調査：2014年の産業管理システムの脆弱性

2015年4月のNATOのエストニアのサイバー注文で、アライアンスの主要なサイバー部門はAndroidデバイスやウェブカメラにそれほど関心がないことが判明しました。軍事ハッカーの焦点はWindowsとSCADAシステムに移りました。



1か月前、Dellの研究者は、2014年にストアPOSシステムとSCADAシステムを攻撃するように設計されたマルウェアの数が2倍に増加したことを指摘しました。過去3年間に専門家によって収集されました。



近年の産業用制御システムは、情報技術とインターネットの発展により、根本的に新しいレベルに達しました。 ただし、自動化の新しいラウンドには独自の問題があります。保護およびデータ処理技術の不適切な使用は深刻な脆弱性につながります。



この点で、産業用制御システムは攻撃者とサイバー軍の標的になりつつあります。 個々のワームであるStuxnet（2010）とFlame（2012）は、より高度なマルチステージ攻撃スキームに置き換えられました。 そのため、2014年にHavexトロイの木馬を配布するために、ハッカーは産業用エンタープライズ管理ソフトウェア（SCADA）の製造元のサイトをハッキングし、SCADAシステムの公式配布に感染しました。その後、企業にインストールされ、攻撃者がヨーロッパのいくつかの国で制御システムを制御できるようになりました。



2012年、Positive Technologiesの専門家は分析レポート「Industrial Systems Security in Numbers」を発表しました。 以下は、2012年から2015年に発生した変更を評価することができる新しい調査の結果です。



プロセス制御システムのセキュリティを分析するプロセスで観察される一般的な傾向のうち、次の点に注意することができます。



開いたドア 。 生産、輸送、給水、エネルギーを管理する多くのシステムは、公開されている検索エンジンを使用してインターネット上で見つけることができます。 2015年1月現在、Positive Technologiesの研究者は、プロセス制御システムの140,000以上の異なるコンポーネントを発見しています。 さらに、このようなシステムの所有者は、リソースが「外部から見える」ことを認識していません。 キオスクモードとクラウドサービス、センサーと物理ポート、産業用Wi-Fiおよびその他の種類のアクセスを介した産業用制御システムへの攻撃の機会を見つけます。



多くのロックの1つのキー 。 限られた数のメーカーで産業用制御システムを実装する組織の数が急速に増加しているため、さまざまな産業で重要な施設を管理するために同じSCADAプラットフォームが使用されています。 たとえば、当社の専門家は、大型ハドロン衝突型加速器、ヨーロッパのいくつかの空港、イランの原子力発電所、さまざまな国で最大のパイプラインと給水システム、ロシアの列車と化学プラントを管理するシステムの脆弱性を特定しました。 一度発見されると、同様の脆弱性により、攻撃者は世界中のさまざまなオブジェクトを攻撃できます。



脅威は保護よりも速く発生します 。 産業用制御システムの複雑な組織と技術的プロセス継続性の要件により、制御システムの基本コンポーネント（産業用プロトコル、オペレーティングシステム、DBMS）は古くなっているが更新されておらず、その脆弱性は何年も解消されていません。 一方、自動化ツールの開発により、ハッカーの速度が大幅に向上します。 PHDays IVフォーラムでのCritical Infrastructure Attackコンテストの枠組みの中で、産業企業で使用されているいくつかの最新のSCADAプラットフォームが2日間にわたってハッキングされました 。



「クレイジーハウス 。 」 産業制御システム（自動プロセス制御システム）という用語は、自動化の主な対象が大規模な産業企業であった80年代に登場しました。 しかし、技術の低価格化と小型化により、建物の生命維持、監視システム、配電を管理するコンピューター化されたデバイスが日常生活に積極的に関与するようになりました。 同時に、製造業者も消費者も、これらのシステムの安全性に十分な注意を払っていません。この調査では、このようなデバイスがインターネット経由で利用できることを示しています。

調査方法

脆弱性に関する情報を収集するために、脆弱性データベース（ICS-CERT、NVD / CVE、SCADA Strangelove、Siemens Product CERTなど）、エクスプロイトコレクション（SAINTexploit、Metasploit Framework、Immunity Canvasなど）、ベンダー通知、および科学レポートが使用されました。専門サイトでの会議や出版物。



脆弱性はCVSS vに基づいて決定されました。 2.統計は、脆弱性の典型的な説明の欠如や開示ポリシーなどの要因の影響を受けることに留意する必要があります。 したがって、ICSの実際のセキュリティ状況は、統計が示すよりもさらに悪化する可能性があります。



インターネットでのICSの可用性に関するデータは、公開されている検索エンジン（Shodan、Project Sonar、Google、Bing）およびポートスキャン結果を使用した受動的な方法を使用して収集されました。 データ分析は、740件のエントリで構成される指紋データベースを使用して実行されました。これにより、バナーに基づいて製品の製造元とバージョンについて結論を出すことができます。 ほとんどのフィンガープリントはSNMP（240）およびHTTP（113）プロトコルに関連しており、約3分の1がさまざまな産業用プロトコル（Modbus、DNP3、S7など）に関連しています。

脆弱性の数

合計で、この調査ではICSのコンポーネントに691の脆弱性が確認されました。 2009年以降、急激に増加しました。今後3年間（2010〜2012）に、自動プロセス制御システムの脆弱性の数は20倍に増加しました （9から192）。 その後、検出された脆弱性の年間平均数は安定しました（2014年に181）。







ICSの脆弱性の数

脆弱性分析

識別された脆弱性の重大度レベルも2012年の傾向を保持しています。 大部分の脆弱性の危険度は高（58％）および中（39％）です。



CVSSベクトルを見ると、脆弱性の半数以上は、 アクセシビリティなどの重要な指標に対して高いメトリックを持っています 。 リモートからの悪用の割合も高く、これは弱い認証メカニズムと組み合わされて、攻撃のリスクを高めます。



脆弱性を除去するプロセスに関する情報へのオープンアクセスは公開されていないため、この研究ではメーカーのPositive Technologiesの専門家が取得したデータを使用しました。 状況は、ほとんどのセキュリティ欠陥（約81％）が広く知られるようになる前、または情報の調整されていない開示から30日以内にメーカーによって即座に排除された2012年よりも憂鬱に見えます。 2015年第1四半期のデータによると、3か月以内に修正された脆弱性はわずか14％、3か月以上で修正された34％、およびエラーの残りの52％は単に修正されなかったか、メーカーが修正する時間を報告しませんでした。







自動化されたプロセス制御の脆弱性の除去

メーカー別の脆弱性

製品の脆弱性の数をリードするメーカーのリストは変更されていません： シーメンス （124の脆弱性）、 シュナイダーエレクトリックとInvensys （96）、 アドバンテック （51）、 ゼネラルエレクトリック （31）が買収しました。 同時に、特定された脆弱性を持つメーカーの一般的なリストが増えています。 以下の図は、最も脆弱性の高い企業を示しています。 残りの88のメーカーは、「その他」の行にまとめられています。







さまざまなメーカーのICSの脆弱性（リスク別）

ICSのアクセシビリティと脆弱性の地理

全体として、調査の枠組み内で、 146 137の産業用制御システムのコンポーネントが特定され、インターネット経由でアクセスできます。 最も一般的なものは、 トリジウムビルディングオートメーションシステム（Honeywell）と 、ソーラーテクノロジー（ SMA Solar Technology ）に基づくものを含むエネルギー監視および制御システムです。 利用可能なコンポーネントの最大数は、 PLC / RTUであり 、その後にインバータ監視および制御システムが続きます。 以下は、ネットワークデバイスとHMI / SCADAコンポーネントです。



国-技術的リーダーが高度な自動化を行っているのは当然のことです。したがって、これらの国の産業システムのインターネットへの集中度は非常に高いです。 前と同じように、 米国が首位（33％）のままですが、2位はイタリアではなくドイツであり、大きなマージン（ 19％ ）を持っています。 一般に、欧州地域では、産業システムのインターネットアクセス性が著しく向上しています。 一方、アジア地域では、産業用制御システムのほとんど知られていないコンポーネントが世界市場で知られており、常に特定できるとは限りません。







利用可能なプロセス制御システムの配布



使用可能なICSコンポーネントのバージョンを分析することにより、15,000以上の脆弱なコンポーネントが特定されました。 最も多いのは米国で、次にフランス、イタリア、ドイツが続きます。これは、これらのシステムのpre延の全体像と一致しています。 一方、インターネット上で最も一般的なコンポーネントでは、ほとんどの脆弱性が明らかにされていないことに注意する必要があります。 一般に、利用可能なプロセス制御システムの10％以上が脆弱でした。







国ごとの脆弱なICSコンポーネントの分布







国ごとの脆弱なICSコンポーネントの分布



Positive Hack Daysの情報セキュリティに関するフォーラム（モスクワで5月26〜27日に開催）で、Positive Technologiesの専門家は、2014年の産業用制御システムの脆弱性の調査結果に関する詳細なレポートを提示します。 そこで、自動化されたプロセス制御システムをハッキングするためのコンテストに参加することが可能になります。