Самые распространенные типы уязвимостей SCADA систем, стандарты и рекомендации по защите

Transcript

1. SCADA: Распространённые типы уязвимостей, стандарты и рекомендации.

2. Виталий =>Zig: bugbounty.kz ЦАРКА, pentester, BugHunter Skilled in Network Administration,

   Internet Protocol Suite (TCP/IP), Routers, Data Analysis, VSAT, VHF, UH, IP CCTV, Access Control Systems, Hosting & Storage, Data Center, End-user Infrastructure, Business and Operational Intelligence, Programmed a variety of PLC, Experienced in HMI configuration and programming.

3. Содержание ТОП 10 уязвимостей Что такое SCADA? База знаний по

   уязвимостям Стандарты и рекомендации Сборник эксплойтов Пример из Bugbounty Автор материала не несет ответственности за действия, совершенные слушателями. Информация предоставлена исключительно в ознакомительных целях.

4. Что такое SCADA? SCADA (supervisory control and data acquisition, диспетчерское

   управление и сбор данных)

5. SCADA - ТОП 10 “уязвимостей” • Устаревшее программное обеспечение. •

   Конфигурация по умолчанию. • Отсутствие шифрования. • Политики удаленного доступа. • Политики и процедуры. • Отсутствие сегментации сети. • DDoS-атаки. • Атаки на веб-приложения. • Вредоносное ПО. • Внедрение команд и Манипуляции с параметрами. https://owasp.org/

6. SCADA – стандарты и рекомендации отраслевые стандарты: –– стандарты NERC

   для систем управления электрическими сетями; –– стандарты ChemITC для химической индустрии; –– Cisco SAFE for PCN — для нефте-газовой отрасли. рекомендации общего уровня (стандарты NIST, ISA и др.): –– ISA S99 — Комитет общества приборостроения, системотехники и автоматизации (ISA), –– NIST PCSRF Security Capabilities Profile for Industrial Control Systems; –– IEC61784-4.

7. SCADA – Перечень нормативной и технической документации • Нормы технологического

   проектирования объектов сбора, транспорта, подготовки нефти, газа и воды нефтяных месторождений – ВНТП 3-85; • Нормы технологического проектирования предприятий по обеспечению нефтепродуктами (нефтебаз) ВНТП-5-95; • Автоматизация и телемеханизация магистральных нефтепроводов. Основные положения – РД 39-041-01; • Инструкции о порядке разработки, согласования, утверждения и составе проектной документации на строительство – СНиП РК 1.02-01-2007; • Правила выполнения рабочей документации автоматизации технологических процессов – ГОСТ21.408-93; • Системы автоматизации. Состав, оформление и комплектование рабочей документации. Пособие к ГОСТ 21.408-93 – РМ 4-59-95; • Основные требования к проектной и рабочей документации – ГОСТ 21.101-97; • Автоматизация технологических процессов – ГОСТ 21.404-85; • Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем – ГОСТ 34.201-89; • Единая система стандартов автоматизированных систем управления. Автоматизированные системы управления. Общие требования – ГОСТ 24.104-85; • Правила выполнения спецификации оборудования, изделий и материалов – ГОСТ 21.110-95; • Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств – ПБ 09- 540-03; • Системы автоматизации технологических процессов. Требования к выполнению проектной документации на щиты и пульты – РМ4-107-82; • Cистемы автоматизации – СНиП 3.05-85; • Автоматизация технологических процессов средств автоматизации в схемах – СТ РК 21.404-2002; • Электрооборудование взрывозащищенное. Часть 10. Классификация взрывоопасных зон – ГОСТ Р 51330.9-99 (МЭК 60079-10-95); • Электрооборудование взрывозащищенное. Часть 14 Электроустановки во взрывоопасных зонах ( кроме подземных выработок) – ГОСТ Р 51330.13- 99 (МЭК 60079-14-96; • Правила устройства вертикальных цилиндрических стальных резервуаров для нефти и нефтепродуктов ПБ 03-381-00; • Правила безопасности в нефтяной и газовой промышленности Республики Казахстан – БН-496-2; • Справочник нефтепереработчикаГл.1-8 – 665.6 С 741; • Электрооборудование взрывозащищенное. Часть 0. Общие требования –ГОСТ 51330.0-99 (МЭК 60079-0-98); • Электрооборудование взрывозащищенное. Часть 1. Взрывозащита вида «взрывонепроницаемая оболочка» – ГОСТ Р 51330.1-99 (МЭК 60079-1-98); • Электрооборудование для взрывоопасных газовых сред. Часть 11. Искробезопасная электрическая цепь «i» – ГОСТ Р 52350.11-2005 (МЭК 60079- 11-2006).

8. SCADA – стандарты и рекомендации • Исключайте подключение АСУ ТП

   к сети Интернет. • Избегайте дефолтных конфигураций. • Используйте средства проверки и блокировки использования флеш- накопителей и переносных жестких дисков. • Обеспечьте защиту от зловредного ПО, находящегося в “спящем” режиме. • Обеспечьте выполнение тестовых атак для оценки уязвимостей системы. • Внедрите систему мониторинга и обнаружение аномалий • Усильте защиту устройств: управление паролями, деактивация неиспользуемых сервисов.

9. SCADA – Основные источники, используемые в исследовании уязвимостей Базы знаний

   по уязвимостям: • ICS-CERT, • NVD, • CVE, • Bugtraq, • OSVDB, • Mitre Oval Repositories, • Exploit-db, • Siemens Product CERT.

10. Пример из BugBounty.kz • MOXA NPORT - Преобразователи RS-232/422/485 в

    Ethernet • Система управления жизнеобеспечением города, насосные станции

11. Shodan: ПРЕОБРАЗОВАТЕЛИ MOXA NPORT

12. Shodan: ПРЕОБРАЗОВАТЕЛИ MOXA NPORT

13. Shodan: ПРЕОБРАЗОВАТЕЛИ MOXA NPORT

14. OSINT- Пример из BugBounty.kz Какие инструменты были использованы: • Google

    Search • Google Hacking Database • Shodan • Censys • Maltego Система относится к КВОИК (критическим важным объектам), доступ был получен автоматизированной системе управления жизнеобеспечения города.

15. Система управления жизнеобеспечением города

16. Спасибо!