Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

8 октября 2016 г.

Критическая инфраструктура не в лучшем состоянии

Предприятия критической инфраструктуры США получили еще одно предупреждение о необходимости срочных действий, направленных на защиту от кибератак: правительство США выпустило ежегодный отчет о состоянии объектов критической инфраструктуры.

Ежегодный отчет NCCIC/ICS-CERT за 2015 финансовый год подтверждает, что в системах АСУ ТП (SCADA) по-прежнему содержится огромное количество уязвимостей. Большей частью это проблемы, связанные с нарушением прав доступа, низким качеством программного кода, а также со слабой криптозащитой сети и коммуникаций (или ее полным отсутствием).

Отчет подготовлен Командой экстренного реагирования на кибератаки на системы промышленного управления США (U.S. Industrial Control Systems Cyber Emergency Response Team, ICS-CERT); в нем содержится анализ данных, предоставленных частными и публичными организациями, работающими на рынке систем управления промышленными процессами в 2015 году. Самыми уязвимыми для кибератак оказались системы предприятий, представляющих отрасли энергетики, производства критически важного оборудования, водоснабжения и водоотведения, а также пищевую и сельскохозяйственную отрасли.

«Отчет выявил, что в области критической инфраструктуры нам приходится иметь дело с теми же системными проблемами, что и 20–30 лет назад, — сказал Джастин Харви (Justin Harvey), глава по стратегии информационной безопасности в компании Gigamon. — Мы не можем оставить все как есть, когда дело касается безопасности систем АСУ ТП».

Согласно ICS-CERT, 52% уязвимостей, о которых стало известно в 2015 году, связаны с несовершенствами в процессах валидации ввода и контроля прав доступа. В то же время эксперты предполагают, что «популярность» этого типа уязвимостей связана с тем, что именно о них в основном докладывали исследователи в 2015 году.

Крис Энг (Chris Eng), вице-президент по исследованиям в Veracode, отметил, что проблема безопасности систем управления процессами применима и к другим секторам экономики: «Мы наблюдаем такой же (если не больший) масштаб проблемы в областях помимо критической инфраструктуры. Это можно объяснить тем, что системы АСУ ТП, которые используются сегодня в области предприятий критической инфраструктуры, были разработаны в те времена, когда программисты даже не закладывали в код функции безопасности».

Также многих экспертов волнует еще один обозначенный в отчете ICS-CERT тренд — резкий рост количества известных уязвимостей, связанных с криптографией, по сравнению с данными отчета за предыдущие годы. Количество систем АСУ ТП, не шифрующих конфиденциальные данные, выросло с 3% в 2010–2014 годах до 14% в 2015 году. Согласно отчету, с 2010 по 2014 год проблемы с устойчивостью шифрования наблюдались в 7% систем АСУ ТП, а в 2015 году их доля выросла до 25%.

Алекс Ротакер (Alex Rothacker), директор по исследованию безопасности в SpiderLabs Team компании Trustwave, сказал, что продолжительный эффект от Heartbleed, POODLE и других уязвимостей криптографии еще будет наблюдаться в системах управления промышленными процессами. «Этот скачок можно объяснить более активным использованием этих библиотек в системах АСУ ТП», — пояснил он.

По данным ICS-CERT, проблемы в области криптографии, с которыми регулярно сталкиваются частные и публичные операторы объектов критической инфраструктуры, связаны с еще более масштабной проблемой — низким качеством программного кода. Половина уязвимостей в АСУ ТП проистекает из ошибок в программировании.

«Низкое качество кода в масштабе всей отрасли — головная боль для предприятий, использующих системы управления технологическими процессами, — отметила Энн Бэррон-ДиКамилло (Ann Barron-DiCamillo), главный технический директор в Strategic Cyber Ventures и бывшая глава US-CERT. — Существует целое движение за проверку качества кода и обучение программистов АСУ ТП лучшим методам, чтобы положить конец проблеме уязвимостей, которыми активно пользуются злоумышленники».

Среди других тенденций, отмеченных в отчете, — повышение общего количества известных уязвимостей с 2010 по 2015 год, сокращение времени, необходимого на обработку заявок в ICS-CERT, а также снижение степени критичности уязвимостей. Тем не менее отраслевые эксперты предостерегли от скоропалительных выводов: ввиду специфики отчета выборка ICS-CERT слишком мала для того, чтобы обрисовать адекватную картину. В 2015 году ICS-CERT получила отчеты о 427 уязвимостях и выпустила 197 бюллетеней. Информация об уязвимостях поступила от различных организаций, связанных с АСУ ТП, — федерального правительства, а также органов местного самоуправления на уровне штата или более мелких административных единиц; также составлению отчета способствовали владельцы и операторы предприятий частного сектора и производители.


Источник: Threatpost | Новости ИБ