Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

31 марта 2017 г.

Объекты критической инфраструктуры под ударом

Новое исследование «Лаборатории Касперского» обнажило растущую проблему кибератак на компьютеры, используемые в промышленной сфере. В первом регулярном отчете о состоянии кибербезопасности на промышленных объектах Центра ICS CERT при «Лаборатории Касперского» говорится о постоянном росте числа атакованных машин во второй половине 2016 года.

По данным отчета, в период с июля по декабрь с вредоносным ПО в России столкнулось 42% компьютеров, так или иначе относящихся к технологической сети предприятий. В 28% случаев вредоносное ПО попадало на компьютеры из Интернета, в 6% – при подключении переносных накопителей. В сетях промышленных предприятий обнаружено в общей сложности 20 тыс модификаций вредоносного ПО.

Тем не менее, в большинстве случаев угрозы попадали в компьютеры случайно, а не вследствие целевых атак. Это тренд характерен не только для России: недавнее исследование Dragos показало, что около 3 тыс. промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят.

Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию. Тем не менее небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры.

Также в отчете «Лаборатории» говорится о том, что ICS CERT обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся до сих пор. Они направлены преимущественно на промышленные компании; в общей сложности атакам подверглись более 500 организаций в более чем в 50 странах мира.

В системах промышленной автоматизации, в том числе на объектах критической инфраструктуры, обнаружено 75 незакрытых уязвимостей, в том числе 58 максимально критичных для безопасности предприятий. Из 75 обнаруженных в 2016 году «Лабораторией Касперского» уязвимостей к середине марта 2017 года производителями промышленного ПО было закрыто только 30.

Практика патчинга и поиска уязвимостей систем в промышленном секторе до сих пор оставляет желать лучшего, и тренд нельзя назвать обнадеживающим. Работа с уязвимостями в цикле разработки ПО пока не систематизирована: нет налаженного процесса выявления и приоритизации уязвимостей; обновления безопасности для уже используемого ПО не выпускаются, вместо этого производитель предпочитает учитывать информацию о них в следующем релизе этого ПО.

Также исследования показывают, что процесс установки критических обновлений для владельцев АСУ ТП промышленных объектов либо слишком трудоемкий, либо не является приоритетной задачей в общем цикле жизнедеятельности системы. В результате на многих предприятиях критические обновления на различные компоненты промышленных систем не устанавливаются годами, что делает эти предприятия уязвимыми в случае кибератак злоумышленников.

Среди вредоносных программ, обнаруженных в технологических сетях, преобладают троянцы. Так как большей частью зловреды попадают на компьютеры, подключенные к критической инфраструктуре, нецеленаправленно, промышленным сетям угрожают те же самые типы вседоносных программ, что и корпоративным. Тем не менее, исследование показало, что интерес киберпреступников к промышленным объектам возрос: из всех целевых атак, обнаруженных «Лабораторией Касперского» в 2016 году, каждая четвертая была направлена в том числе и на предприятия.

В связи с этим в актуальной доктрине кибербезопасности России особое внимание уделено угрозам, направленным на объекты критической инфраструктуры. Изоляция промышленных сетей от Интернета, раньше считавшаяся панацеей, больше не может рассматриваться как мера защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о невозможности избежать рисков путем простого отключения системы от интернета.

Также стоит отметить, что уровень осведомленности об актуальных трендах и угрозах информационной безопасности на промышленных предприятиях достаточно низок, что создает дополнительные риски.


Источник: Threatpost | Новости информационной безопасности