image

Аналіз ризиків для програмного забезпечення, призначеного для автоматизації, потрібно адаптувати. Якщо на виробництві поряд з роботами працюють оператори-люди, безпеку варто посилити - на рівні прошивки

Дослідники вважають, що організації повинні захищати себе не лише від поточних загроз, а й від можливих майбутніх загроз, дотримуючись тих самих рівнів впровадження безпеки, які можна знайти в практиці безпечного кодування та антивірусних програм, що не належать до ОТ (мобільні додатки, веб-додатки, хмарні середовища). Організації мають зосередити свою увагу на вдосконаленні своїх продуктів з точки зору безпеки.