В последние годы атаки на промышленные предприятия вышли на новый уровень, в частности, произошло несколько крупных инцидентов в системах масштаба целых городов и даже стран:
- атаки на энергетические объекты (система контроля ГЭС и другие) Венесуэлы повлекли за собой массовое отключение электроснабжения по всей стране, в том числе на стратегических объектах;
- атака шифровальщика на компанию City Power, обеспечивающую электричеством город Йоханнесбург в ЮАР, оставила жителей без света до восстановления информационных систем компании.
Компания Dragos, специализирующаяся на кибербезопасности промышленной сферы, представила аналитические данные за 2019 год в регулярном отчете «ICS VULNERABILITIES - YEAR IN REVIEW» - исследовались уязвимости в промышленных системах (ICS-CERT), не учитывая сопутствующее оборудование (сетевое, системное и т.д.).
Основные выводы исследования:
- 77% оцененных уязвимостей требуют существенного доступа к сети управления для эксплуатации и считаются «глубоко внутренними»,
- 9% проблем относятся к решениям, граничащим и не связанным напрямую с АСУ ТП, - используются для начального доступа злоумышленника к операциям с контроллерами,
- 26% известных уязвимостей не имели исправлений (patch) на момент анализа,
- 30% рекомендаций были опубликованы с некорректными данными, мешающими операторам точно определять приоритеты в процессе планирования исправлений (благодаря работе компании Dragos было доработано 212 из 438 некорректных описаний и рекомендаций),
- 40% уязвимостей относятся к рабочим станциям и ПО взаимодействия с пользователем, которые для эксплуатации требует подключения к Интернет, что в данной отрасли часто недопустимо.
По типам уязвимостей лидерами являются:
- отсутствие контроля пользовательского ввода,
- переполнение буфера,
- некорректная обработка ввода в веб-интерфейсах (cross-site scripting),
- использование жестко закодированных учетных данных,
- отсутствие контроля использования системных ресурсов (утечки памяти).
Эксперты группы компаний Angara дают следующие рекомендации: «Патчинг промышленных систем – это достаточно сложная процедура. Поэтому в случае с уязвимостями, не только более оперативным, но и более эффективным механизмом будет виртуальный патчинг и жесткий контроль периметра систем. Своевременное информирование о уязвимостях дает понимание, на какие сервисы и протоколы необходимо обратить особое внимание.»
Контроль протоколов управления - нетривиальная задача. Есть средства, работающие с типовыми протоколами АСУ ТП и умеющие анализировать их до уровня конкретных команд. Для составления тонко-гранулированной политики необходимо знание производственного процесса. При отладке производится мониторинг команд, который может потребовать длительного времени наблюдения. Сложности в реализации могут останавливать специалистов ИБ АСУ ТП перед началом проекта, но специалисты Angara Technologies Group считают в корне неправильным оставлять эти системы без внимания: «Необходим грамотный подход к защите. Так большинство атак начинается не на уровне ядра системы, а на уровне пользователей, где стоят традиционные средства защиты. Важно четко разграничивать контуры защиты, как на сетевом, так и на прикладном уровне. Оперативный мониторинг может значительно снизить риски возникновения инцидента ИБ в промышленной системе.»
Для защиты АСУ ТП существует ряд эффективных решений, с производителями которых тесно сотрудничает группа компаний Angara:
- Kaspersky Industrial CyberSecurity — это набор технологий и сервисов, созданных для защиты различных уровней промышленной инфраструктуры и других элементов предприятия, в том числе серверов SCADA, операторских панелей, инженерных рабочих станций, ПЛК, сетевых соединений и даже самих инженеров.
- PT Industrial Security Incident Manager – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, выявление кибератак и неавторизованные действия персонала на ранней стадии.
Большинство ИБ решений других производителей поддерживают анализ промышленных протоколов, а также базовый анализ прикладного ПО (контроль аномалий, контроль целостности и т.д.).
По вопросам проектирования и внедрения решений по защите АСУ ТП обращайтесь к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
