«Лаборатория Касперского»: отечественное не значит российское, российское не значит безопасное

11.10.2022 |

Андрей Блинов.

В условиях, когда зарубежные вендоры АСУ ТП ушли с российского рынка, многие компании пытаются заместить их продукты отечественными аналогами. В «Лаборатории Касперского» уверены, что этот переход нужно производить постепенно и с умом, в активном взаимодействии с производителем софта и экспертами по ИБ. Причина кроется в том, что не каждая российская АСУ ТП, даже входящая в реестр Минцифры, на поверку на данный момент оказывается достаточно безопасной.

За шесть лет существования Kaspersky ICS CERT – центра исследования безопасности систем промышленной автоматизации и реагирования на инциденты ИБ – специалисты этого подразделения обнаружили и помогли исправить несколько сотен уязвимостей в решениях ведущих мировых разработчиков. Сегодня в рамках процессов импортозамещения внимание российских заказчиков обращено на отечественные решения, и особенно актуальным стал вопрос безопасности этих систем.

Нет неуязвимых АСУ ТП – есть недоисследованные

Руководитель отдела исследования и анализа уязвимостей промышленных систем «Лаборатории Касперского» Артем Зиненко на конференции Kaspersky Industrial Cybersecurity привел несколько примеров того, каково на самом деле отношение отечественных вендоров к проблемам безопасности их продуктов и того, какие решения и чьи технологии находятся «под капотом» их продуктов.

Так, одна из рассмотренных Kaspersky ICS CERT отечественных систем SCADA (Supervisory Control And Data Acquisition – система управления и сбора данных), находящаяся в реестре отечественного ПО, оказалась построенной на базе популярного зарубежного продукта одного из мировых лидеров. Если уязвимости в программном коде исходного продукта зарубежный разработчик закрывает достаточно быстро и, следуя практикам «ответственного разглашения», уведомляет о них своих клиентов (в том числе, информация о них исправно попадает в банк данных угроз безопасности информации ФСТЭК), то об аналогичных уязвимостях «отечественного» продукта никакой информации просто нет. А самостоятельно понять, что этот продукт уязвим, пользователю может оказаться непросто: отечественный разработчик не только не афиширует, но и весьма настойчиво скрывает факт заимствования технологии.

Другой пример – отечественный ПЛК (programmable logic controller, PLC), в котором применяется фреймворк CODESYS немецкого разработчика. Аналогично первому примеру – в инструменте CODESYS регулярно обнаруживают уязвимости, часть из которых неминуемо затрагивает и рассматриваемый отечественный продукт. Но в публичных базах уязвимостей нет никакой информации о том, что данный российский ПЛК может оказаться небезопасным.

Артем Зиненко, руководитель отдела исследования и анализа уязвимостей индустриальных систем «Лаборатории Касперского»

«Главное отличие российских вендоров АСУ ТП от мировых – в недостаточном внимании к ИБ в собственных продуктах. Например, если рассматривать популярный контроллер Siemens, – на сегодняшний день в нем найдено и исправлено 36 уязвимостей, информация о них раскрыта вендором. Но вот к нам на исследование попадает отечественный контроллер, – и по нему в публичном доступе нет никакой информации об уязвимостях. Означает ли это что контроллер безопасен? Мы потратили всего час, чтобы найти в нем критическую уязвимость, которая предоставляет возможность исполнения произвольного кода», – говорит Артем Зиненко.

Трудности коммуникаций

Стоит отдать должное крупным зарубежным вендорам: у большинства из них процесс коммуникаций с внешними исследователями поставлен «на поток». Так, специалисты разработчика своевременно реагируют на сообщение о найденной в их продукте уязвимости, держат исследователя в курсе статуса решения проблемы, информируют пользователей о выпуске обновления. В этом плане российские разработчики – в силу целого ряда причин – менее склонны идти на контакт. Часто действия исследователей уязвимостей воспринимаются ими враждебно как стремление к саморекламе исследователей, а не как намерение защитить пользователей систем. Для того, чтобы вернуть диалог в продуктивное русло, приходится прилагать существенные усилия.

Кроме того, у большинства российских вендоров АСУ ТП на официальных сайтах нет ни страницы под информацию об уязвимостях, ни даже формы обратной связи, при помощи которой им можно было бы сообщать подобную информацию.

Для решения этой проблемы вендорам необходимо построить четкий и прозрачный процесс управления уязвимостями. Первоочередная задача – наладить канал общения с пользователями и исследователями, создать канал для приема информации о проблемах и информирования о них пользователей, включая потенциальных. Вендору обязательно нужно уделять внимание самостоятельному поиску новых уязвимостей в своих продуктах, а также – следить за уязвимостями сторонних компонентов, которые используются в этих продуктах.

«Чем мы можем помочь? Во-первых, мы проводим анализ безопасности продукта и помогаем его улучшить. За годы работы мы много раз общались непосредственно с командами разработки продукта, предлагали свои решения по улучшению – и в итоге эти решения реализовывались разработчиками. Помимо этого мы помогаем компаниям анализировать процессы разработки и поддержки новых продуктов. Мы делимся информацией о новых угрозах, в том числе и по промышленным системам, проводим тренинги для обучения команд разработки самостоятельному обнаружению проблем безопасности», – рассказывает Артем Зиненко.

В свою очередь, пользователям отечественных АСУ ТП стоит не забывать о том, что в их инфраструктуре могут быть уязвимости «нулевого дня», которые позволяют злоумышленнику проникнуть в информационный периметр. Основной упор «Лаборатория Касперского» предлагает делать на мониторинг и реагирование: инвестировать в инструменты, которые позволяют проводить оценку уязвимостей, актуальных для конкретной инфраструктуры и используемого ПО, уделять внимание харденингу инфраструктуры (усилению защищенности сетевой инфраструктуры, за счет тонкой настройки, коррекции политик безопасности на имеющихся средствах ИБ и архитектуры сети в целом – прим. ред.), обнаруживать атаки, расследовать инциденты. Некоторые промышленные компании приглашают в штат собственных пентестеров. Одним из полезных инструментов для построения процесса мониторинга на промышленном предприятии могут стать решения экосистемы Kaspersky OT CyberSecurity.

Импортозамещаться или нет? Вопросы эксперту

Артем Зиненко ответил на вопросы журналиста в рамках конференции Kaspersky Industrial Cybersecurity.

Стоит ли переходить сейчас на отечественные решения класса АСУ ТП?

Этот переход нужно совершать постепенно. Иначе мы получим большое количество систем, которые будет легко атаковать. Вендорам важно осознать, что перед ними остро стоит проблема безопасности, уделять ей внимание. Кроме того, в России существует несколько ИБ-компаний, которые помогают вендорам сделать их продукты безопаснее. Не стоит стесняться обращаться к ним.

Как вы проводите аудит безопасности технологического ПО?

Мы определяем, из каких компонентов это ПО состоит, используется ли в нем Open Source, и решения третьих сторон, какие компоненты подвержены внешнему влиянию. Изучаем наиболее вероятные места для атаки – например, если мы говорим про SCADA, – это, в том числе, открытые сетевые порты.

Вы можете помочь разработчикам в рамках комплексного построения процесса DevSecOps?

Такая практика взаимодействия у нас существует давно, правда, до этого она затрагивала зарубежных вендоров, в продуктах которых мы находили уязвимости. Мы связывались с командами разработки, общались, обсуждали способы исправления конкретных проблем. Например, одну из критичных уязвимостей вендор собирался исправлять в течение двух лет, но мы предложили команде несколько другое решение – и обновление было выпущено уже через месяц.