Почему испытания в автономном режиме не являются на 100 % безопасными: достигаем должного уровня защиты от киберугроз с CMC 500
На протяжении многих лет безопасность подстанций строилась на неоспоримом предположении: «Оборудованию ничего не грозит, ведь мы проводим испытания в автономном режиме». Долгое время наши рабочие процессы строились с учетом этой утешительной идеи, создающей иллюзию безопасности. Однако теперь стало ясно, насколько далекой от реальности и рискованной она является.
Вера в простое решение, вселяющая нам ранее чувство защищенности, сделала нас уязвимыми, а все потому, что угрозы приняли другой облик. Сегодня они не только атакуют объекты извне, стараясь проникнуть вовнутрь, но и ждут своего часа на USB-накопителях или в скомпрометированных файлах настройки — в пределах доверительной зоны.
Когда опасность уже внутри, отключение Интернета не поможет обезопасить систему. Ваш испытательный комплект более не изолирован; он становится первоочередной целью атак и, потенциально, ахиллесовой пятой системы безопасности.
В этих новых условиях вам предстоит принять ответственное решение. Стоит ли полагаться только на процедуры кибербезопасности, чтобы защитить систему от потенциальных уязвимостей внутри ваших инструментов? И мы учли такой выбор при проектировании комплекта CMC 500. Чтобы увидеть, как это работает на практике, рассмотрим простой пример, который представляет ситуацию с двух перспектив.
Кибербезопасность — не функция. Это непреложный принцип, лежащий в основе архитектуры системы.
Реальная киберугроза на объекте: история Джона и Джейн
Это Джон — педантичный инженер-релейщик. Он строго придерживается установленных процедур и высоких стандартов и при этом безоговорочно доверяет используемым им методам и инструментам. От его действий зависит устойчивость энергосистемы.
А это Джейн. Она — хакер, и хорошо знает, как воспользоваться подобным безоговорочным доверием и слепым следованием процедурам.
Рабочий день Джона начинается на подстанции «Альфа» с обычных задач. С файлового сервера он загружает нужные файлы испытаний, а USB-накопитель с обновленным файлом установок клиент передает ему непосредственно на объекте. Джон методично следует процедуре: все подключения своего компьютера к сети, в том числе к офисному серверу (кроме подключения к испытательному комплекту) отключены.
Кажется, все правильно, не так ли?
Однако Джейн уже сделала свой ход. Несколько дней назад она с помощью социальной инженерии внедрила вредоносную программу на файловый сервер офиса. На ПК Джона установлены новейшие патчи безопасности и современный антивирус, однако Джейн обнаружила уязвимость нулевого дня и воспользовалась ею.
Защита от атак типа «человек посередине» благодаря использованию шифрованной связи
Когда Джон приступает к проведению испытания, вредоносная программа на его ПК активируется. Ее основная цель — перехват. Программа пытается проанализировать данные, которыми обменивается ПК с испытательным комплектом, и добыть пароли, настройки IP или сведения о встроенном ПО.
Результат: CMC 500 передает данные в зашифрованном виде с первого пакета. При перехвате хакер видит лишь бессмысленный набор символов.
После неудачи вредоносная программа переходит к активным действиям. Она ведет себя как посредник между испытательным комплектом и компьютером Джона, выдавая себя то за комплект, то за ПК, в зависимости от того, с каким устройством взаимодействует. Это классическая атака типа «человек посередине», целью которой является перехват команд и их использование в корыстных целях.
Как реагирует CMC 500: CMC 500 не строит догадок. Он использует шифрование с открытым ключом и цифровые сертификаты, позволяя ПК убедиться в подлинности CMC 500. Уникальный секретный ключ CMC 500 хранится в аппаратном модуле Trusted Platform Module 2.0 (TPM 2.0), обеспечивая защиту от физического доступа. Поскольку вредоносная программа Джейн не может создать действительный сертификат, подключение сразу же блокируется. Это резко контрастирует с устаревшими подходами, на которые полностью полагаются испытательные комплекты. В такой ситуации система сочла бы соединение надежным и не распознала бы атаку с подменой устройства.
Нет сертификата — нет подключения. Без подтверждения подлинности доступ невозможен.
Защита подключений по Wi-Fi от несанкционированного доступа
Джон приступает к испытанию, которое предполагает подачу сигналов на первичную обмотку. Он использует свой многофункциональный испытательный комплект CMC 500 в качестве источника
первичного тока. После этого Джон подключается по Wi-Fi, что позволяет ему свободно передвигаться и эффективно выполнять измерения.
Однако Джейн не сдается. После первой неудачной попытки она решает сменить тактику — разместится вблизи подстанции и подключиться к испытательному комплекту напрямую через сеть Wi-Fi. В случае успеха она сможет внедрить вредоносные команды, запустить опасные операции или даже нанести вред персоналу на подстанции. Это прямая атака на систему контроля доступа к устройству.
Как реагирует CMC 500: это именно та ситуация, когда базовые процедуры безопасности усиливаются благодаря конструктивным решениям. Джон не просто подключается — он создает дополнительный уровень безопасности. Его ПК автоматически выполнил аутентификацию CMC 500. Однако добавив пароль, он активировал взаимную аутентификацию: теперь комплект CMC также будет проверять, что за устройство пытается подключиться. Без правильных учетных данных или физического доступа для их сброса Джейн не удастся проникнуть в систему.
Нет пароля — нет доступа. Никаких брешей в системе безопасности.
Гарантия целостности встроенного ПО благодаря защищенной и измеряемой загрузке
После очередной неудачи Джейн меняет тактику и переходит к атакам на фундаментальном уровне. Когда Джон подключается к сети подстанции для обновления установок, Джейн пытается загрузить пакет вредоносного встроенного ПО в CMC 500. В случае успеха это поврежденное встроенное ПО смогло бы запустить нежелательные операции, атаковать другие интеллектуальные электронные устройства в сети или пассивно ожидать своего часа до наступления критического момента.
Именно в этот момент проявляется ключевое различие между проактивным конструктивным предупреждением и политикой реактивного противодействия. Другой испытательный комплект, скорее всего, загрузил бы операционную систему сразу, рассчитывая, что послеустановочное сканирование обнаружит угрозу. Но к этому моменту защита уже будет нарушена.
Как реагирует CMC 500: этот комплект никогда не пропустит непроверенный код. Он использует защищенную и измеряемую загрузку — процесс, реализованный на уровне аппаратного модуля TPM 2.0. Еще до того, как программа установки выполнит первую команду, встроенное ПО OMICRON проверяет ее подлинность с помощью подписи. Уже во время установки производится криптографическая проверка и измерение каждого компонента встроенного ПО, а также сравнение с известными контрольными суммами.
А вот вредоносная программа Джейн подписи не имеет. Что мы получаем в итоге? Установка не осуществляется. Соответствующий процесс не запускается.
Без проверки нет исполнения.
Не формальность, а реальное обязательство: наш подход к безопасности охватывает весь жизненный цикл продукта
История Джона и Джейн не уникальна. Пока вы читаете этот текст, злоумышленники вроде Джейн непрерывно ищут способы обойти защиту и воспользоваться неустраненными уязвимостями. Вот почему безопасность не может сводиться к разовой формальной проверке. Этот процесс должен охватывать весь жизненный цикл продукта.
Наша компания применяет прозрачный и проактивный подход к устранению уязвимостей. Подробнее об этом можете прочесть в статье журнала OMICRON. Независимо от того, обнаружены ли потенциальные уязвимости нашей командой или о них сообщили пользователи, для их устранения мы:
- регулярно обновляем ПО — для исправления ошибок и повышения устойчивости системы;
- информируем о способах противодействия атакам, чтобы вы имели все необходимые сведения для защиты вашего оборудования.
Для нас безопасность — не просто функция, а обязанность. Ежедневно, в каждом устройстве CMC 500.
Многоуровневая защита: как CMC 500 обеспечивает безопасность испытаний
Проверка подлинности и защита учетных данных
- Шифрование с открытым ключом
- Сквозное шифрование при передаче данных
- Модуль Trusted Platform Module (TPM 2.0)
- Взаимная аутентификация
Целостность встроенного ПО
- Защищенная и измеряемая загрузка
Безопасность на протяжении всего жизненного цикла продукта
- Управление уязвимостями на каждом этапе.
Хотите изучить тему глубже?
По мере того как хакеры вроде Джейн совершенствуют свои методы, нам следует менять подход к кибербезопасности испытаний.
Больше информации — в следующем выпуске нашего подкаста: #116: Why Testing Offline Is Not Cyber Secure
В этом эпизоде наши эксперты подробно рассмотрят нижеприведенные темы.
- Почему «автономно» не значит «безопасно»
- Реальные сценарии атак и способы обхода традиционной защиты на подстанциях
- Как встроенные средства безопасности, такие как TPM 2.0 и процесс защищенной и измеряемой загрузки обеспечивают устойчивость устройства к атакам
Ведь безопасность — не просто функция, а комплексный подход.
Выберите испытательный комплект, готовый противостоять угрозам, не дожидаясь их появления
Не ждите, пока следующая атака выявит слабое звено в безопасности системы. Действовать только после возникновения угрозы теперь недостаточно. Пора выстроить систему защиты на основе проактивных и продуманных функций, которые сделают ее надежной по умолчанию.
Защитите вашу энергосистему с помощью инструмента, предназначенного для противостояния будущим угрозам, а не реагирования на вчерашние.
Проактивное управление уязвимостями в действии
Узнайте, как CMC 500 может повысить безопасность при проведении испытаний и защитить критически важную инфраструктуру.
