В текущих реалиях бесперебойная работа промышленных и технологических систем становится еще более важной, а обеспечение их защиты – более сложной задачей. Чтобы помочь экспертам ИБ планировать средства защиты систем АСУТП, предметно понимая, что использует злоумышленник, компания FireEye выпустила аналитический обзор вредоносных инструментов, которые могут быть нацелены на сети управления.
В исследовании рассматривались инструменты, которые имеют средства взаимодействия со специфическими для АСУТП системами. Общее вредоносное ПО, которое также может нанести косвенный вред промышленному блоку, не включено в исследование (за исключением пары инструментов). Инструменты были распределены в восемь категорий. Большая часть утилит это:
-
инструменты сканирования сети (Network Discovery) – 28%,
-
программные эксплоиты (Software Exploitation) – 24%,
-
радио эксплоиты (Radio) – 11%,
-
фаззинг утилиты (Fuzzer) – 10%,
-
утилиты сканирования сети Интернет в поисках компонент АСУТП (Online Discovery) – 10%,
-
вредоносное ПО (Malware) – 6%.
Большинство утилит либо вендоронезависимы, либо нацелены на крупнейших производителей оборудования для усиления эффективности на широком круге систем. В частности, оборудование Siemens является целью до 60% вендороспецифичных утилит. Также частыми целями становятся: Schneider Electric, GE, ABB, Digi International, Rockwell Automation и Wind River Systems.
ФСТЭК России в свою очередь выпустил Рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы. Кроме стандартных рекомендаций (криптографическая защита канала связи, двухфакторная аутентификация пользователя, актуальная антивирусная защита устройства, мониторинг безопасности объектов КИИ и оперативное реагирование на инциденты), эксперты группы компаний Angara обращают внимание на следующие пункты:
-
Не допускается организация удаленного управления и изменения параметров АСУТП.
-
При организации доступа к объектам КИИ рекомендуется использовать только специализированные устройства, физические идентификаторы (MAC-адреса, или др.), которые внесены в режиме «белого списка» в системе доступа.
-
На устройствах доступа пользователя рекомендуется наделить минимальными правами и исключить возможность установки постороннего ПО.
Качественный мониторинг событий выявляет атаку на этапе разведки данных. В этом случае можно выявить инструменты сканирования сети (Network Discovery) и утилиты сканирования сети Интернет в поисках компонент АСУТП (Online Discovery) на уровне сети доступа к интерфейсам управления АСУТП. Оперативно организовать мониторинг событий ИБ можно за счет сервисных услуг SOC. Группа компаний Angara предлагает несколько вариантов сервиса ACRC (SOC) и готова содействовать в подключении.