Безопасность промышленных систем автоматизированного управления (АСУ) называли архаичной, смехотворной и даже несуществующей. Большинство систем АСУ и SCADA были построены без оглядки на Интернет, со значительно меньшей безопасностью, но именно они сейчас на переднем плане в производстве, автоматизации зданий и критической инфраструктуре.

Операторы и инженеры обычно озабочены одной вещью — бесперебойностью работы. Доступность сервиса ставят во главу угла, из-за чего нередко приходится пренебрегать установкой патчей, так как это может потребовать временного выключения сервиса.

Процессы отслеживания и анализа инцидентов отлажены еще меньше, по мнению экспертов. Это упущение собрался исправить Скотт Вестон с помощью OpenICS, проекта, спонсируемого EnergySec (Energy Sector Security Consortium, консорциум безопасности энергетического сектора). OpenICS — библиотека, недавно выпущенная на GitHub, которая декодирует перехваченный трафик сетей управления; в данный момент она поддерживает три распространенных протокола для АСУ: MODBUS, DNP3 и EIP/CIP.

«Это компоненты специального назначения, которые знают, как интерпретировать трафик системы управления, и строят словари данных из трафика, которые могут быть использованы для описания сценариев определенных ситуаций, интересных в контексте безопасности», — сообщил Вестон.

По словам Вестона, словари данных, или репозитории метаданных, — ключевой фактор в успехе OpenICS. Вместо разработки сигнатур, которые можно разве что загрузить в систему обнаружения вторжений, словари данных помогают закрыть разрыв между знающими о безопасности инженерами и бизнес-операторами в критической инфраструктуре.

«Раз мы работаем со словарем данных, мы можем написать сложные предикативные выражения на его основе, — рассказал Вестон, который работает в ЖКХ северо-запада тихоокеанского побережья. — Вы можете написать сложные скриптовые правила для проверки трафика, вместо того чтобы использовать сигнатуры, проверяющие трафик капля за каплей. Это дает значительно больше возможностей для технических специалистов и деловых людей».

«Технические специалисты разбираются в TCP/IP-пакетах и сетевых уровнях, а деловые люди понимают, что должны делать эти АСУ, — сказал Вестон. — Я бы хотел, чтобы эти ребята оперировали словарями данных, которые говорят: «Вот артефакты данных из трафика; используйте их для принятия решений насчет того, что происходит и что не должно происходить». Я вижу огромный потенциал в этом».

Модель, основанная на сигнатурах, лежит в основе технологии информационной безопасности и требует анализа и человеко-часов для того, чтобы разобраться, что происходит; в этом маловато бизнес-контекста. Вестон заявил, что OpenICS должна облегчить этот стресс-фактор.

«Сигнатуры рассматривают непрозрачные данные просто как непрозрачные данные, — сказал Вестон. — Сигнатуры работают на очень низком уровне и неинтуитивны; чтобы их составить, требуется техническая экспертиза. Если же у вас есть модуль, который строит для вас словарь данных, вы можете скриптованными выражениями описывать, что является проблемой безопасности, а что нет».

Вестон сообщил, что он работает над добавлением поддержки большего числа протоколов, но первые три были естественными стартовыми точками вследствие их распространенности в американских АСУ. По его словам, в то время, как основное спонсорство EnergySec имеет решающее значение, он надеется, что доступность проекта на GitHub поможет ему набрать обороты и будет действовать как шлюз для обратной связи, что в конечном итоге сделает его широко распространенной функцией во многих продуктах инспекции трафика.

«Самый большой плюс, по моему мнению, в том, что проект позволяет задействовать бизнес в вопросах безопасности, не только компьютерных гиков, — сказал Вестон. — Это деловые люди, которые знают, что нормально, а что ненормально для сети, но у них есть широкая перспектива, а не перспектива битов и байтов. Я надеюсь, что мы закроем этот разрыв».

Категории: Кибероборона, Уязвимости