Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

28 марта 2017 г.

ИБ-инциденты на промышленных объектах чаще всего случайны

Большинство киберинцидентов на промышленных объектах происходят из-за случайного заражения, хотя небольшое количество заражений все же происходят в результате целевых атак. К такому выводу пришли исследователи из Dragos, проанализировав около 500 тыс известных кибератак на промышленные предприятия и более 30 тыс образцов использованного в них вредоносного ПО и зараженных файлов промышленных контроллеров – огромное количество данных, выложенных на Virus Total.

Эксперты задались целью исследовать природу атак на промышленные объекты, которые зачастую неправильно интерпретируются прессой ради создания ажиотажа. Действительно, обнаруженные в системах управления промышленными процессами (АСУТП) вредоносные программы попали в сеть предприятия случайно.

Системы АСУТП состоят из двух частей: системы SCADA отвечают за сбор данных с датчиков и управляют работой промышленных агрегатов, в то время как специализированное ПО обеспечивает взаимодействие человека с оборудованием. Так как довольно малое количество вредоносных программ способно исполняться в системах SCADA, промышленные предприятия подвергаются атакам через компьютеры, управляющие SCADA. Раньше системы промышленных объектов были изолированы от проникновения извне, но сегодня управлять АСУТП-системами через Интернет удобно, и поэтому подключенные к сети компьютеры становятся точкой входа для кибератак.

По данным отчета, около 3 тыс промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят. Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию.

Тем не менее, небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры. Эксперты обнаружили чуть более десятка вредоносных атак на АСУТП-системы, и только одна из них выделяется из других. За последние четыре года один и тот же самый вредоносный файл всплывал около десяти раз, последний раз – в текущем месяце. То есть, в течение четырех лет некий злоумышленник пытался совершать атаки на промышленные объекты, маскируя вредоносную программу под PLC-контроллер Siemens. Детектирование этого вредоносного файла классифицировалось как ложное срабатывание. Скорее всего, это был зловред под названием Irongate.

Хотя атаки подобного рода – редкость, истории известны примеры зловредов, направленных на SCADA-системы. Начало им положил нашумевший инцидент с червем Stuxnet, похоронившим ядерную программу Ирана. Также в разряд подобных зловредов можно отнести Havex и BlackEnergy2. Исследователи уже испытали в лабораторных условиях червь для SCADA PLC-Blaster и специализированный вымогатель для SCADA LogicLocker.

Причина участившихся атак на промышленные объекты – неизбежное проникновение Интернета в отрасль. Возможность управления SCADA-системами удаленно имеет неоспоримые экономические преимущества, но каждое подключение создает уязвимость в воображаемой стене, которая традиционно разделяла ИТ и различные технологии эксплуатации предприятия.

Раньше АСУТП-системы были абсолютно изолированы от внешнего мира, что и заложило отставание промышленных предприятий от остального мира с точки зрения информационной безопасности. Логика работающих и ныне промышленных контроллеров была разработана около полувека назад и не приспособлена к актуальным вызовам. Кроме того, также существует проблема низкой осведомленности персонала о существующих киберугрозах.

Например, легитимное ПО для АСУТП-систем (включая инсталляторы интерфейсов «человек-машина» и генераторы ключей) было обнаружено в публично доступных базах данных вроде VirusTotal. Всего, по словам исследователей, таким образом было скомпрометировано более 120 файлов проектов. Злоумышленнику, планирующему атаку, достаточно просто скачать эти файлы и изучить их устройство. Также в открытом доступе обнаружены конфиденциальные данные – отчеты о состоянии безопасности на объекте, отчеты о ремонте и эксплуатации оборудования и многое другое.

Эксперты Dragos также советуют поработать над уровнем осведомленности сотрудников об информационной безопасности – но больших надежд не питают: если бы разработчики АСУТП-систем и представители промышленных объектов волновались о проблемах кибербезопасности, 92% хостов АСУТП не были бы уязвимы.


Источник: Threatpost | Новости информационной безопасности