УДК 004.056.5:378.3

Особенности активного аудита информационной безопасности АСУ предприятия

Подтопельный Владислав Владимирович – старший преподаватель кафедры Информационной безопасности Балтийской государственной академии рыбопромыслового флота Калининградского технического университета.

Аннотация: Рассмотрены особенности активного аудита информационной безопасности систем обработки информации и управления. Указаны особенности анализа результатов активного аудита автоматизированных систем управления технологическими процессами. Приведены особенности фаз аудита многоуровневых информационных систем.

Ключевые слова: Сетевые атаки, сетевое правило, сигнатура, система обнаружения вторжений, угроза, протокол.

После введения в действие приказа ФСТЭК №31 от 14 марта 2014 г. возникла необходимость рассмотреть более подробно проблемную область аудита подсистем АСУ ТП[1]. Требуется определить особенности поиска уязвимостей в автоматизированных системах управления с учетом специфики технологических процессов, а так же особенности методики анализа сочетания угроз и уязвимостей.

Пассивный аудит позволяет решать вопросы анализа состояния безопасности систем без взаимодействия с системными элементами, в то время как аудит активного типа при работе с компонентами АСУТП сильно ограничен. Трудность состоит в том, что компоненты автоматизированных систем управления, размещенные на разных уровнях, сильно различаются по технологии исполнения. Ограничения, прежде всего, связаны с технологиями, которые реализуются на уровнях компонентов обрабатывающих техническую информацию от полевых устройств. При этом другие уровни АСУ с данной информации уже не работают. Данные особенности следует учесть при определении способов анализа угроз и уязвимостей.

Кроме того, аудит активного типа при взаимодействии с компонентами АСУТП не должен нарушить технологию обработки данных и при этом в результате тестирования должен быть получен максимум информации о состоянии системы. Также и сама методика анализа результатов должна учитывать указанные особенности аудита активного типа. Следовательно, необходимо найти такую методику анализа безопасности подсистем АСУ ТП, которая бы учитывала, с одной стороны, уровневую архитектуру системы, а, с другой стороны, технические особенности, как функционирования подсистем, так и процедур аудита[2].

При определении специфики тестирования выделяют следующие уровни АСУ: уровень планирования, уровень управления, уровень диспетчерского управления, уровень автоматического управления, полевой уровень. Предполагается, что каждый из этих уровней уязвим. Однако сами уязвимости различаются в соответствии с различиями применяемых на уровне АСУ технологий. Следует отметить, что на уровнях, расположенных над диспетчерским слоем, скорость передаваемой информации не критична так, как на полевом или диспетчерском уровне, поскольку компоненты этих (нижних) уровней транслируют данные по сети в режиме реального времени (с минимальной задержкой, при этом большие задержки по времени передачи не допустимы) [3]. Соответственно, время задержки в этом случае является показателем критичности.

Следуя требованию учитывать технологии уровней АСУ при тестировании, можно сделать вывод о том, что аудит будет заключаться в отдельном исследовании и анализе каждого технологически отличного уровня. И только после полного исследования состояния всех уровней, суммируя полученные данные, можно будет оценить общую уязвимость или защищенность системы.

При анализе результатов активного аудита удобно применять граф компрометации, который учитывает вероятностные показатели проникновения в систему с учетом всех ситуаций, которого могут возникнуть у злоумышленника, а также с учетом времени, которое затрачивает злоумышленник для достижения заданных им целей. Основным показателем уровня защищенности/незащищенности является время, затрачиваемое злоумышленником на достижения целей компрометации на каждом слое. При этом, чем больше время, затрачиваемое на компрометацию, тем выше вероятность отражения атаки. Таким образом, время компрометации каждого слоя АСУ, учитывая все действия атакующего, определяются по формуле[4]:

image001 (1),

где: P1 — вероятность успешного компрометации, когда известна и актуальна эксплуатируемая на уровне АСУ уязвимость, и злоумышленник располагает средствами ее эксплуатации с учетом технологии уровня (подпроцесса 1);

P2 — вероятность успешного компрометации, когда известна и актуальна эксплуатируемая на уровне АСУ уязвимость и злоумышленник вынужден осуществлять поиск и отладку средств ее эксплуатации с учетом технологии уровня (подпроцесса 2);

t1 — предполагаемый период реализации на слое подпроцесса 1;

t2 — предполагаемый период реализации на слое подпроцесса 2;

t3 — предполагаемый период реализации на слое подпроцесса 3 (ситуации, когда первые два подпроцесса оказались не актуальными и злоумышленник вынужден осуществлять поиск эксплуатируемой на уровне АСУ уязвимости средств ее эксплуатации с учетом технологии уровня).

При этом второй подпроцесс реализуется в том случае, если первый оказался для злоумышленника не результативным.

Поскольку рассматривается проблематика сохранения работоспособности критически важных полевых устройств, ПЛК, диспетчерских систем, то априори в модели внешнего нарушителя предполагается, что злоумышленник попытается проникнуть на нижние уровни АСУ и скомпрометировать размешенные на них компоненты. Таким образом, нарушитель должен выполнить ряд проникновений и преодолеть пространство всех слоев, которые окружают техническое ядро системы, то есть уровень ПЛК. В случаи внутреннего негативного воздействия на компоненты отдельного слоя начало атаки следует отсчитывать от точки вторжения инсайдеры-злоумышленника в систему.

Кроме того, при составлении графа в компрометации следует учитывать все классы уязвимостей, которые характерны для исследуемых подсистем и являются точками входа злоумышленника в слой АСУ. Можно выделить на основе сходства технологий следующие классы уязвимостей:

  • первый класс уязвимостей (относится к административному уровню);
  • второй класс уязвимостей (относится к уровню scada-систем и целевому уровню, то есть диспетчерскому уровню и уровню датчиков).

В данной методике особенно важен учет вероятностей трех состояний атаки (называемых подпроцессами), которые могут проявиться при прохождении каждого слоя, учитывая то, что каждый новый слой является для злоумышленника, при отсутствии информации от инсайдера, плохо известной, либо вовсе неизвестной областью (поэтому требуется каждый раз заново реализовать последовательность атаки).

Для упрощения анализа результатов аудита, технологические схожие компоненты подсистемы и уровни, можно объединить в трех основных уровнях:

  1. Уровень корпоративных информационных систем (MES, ERP);
  2. Уровень диспетчеризации с использованием системы SCADA;
  3. Уровень полевых устройств (включает: уровень систем управления полевыми устройствами, уровень контроллеров датчиков, уровень датчиков).

Соответственно упрощается формирование графа компрометации каждого обобщенного уровня.

Таким образом, количество составленных графов компрометации и вычисленных периодов, затрачиваемых злоумышленникам на проникновение, равно количеству выделенных обобщенных слоев. Соответственно, сумма периодов взломов будет являться общей временной характеристикой проникновения в систему извне. Кроме того, нужно отметить, что данная методика позволяет использовать параметры пассивного аудита для вычисления времени проникновения без с активного тестирования. В итоге, можно утверждать, что данная методика позволяет совместить при анализе параметры пассивного и активного аудита.

Список литературы

  1. Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России: утв. ФСТЭК России 11.03.2014. – М., 2014
  2. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. – 2-е изд., перераб. и доп. – М.: ДМК Пресс, 2017. – 434с.
  3. Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры// Труды СПИИРАН. – Москва, 2015. – Вып. 1(38). – С. 112 – 135.
  4. Галатенко В.А. Управление рисками: обзор употребительных подходов (часть 2) // Jet Info, №12 [Электронный ресурс], 2018: – URL: http://old.jetinfo.ru/stati/upravlenie-riskami-obzor-upotrebitelnykh-podkhodov-chast-2#AEN130 (дата обращения: 27.12.2019).

Интересная статья? Поделись ей с другими: