Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

8 июня 2017 г.

Производители не спешат устранять уязвимости в SCADA-системах

Системы автоматического контроля и сбора информации (SCADA) активно используются для диспетчерского контроля в промышленности и энергетике, поэтому атаки на SCADA-системы могут представлять существенную угрозу для различных объектов критической инфраструктуры. Человеко-машинный интерфейс (Human Machine Interface, HMI) является одним из важных компонентов SCADA и его компрометация позволит злоумышленникам получить доступ к критической инфорастурктуре. Эксперты компании Trend Micro проанализировали предупреждения ICS-CERT за период с 2015 по 2016 годы, связанные с HMI уязвимостями, и пришли к неутешительным выводам.

Как выяснилось, 20% исследованных уязвимостей возникали по причине повреждения памяти (переполнение буфера, уязвимости чтения\записи за пределами поля (out-of-bounds read/write) и т.д.); 19% проблем были связаны с учетными данными (вшитые пароли, скрытые учетные записи с полными правами, хранение паролей в открытом виде); 23% уязвимостей возникали в связи с отсутствием механизмов авторизации; 9% проблем позволяли внедрение кода.

Примечательно, что за последние четыре года оперативность устранения уязвимостей осталась практически на прежнем уровне - порядка 140 дней. Как отмечается, производители SCADA-систем основное внимание уделяют промышленному оборудованию, а не программному обеспечению, поскольку именно аппаратные средства приносят им большую прибыль.

Доклад также указывает на ошибки, которые совершают компании. К примеру, многие из них устраняют только определенные уязвимости (заменяют уязвимые API, отключают проблемные функции и т.д.), но не более того.

«Производителям HMI и SCADA-решений следует принять во внимание практики безопасности жизненного цикла, реализованные разработчиками ОС и приложений за последние десять лет. К тому же им стоит ожидать, что их продукты будут использоваться не по назначению, например, будут подключены к публичной сети. С учетом наихудших сценариев, разработчики могут реализовать комплексные меры по обеспечению безопасности»,- отмечается в отчете исследователей.

SCADA (Supervisory Control And Data Acquisition, диспетчерское управление и сбор данных) - программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. SCADA-системы используются во всех отраслях хозяйства, где требуется обеспечивать автоматическое управление технологическими процессами в режиме реального времени.


Источник: Новости - SecurityLab.ru