Защита АСУТП: анализ средств взлома и рекомендации группы компаний Angara и ФСТЭК России

В текущих реалиях бесперебойная работа промышленных и технологических систем становится еще более важной, а обеспечение их защиты – более сложной задачей. Чтобы помочь экспертам ИБ планировать средства защиты систем АСУТП, предметно понимая, что использует злоумышленник, компания FireEye выпустила аналитический обзор вредоносных инструментов, которые могут быть нацелены на сети управления.

В исследовании рассматривались инструменты, которые имеют средства взаимодействия со специфическими для АСУТП системами. Общее вредоносное ПО, которое также может нанести косвенный вред промышленному блоку, не включено в исследование (за исключением пары инструментов). Инструменты были распределены в восемь категорий. Большая часть утилит это:

  • инструменты сканирования сети (Network Discovery) – 28%,

  • программные эксплоиты (Software Exploitation) – 24%,

  • радио эксплоиты (Radio) – 11%,

  • фаззинг утилиты (Fuzzer) – 10%,

  • утилиты сканирования сети Интернет в поисках компонент АСУТП (Online Discovery) – 10%,

  • вредоносное ПО (Malware) – 6%.

Большинство утилит либо вендоронезависимы, либо нацелены на крупнейших производителей оборудования для усиления эффективности на широком круге систем. В частности, оборудование Siemens является целью до 60% вендороспецифичных утилит. Также частыми целями становятся: Schneider Electric, GE, ABB, Digi International, Rockwell Automation и Wind River Systems.

ФСТЭК России в свою очередь выпустил Рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы. Кроме стандартных рекомендаций (криптографическая защита канала связи, двухфакторная аутентификация пользователя, актуальная антивирусная защита устройства, мониторинг безопасности объектов КИИ и оперативное реагирование на инциденты), эксперты группы компаний Angara обращают внимание на следующие пункты:

  • Не допускается организация удаленного управления и изменения параметров АСУТП.

  • При организации доступа к объектам КИИ рекомендуется использовать только специализированные устройства, физические идентификаторы (MAC-адреса, или др.), которые внесены в режиме «белого списка» в системе доступа.

  • На устройствах доступа пользователя рекомендуется наделить минимальными правами и исключить возможность установки постороннего ПО.

Качественный мониторинг событий выявляет атаку на этапе разведки данных. В этом случае можно выявить инструменты сканирования сети (Network Discovery) и утилиты сканирования сети Интернет в поисках компонент АСУТП (Online Discovery) на уровне сети доступа к интерфейсам управления АСУТП. Оперативно организовать мониторинг событий ИБ можно за счет сервисных услуг SOC. Группа компаний Angara предлагает несколько вариантов сервиса ACRC (SOC) и готова содействовать в подключении.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах