Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите

Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите
e41dcaa4dbf6330dda46fc09d7e1bcff.jpg
Сектор промышленности на текущий момент находится в стремительном развитии и цифровизации. А подступающая Четвертая промышленная революция – Industry 4.0 – видоизменит сферу промышленности еще сильнее. На фоне прогрессирующей цифровизации вопрос анализа рисков становится как никогда острым, особенно в такой чувствительной сфере.

Эксперты компании Trend Micro, в объединении с Миланским техническим университетом (Politecnico di Milano) и на базе его технологической лаборатории с производственным оборудованием лидеров отрасли, проанализировали и продемонстрировали системные уязвимости в Промышленном Интернете вещей (Industrial IoT, IIoT) и производственных системах.

Целями злоумышленников могут быть как промышленный шпионаж и финансовая выгода, так и попытки саботировать производственный и другие процессы. Точки вхождения: АРМ операторов и инженеров поддержки и разработки, системы управления производством (MES), интерфейсы управления «человек-машина» (HMI), базы данных и внешние подключаемые библиотеки.
Векторы обнаруженных атак:

• Компрометация инженерного АРМ через вредоносный add-in или уязвимости программного окружения для разработки функций автоматизации. Злоумышленник может как собрать и украсть конфиденциальную информацию, так и закрепиться в системе и использовать ее для управления другими производственными частями предприятия, вплоть до остановки промышленных процессов.
• Заражение трояном устройств IIoT. Для разработки прошивок для таких устройств используются открытые библиотеки и репозитории, где не всегда реализован контроль целостности ПО и возможно заражение ПО вредоносным кодом.
• Уязвимости в ПО мобильного интерфейса управления «человек-машина» – mobile HMI.
• Искажение данных на системах управления производством (MES) для вызова сбоя в производственном процессе, например, путем изменения параметров на индикаторы дефектности или ввода параметров вне ожидаемого списка (out-of-bound), что приведет к отказу в обслуживании и заблокирует производство.
• Использование уязвимой или вредоносной логики автоматизации в сложной производственной машине. Введенные в логику ошибки программирования сложные системы могут использоваться злоумышленниками для нарушения производственного процесса, если они уже получили доступ к промышленной сети.
Исследователи Trend Micro показали, что системы являются достаточно уязвимыми перед действиями злоумышленников, а также подвержены как ошибкам и сбоям, так и утечкам различных конфиденциальных данных, в том числе телеметрии. Несмотря на то, что промышленные системы используют проприетарные протоколы и специфичные шины данных.
Таким образом, охрана периметра и точек входа в промышленные системы становится критичной задачей. Для промышленного оборудования и пограничных систем, точек входа в промышленную сеть необходимо обеспечить:
1. контроль целостности среды функционирования как для АРМ, так и для сетевой среды на отсутствие неучтенных сетевых устройств,
2. фильтрацию сетевого трафика в режиме «Белого листа», если возможно – с поддержкой анализа параметров для промышленных протоколов,
3. глубокий анализ трафика на наличие попыток сетевых атак (deep packet inspection) и аномалий, желательно с поддержкой анализа промышленных протоколов,
4. для устройств IIoT осуществлять контроль целостности прошивки и антивирусную проверку используемого ПО и библиотек, использование подписи исполняемого кода, включая зависимые объекты и библиотеки,
5. использование цепочек сертификатов в производственных средах,
6. использование «песочниц» и инструментов для обнаружения и распознавания уязвимостей и программных закладок,
7. разделение привилегий для ПО промышленного оборудования,
8. анализ рисков физических и информационных систем, использование доступного мониторинга событий систем средствами SIEM.
Напомним, что для защиты промышленных систем существует ряд эффективных решений, с производителями которых тесно сотрудничает группа компаний Angara:
• Kaspersky Industrial CyberSecurity – это набор технологий и сервисов, созданных для защиты различных уровней промышленной инфраструктуры и других элементов предприятия, в том числе серверов SCADA, операторских панелей, инженерных рабочих станций, ПЛК, сетевых соединений и даже самих инженеров.
• PT Industrial Security Incident Manager – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, выявление кибератак и неавторизованные действия персонала на ранней стадии.
•  Решения Trend Micro, которые можно использовать для защиты промышленной среды:
  • TippingPoint IPS, Deep Discovery и TippingPoint Advanced Threat Protection используются для анализа и защиты сети на наличие сетевых атак и сетевых аномалий,
  • Deep Security позволяет выполнять виртуальный патчинг для ОС функционирования систем управления и известных компонент и библиотек приложений, контроль установленных приложений обеспечит целостность среды функционирования,
  • OfficeScan включает в себя антивирусную защиту платформ и фильтрацию вредоносных URL, в топ числе command-and-control соединения, а также контроль USB устройств,
  • Trend Micro Vulnerability Protection поддерживает детектирование сложного вредоносного ПО, направленного на ОС и известные компоненты приложений SCADa систем,
  • Trend Micro Endpoint Application Control выполняет контроль целостности среды для систем управления производством через запрет установки нелегитимного ПО и компонент ОС.
Кроме того, большинство ИБ-решений других производителей поддерживают анализ промышленных протоколов (например, Check Point Industrial FW), а также базовый анализ прикладного ПО (контроль аномалий, контроль целостности и т.д.).
По вопросам проектирования и реализации решений по защите промышленных систем вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group