Кибератаки на АСУ ТП: тенденции и современные средства защиты

В последние годы атаки на промышленные предприятия вышли на новый уровень, в частности, произошло несколько крупных инцидентов в системах масштаба целых городов и даже стран:

  • атаки на энергетические объекты (система контроля ГЭС и другие) Венесуэлы повлекли за собой массовое отключение электроснабжения по всей стране, в том числе на стратегических объектах;

  • атака шифровальщика на компанию City Power, обеспечивающую электричеством город Йоханнесбург в ЮАР, оставила жителей без света до восстановления информационных систем компании.

Компания Dragos, специализирующаяся на кибербезопасности промышленной сферы, представила аналитические данные за 2019 год в регулярном отчете «ICS VULNERABILITIES - YEAR IN REVIEW» - исследовались уязвимости в промышленных системах (ICS-CERT), не учитывая сопутствующее оборудование (сетевое, системное и т.д.).

Основные выводы исследования:

  • 77% оцененных уязвимостей требуют существенного доступа к сети управления для эксплуатации и считаются «глубоко внутренними»,

  • 9% проблем относятся к решениям, граничащим и не связанным напрямую с АСУ ТП,  - используются для начального доступа злоумышленника к операциям с контроллерами,

  • 26% известных уязвимостей не имели исправлений (patch) на момент анализа,

  • 30% рекомендаций были опубликованы с некорректными данными, мешающими операторам точно определять приоритеты в процессе планирования исправлений (благодаря работе компании Dragos было доработано 212 из 438 некорректных описаний и рекомендаций),

  • 40% уязвимостей относятся к рабочим станциям и ПО взаимодействия с пользователем, которые для эксплуатации требует подключения к Интернет, что в данной отрасли часто недопустимо.

По типам уязвимостей лидерами являются:

  • отсутствие контроля пользовательского ввода,

  • переполнение буфера,

  • некорректная обработка ввода в веб-интерфейсах (cross-site scripting),

  • использование жестко закодированных учетных данных,

  • отсутствие контроля использования системных ресурсов (утечки памяти).

Эксперты группы компаний Angara дают следующие рекомендации: «Патчинг промышленных систем – это достаточно сложная процедура. Поэтому в случае с уязвимостями, не только более оперативным, но и более эффективным механизмом будет виртуальный патчинг и жесткий контроль периметра систем. Своевременное информирование о уязвимостях дает понимание, на какие сервисы и протоколы необходимо обратить особое внимание.»

Контроль протоколов управления - нетривиальная задача. Есть средства, работающие с типовыми протоколами АСУ ТП и умеющие анализировать их до уровня конкретных команд. Для составления тонко-гранулированной политики необходимо знание производственного процесса. При отладке производится мониторинг команд, который может потребовать длительного времени наблюдения. Сложности в реализации могут останавливать специалистов ИБ АСУ ТП перед началом проекта, но специалисты Angara Technologies Group считают в корне неправильным оставлять эти системы без внимания: «Необходим грамотный подход к защите. Так большинство атак начинается не на уровне ядра системы, а на уровне пользователей, где стоят традиционные средства защиты. Важно четко разграничивать контуры защиты, как на сетевом, так и на прикладном уровне. Оперативный мониторинг может значительно снизить риски возникновения инцидента ИБ в промышленной системе.»

Для защиты АСУ ТП существует ряд эффективных решений, с производителями которых тесно сотрудничает группа компаний Angara:

- Kaspersky Industrial CyberSecurity — это набор технологий и сервисов, созданных для защиты различных уровней промышленной инфраструктуры и других элементов предприятия, в том числе серверов SCADA, операторских панелей, инженерных рабочих станций, ПЛК, сетевых соединений и даже самих инженеров.

- PT Industrial Security Incident Manager – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, выявление кибератак и неавторизованные действия персонала на ранней стадии.

Большинство ИБ решений других производителей поддерживают анализ промышленных протоколов, а также базовый анализ прикладного ПО (контроль аномалий, контроль целостности и т.д.).

По вопросам проектирования и внедрения решений по защите АСУ ТП обращайтесь к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах