Эволюция киберугроз в OT-средах

В этом году исполняется 10 лет со дня обнаружения Stuxnet. Вредоносный компьютерный червь попал в заголовки по той причине, что целился в системы диспетчерского контроля и сбора данных (SCADA).

Код Stuxnet, обширный и изощренный, размером более 500 килобайт, сумел проникнуть в устройства и сети Windows, несколько раз копируя себя, прежде чем искать дополнительное программное обеспечение. Он был нацелен на программируемые логические контроллеры (ПЛК), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования.

Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями (OT). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету, что делает их более уязвимыми для атак киберпреступников, государств и хакеров. Фактически, согласно исследованию Fortinet «State of Operational Technology and Cybersecurity Report», 74% организаций, использующих OT, в последние 12 месяцев сталкивались с заражением вредоносным ПО, которое наносило ущерб производительности, доходам, доверию к бренду, интеллектуальной собственности и физической безопасности.

Наиболее значительные атаки на OT-среды и ICS

Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие, мы можем увидеть, насколько далеко продвинулись технологические возможности преступников. Однако, возможно, еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре, но и физической, негативно влияя на отдельных сотрудников и целые компании. Stuxnet, пожалуй, один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру.

Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие, а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры.

2011: Duqu

Венгерские исследователи в области кибербезопасности обнаружили вредоносное ПО, идентифицированное как Duqu, которое по структуре и дизайну очень напоминало Stuxnet. Duqu был разработан для кражи информации путем маскировки передачи данных под обычный HTTP-трафик и передачи поддельных файлов JPG. Ключевым выводом из открытия Duqu стало понимание важности разведывательной работы для преступников – часто вредоносный код для кражи информации является первой киберугрозой из запланированной серии дополнительных атак.

2013: Havex

Havex – это достаточно известный троян для удаленного доступа (Remote Access Trojan –RAT), впервые обнаруженный в 2013 году. Havex, относящийся к группе угроз GRIZZLY STEPPE, предназначается для систем ICS и связывается с сервером C2, который может развертывать модульные полезные нагрузки.

Его специфическая для ICS целевая нагрузка собирала информацию о сервере для открытой платформы связи (OPC), включая CLSID, имя сервера, идентификатор программы, версию OPC, информацию о поставщике, состояние выполнения, количество групп и пропускную способность сервера, а также была способна подсчитывать теги OPC. Взаимодействуя с инфраструктурой C2, вредоносное ПО Havex представляло значительную угрозу в контексте своей способности отправлять инструкции, которые предоставляют расширенные и неизвестные возможности вредоносному ПО.

2015: BlackEnergy

В 2015 году было обнаружено, что вредоносное ПО BlackEnergy применялось для использования макросов в документах Microsoft Excel. Вредоносная программа проникала в сети через фишинговые электронные письма, отправленные сотрудникам. Хотя тактика, использованная этими злоумышленниками, была относительно простой, событие доказало, что киберпреступники действительно могут манипулировать критически важной инфраструктурой в больших масштабах.

2017: TRITON

Вредоносная программа TRITON, обнаруженная в 2017 году, была нацелена на системы промышленной безопасности. В частности, оно преследовало систему средств инструментальной безопасности (SIS), модифицируя встроенные в память прошивки для добавляя вредоносный функционал. Это позволило злоумышленникам читать или изменять содержимое памяти и активировать собственный код, наряду с дополнительным программированием безопасного отключения, блокирования или изменения способности промышленного процесса к отказу. TRITON – первое известное вредоносное программное обеспечение, специально разработанное для атаки на системы промышленной безопасности, защищающие человеческие жизни. 

Отчёт по безопасности

  • 74% опрошенных организаций отметили, что за последние 12 месяцев их OT-среды подвергались атакам, повлекшим за собой потерю данных, нарушение деятельности или/и нанесшим ущерб репутации бренда.
  • 78% опрошенных компаний ограничили централизацию видимости кибербезопасности.
  • 64% затрудняются успевать за изменениями.
  • 62% увеличивают бюджеты на обеспечение кибербезопасности.

Решение проблем безопасности ICS / SCADA

ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств, систем, элементов управления и сетей, которые управляют производственными процессами. Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS).

Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности, а вот безопасность OT является несколько новой территорией. С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили «воздушный зазор», который защищал их системы OT от хакеров и вредоносных программ. В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации, прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры. Отчасти это происходит потому, что существующие вредоносные программы эффективно работают против устаревших систем, развернутых в сетях OT, которые, вероятно, не были исправлены или обновлены, учитывая отсутствие дополнительных ресурсов на доработку. 

Ряд вызовов сыграли свою роль в эволюции кибератак, которые влияли на системы ОТ на протяжении многих лет. Среди них:

  • Недостаточность инвентаризации устройств OT. Организации не могут защитить активы – будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой.
  • Недостаточность удаленного доступа к сети. Большинство технологий, лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и ​​протоколах связи.
  • Устаревшее аппаратное и программное обеспечение. Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы, которые несовместимы или слишком деликатны для поддержки современных технологий защиты. Часто такое оборудование развернуто в средах, где системы не могут быть отключены для исправления или обновления.
  • Плохая сегментация сети. Среды OT, как правило, функционируют используя установки полного доверия, такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты, ограничивающие данные и приложения, которые могут мигрировать из одного сегмента в другой, в ICS в целом используется не очень часто.
  • Ограниченный контроль доступа и управление разрешениями. Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными, элементы управления и процессы, которые предписывали доступ, часто становятся запутанными.

К счастью, риски, которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и, как следствие, более приоритетными для многих крупных организаций. Правительственные органы, включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании, в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.

Международное общество автоматизации (International Society of Automation – ISA) также разработало стандарты, основанные на фреймворке «зон и каналов» (zones and conduits), которая устраняет наиболее острые недостатки безопасности сети ICS и предоставляет рекомендации по улучшению управления. Аналогичным образом, некоммерческая организация ICS-ISAC сосредоточена на обмене знаниями о рисках, угрозах и передовых практиках, чтобы помочь предприятиям развить ситуационную осведомленность для поддержки местной, национальной и международной безопасности.

Необходимость поддерживать критическую инфраструктуру

В связи с потенциальными последствиями атаки для физической безопасности сотрудников, клиентов и сообществ, безопасности ICS/SCADA следует уделять первоочередное внимание. Это также означает, что нельзя игнорировать соблюдение нормативных требований. К счастью, применяя многоуровневый подход к безопасности цифровых промышленных систем, организации могут значительно улучшить свою общую защищенность и стратегию снижения рисков.

26/06.2020


Похожие статьи:

Используем микро-компьютер ECS Liva Q1 в качестве домашнего сервера

Cегодня поговорим о микро-компьютере ECS Liva Q1, модель для офисных задач с 4-ядерным процессором Pentium N4200, 4 ГБ ОЗУ, Wi-Fi 802.11n и двумя сетевыми портами 1GBase-T, которая идеально подходит для создания Edge-сервера для VPN, Wi-Fi, NAS...

ZyWALL ATP800 - тестируем скорость топового шлюза безопасности от Zyxel

Если вы ранее не встречались с Zyxel ATP, то вот вам небольшой бриф: этот мощный 8-ядерный межсетевой шлюз с поддержкой Multi WAN совмещает в себе все современные методы анализа, защиты приватности и целостности вашей корпоратив...

6 передовых методов подготовки к утечкам данных и инцидентам, связанным с безопасностью

согласно ежегодному отчету Ponemon Institute Cost of a Data Breach Report, средняя общая стоимость утечки данных составляет около $3,92 млн, при этом в среднем 25 575 записей были украдены или скомпрометированы.

Исследование: безопасность должна сопровождать опережать 5G, а не поспевать за ним

5G расширяет возможности предприятий и операторов мобильных сетей (MNO) по внедрению инноваций и преобразованию своей ИТ-инфраструктуры, приложений, коммуникаций и взаимодействия с пользователями. 5G также поддерживает множество...

Исследование Fortinet: ведущие компании в сфере операционных технологий все еще сталкиваются с вызовами в сфере кибербезопасности

Операционные технологии (OT) – это киберфизическая основа функционирования глобальных производственных мощностей, объектов выработки и передачи электроэнергии, транспортных сетей и коммунальных предприятий. Чтобы повысить операц...