Аналитика: основные уязвимости промышленных систем

Уязвимости промышленных систем – это одна из животрепещущих тематик ИБ в мире. Группа исследователей из Claroty подготовила отчет Biannual ICS Risk & Vulnerability Report за I полугодие 2020 года, в котором проанализировала известные уязвимости ПО и их применимость для промышленных систем. 

Аналитики пришли к следующим выводам:

  • Национальная база данных по уязвимостям (National Vulnerability Database, NVD) уже включает 365 уязвимостей для ПО 53 производителей (что на 10% больше, чем в I полугодии 2019 года). 75% из них получили статус «высокой» или «критичной» по системе CVSS. Большинство из них относятся к производственным отраслям, энергетическому сектору, водным промышленным объектам, химической промышленности, транспорту, здравоохранению, агропромышленности, ИТ и коммерции.

  • Более 70% из них могут быть применены удаленно по сети без прямого доступа к системам. Более 60% могут быть использованы для удаленного внедрения кода (Remote Code Execution, RCE). Это один из наиболее опасных вариантов уязвимостей.
  • Наиболее подвержены уязвимостям инженерные станции (Engineering workstations, EWS) и программируемые контроллеры (programmable logic controllers, PLCs).

ics prod types.jpg

ПО АСУ ТП, где отмечено больше всего уязвимостей:

ics prod vendors.jpg

Производители другого промышленного ПО, где отмечено больше всего уязвимостей:

ics vendors.jpg

По векторам атак уязвимости компонуются следующим образом (где Adjacent – это смежный вариант атаки):

attacke vectors.jpg

«И это один из наиболее важных выводов исследования. Так как полностью изолированные от сети АСУ ТП стали чрезвычайно редкими, то интерес злоумышленников и исследователей сконцентрировался на сетевых угрозах. Что подчеркивает важность организации защиты подключения к Интернету устройств ICS и смежных подсистем и качественную защиту удаленного доступа к ним. Из-за пандемии COVID-19 эта проблема стала еще более актуальна, связанные с этим риски усугубились», – комментирует Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara. 

Контроль целостности на уровне сети является одним из наиболее важных и действенных механизмов защиты промышленных систем. Возникновение несанкционированных сетевых соединений в таких системах недопустимо и может говорить об опасности заражения. Для осуществления такого уровня защиты есть разные подходы:

  • Фильтрация SCADA-протоколов на уровне межсетевого шлюза. Многие наши партнеры, производители МЭ или IPS-систем, имеют специализированные исполнения с поддержкой промышленных протоколов (Palo Alto, Trend Micro, Fortinet, Check Point).

  • «Лаборатория Касперского» предлагает решение KICS for Networks, нацеленное на мониторинг и контроль промышленной сети. В его функции входит:

o пассивная идентификация и инвентаризация устройств в сети, обнаружение устройств

o подробная проверка пакетов, 

o телеметрический анализ технологических процессов практически в режиме реального времени,

o контроль целостности сети, обнаружение несанкционированных хостов и потоков в сети,

o система обнаружения вторжений,

o предупреждения о манипуляциях в сети,

o контроль команд, проверка команд, передаваемых по промышленным протоколам,

o интеграция через API-интерфейс со сторонними системами обнаружения,

o машинное обучение для обнаружения аномалий (MLAD),

o телеметрия в режиме реального времени и обработка исторических данных (рекуррентная нейронная сеть) для обнаружения киберугроз и физических нарушений безопасности.

  • Использование средств контроля сетевых аномалий: Gigamon, FlowMon и других.

Помимо распространенности векторов сетевых атак, следует также отметить, что доля уязвимостей АСУ ТП, пригодных для использования через локальные векторы атак, увеличилась с 13,9% в I полугодии 2019 года до 22,5% в I полугодии 2020 года. Использование локальных векторов атак предполагается через взаимодействие со стороны пользователя для выполнения действий вредоносного ПО, необходимых для использования этих уязвимостей. Эти ситуации обычно эксплуатируют методы социальной инженерии (фишинговые атаки и др.). Поэтому осведомленность сотрудников и защита от них также имеют решающее значение.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах