Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2017 года

Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2017 года

В рубрику "Исследование" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Ландшафт угроз для систем промышленной автоматизацииВторое полугодие 2017 года

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур “Лаборатории Касперского” (Kaspersky Lab ICS CERT) публикует результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение второго полугодия 2017 года. Основная цель публикаций – информационная поддержка глобальных и локальных команд реагирования на инциденты, специалистов по информационной безопасности предприятий и исследователей в области защищенности промышленных объектов.

Уязвимости в различных компонентах АСУ ТП

Степень риска выявленных уязвимостей

Больше половины выявленных в системах АСУ ТП уязвимостей (194) получили оценку более 7 баллов по шкале CVSS версии 3.0, что соответствует высокой и критической степени риска (см. табл. 1).


Все уязвимости, получившие 10 баллов, имеют схожие характеристики: они связаны с проблемами аутентификации, могут использоваться удаленно и просты в эксплуатации.

Наивысшую оценку степени риска получила также уязвимость в протоколе Modicon Modbus Protocol, которая рассматривается ниже.

Необходимо отметить, что оценка CVSS не учитывает специфику систем промышленной автоматизации и особенности технологических процессов конкретной организации. Поэтому при оценке критичности уязвимости помимо количества баллов по шкале CVSS мы рекомендуем учитывать возможные последствия ее эксплуатации, такие как нарушение или ограничение выполнения функций АСУ ТП, влияющих на непрерывность технологического процесса.

Типы выявленных уязвимостей

Среди наиболее распространенных типов уязвимостей (рис. 2) – переполнение буфера (Stack-based Buffer Overflow, Heap-based Buffer Overflow) и неправильная аутентификация (Improper Authentication).

Анализ по отраслям Большая часть уязвимостей затрагивает автоматизированные системы, управляющие энергетикой (178), производственными процессами различных предприятий (164), водоснабжением (97) и транспортом (74).

При этом 23% всех выявленных уязвимостей являются Web-уязвимостями (Injection, Path traversal, Cross-Site Request Forgery (CSRF), Cross-Site Scripting), а 21% – связаны с проблемами аутентификации (Improper Authentication, Authentication Bypass, Missing Authentication for Critical Function) и с проблемами управления доступом (Access Control, Incorrect Default Permissions, Improper Privilege Management, Credentials Management).

Эксплуатация злоумышленниками уязвимостей в различных компонентах АСУ ТП может привести к выполнению произвольного кода, несанкционированному управлению промышленным оборудованием и отказу в его работе (DoS). При этом большинство уязвимостей (265) могут эксплуатироваться удаленно без аутентификации, и их эксплуатация не требует от злоумышленника специальных знаний и высокого уровня навыков.

Для 17 уязвимостей опубликованы эксплойты, что повышает риск их злонамеренного использования.

Уязвимые компоненты АСУ ТП

Наибольшее количество уязвимостей было выявлено в: SCADA/HMI-компонентах (88); сетевых устройствах промышленного назначения (66); ПЛК (52); инженерном ПО (52) – рис. 3.

Среди уязвимых компонентов также РЗА, системы противоаварийной защиты, системы экологического мониторинга и системы промышленного видеонаблюдения.

Уязвимости промышленных протоколов

Важным моментом в исследовании безопасности программного обеспечения АСУ ТП 2017 г. стало обнаружение серьезных уязвимостей в реализациях промышленных протоколов. Так, уязвимости были обнаружены в реализации протокола Modbus в контроллерах серии Modicon (по шкале CVSS версии 3 эта уязвимость имеет оценку 10 баллов), а также в реализациях стека протоколов OPC UA и в реализации протокола PROFINET Discovery and Configuration Protocol. Выявленные проблемы безопасности затрагивают целые линейки продуктов.

Влияние уязвимостей в "традиционных" технологиях на промышленные системы

Кроме специфических для АСУ ТП уязвимостей, во втором полугодии 2017 г. стало известно о ряде серьезных уязвимостей в программных платформах и сетевых протоколах, которые могут быть использованы для атак на промышленные системы.

Уязвимости в компонентах АСУ ТП Всего в 2017 г. эксперты Kaspersky Lab ICS CERT обнаружили 30 уязвимостей в продуктах АСУ ТП различных вендоров. В основном это крупные производители средств автоматизации, такие как Schneider Electric, Siemens, Rockwell Automation, Emerson и др.

Неожиданно актуальными для индустриальных решений оказались уязвимости в протоколе WPA2. Им оказалось подвержено оборудование сразу нескольких компаний, включая Cisco, Rockwell Automation, Sierra Wireless, ABB и Siemens. Сферу АСУ ТП затронули также множественные уязвимости в DNS-сервере Dnsmasq, Java Runtime Environment, Oracle Java SE, Cisco IOS и IOS XE.

Кроме того, на безопасность промышленного оборудования могут влиять и уязвимости продуктов Intel. Так, во втором полугодии 2017 г. была опубликована информация о нескольких уязвимостях в Intel (ME, SPS и TXE). В основном они затрагивают серверное оборудование SCADA-систем и индустриальные компьютеры, использующие уязвимые процессоры. К ним относятся, например, Automation PC 910 компании В&R, Nuvo-5000 от Neousys и линейка продуктов GE Automation RXi2-XP. Как правило, компании-разработчики не считают необходимым выпускать публичные уведомления об уязвимостях такого типа (обусловленных использованием технологий третьих сторон). Конечно, есть и положительные исключения. Например, Siemens AG выпустила уведомление о том, что данные уязвимости затрагивают ряд продуктов компании. Ранее компания уже публиковала информацию о подобных уязвимостях в технологиях Intel, затронувших ее продукты.

Уязвимости IoT-устройств

В 2017 г. был отмечен рост числа уязвимостей, обнаруженных в устройствах Интернета вещей (Internet of Things, IoT), в связи с чем участились случаи использования этих уязвимостей для создания ботнетов. Только за последние два месяца 2017 г. стало известно сразу о трех новых ботнет-активностях. Среди них – ботнет Reaper и новые разновидности Mirai, в том числе ботнет Satori.

Был проанализирован программно-аппаратный комплекс SafeNet Sentinel производства компании Gemalto. По итогам проведенных исследований в программной части данного решения было обнаружено 15 уязвимостей (11 в декабре 2016 г. и 4 в 2017 г.). Данные бреши затрагивают множество продуктов, в составе которых используется это уязвимое ПО. Среди них решения компаний ABB, General Electric, HP, Cadac Group, Zemax и других производителей ПО, количество которых, по некоторым оценкам, может достигать 40 тыс.

Множественные уязвимости были выявлены в роутерах Dlink 850L, беспроводных IP-камерах WIFICAM, сетевых видеорегистраторах Vacron и других устройствах.

Наряду с новыми брешами в IoT-устройствах до сих пор не устранены давние уязвимости, такие как уязвимость CVE-2014-8361 в устройствах компании Realtek, а также уязвимость 2012 г., которая позволяет узнать конфигурацию конвертеров Serial-to-Ethernet, включая Telnet-пароль, через запрос на порт 30718. Данная уязвимость Serial-to-Ethernet-конвертеров напрямую затрагивает cферу промышленного Интернета вещей (Industrial Internet of Things) – конверторы последовательных интерфейсов лежат в основе многих систем, позволяющих оператору промышленного оборудования удаленно контролировать его состояние, менять настройки и управлять режимами работы.

Сферу IoT-устройств также затронули проблемы безопасности традиционных информационных технологий. Так, уязвимости в реализациях протокола Bluetooth обусловили появление нового вектора атаки BlueBorne, представляющего опасность для мобильных, настольных и IoT-операционных систем.

Вредоносное ПО на системах промышленной автоматизации

Во многих промышленных компаниях используются современные сетевые технологии, которые повышают прозрачность и эффективность процессов управления предприятием, а также обеспечивают гибкость и отказоустойчивость выполняемых функций на всех уровнях промышленной автоматизации. В результате технологическая сеть все больше становится похожей на корпоративную – и по сценариям использования, и по применяемым технологиям. К сожалению, платой за это становится распространение интернет- и прочих традиционных ИT-угроз на технологические сети современных организаций.

Во втором полугодии 2017 г. защитными решениями "Лаборатории Касперского" на системах промышленной автоматизации было обнаружено более 17,9 тыс. различных модификаций вредоносного ПО, относящихся к около 2,4 тыс. различных семейств.

Случайные заражения

В подавляющем большинстве случаев попытки заражения компьютеров АСУ носят случайный характер, а не происходят в ходе целевой атаки. Соответственно, функции, заложенные во вредоносное ПО, не являются специфичными для атак на системы промышленной автоматизации. Однако, даже не имея специальной функциональности, вредоносное ПО способно вызвать последствия, плачевные для систем промышленной автоматизации, в том числе привести к аварийной остановке технологического процесса. Это подтвердила эпидемия WannaCry в мае 2017 г., когда в результате заражений шифровальщиком несколько промышленных компаний, работающих в различных отраслях, были вынуждены временно приостановить производство.

Неожиданные последствия эпидемии WannaCry

Важно отметить, что некоторые ИT-угрозы могут нанести гораздо более серьезный вред в технологической сети, чем в офисной. Продемонстрируем это на примере двух инцидентов, расследованных командой Kaspersky Lab ICS-CERT.

Уязвимости в промышленных маршрутизаторах За 2017 г. было выявлено 18 уязвимостей в промышленном сетевом оборудовании разных производителей. Типичные уязвимости: раскрытие информации, эскалация привилегий, выполнение произвольного кода, отказ в обслуживании.

Во втором полугодии 2017 г. к нам обратились представители сразу нескольких промышленных предприятий, где были выявлены массовые заражения технологической сети шифровальщиком WannaCry. Как выяснилось позже, первичные заражения компьютеров офисных сетей пострадавших компаний во всех случаях произошли еще в первом полугодии 2017 г., в разгар эпидемии WannaCry. Однако заражение не было замечено до тех пор, пока не распространилось на технологическую сеть. Как выяснилось в ходе расследования, функциональность шифрования в образцах вредоносного ПО была повреждена и зараженные системы в корпоративных сетях предприятий продолжали функционировать в нормальном режиме – без каких-либо сбоев. Заражение же технологической сети привело в описываемых случаях к неожиданным негативным последствиям.

На одном из зараженных WannaCry предприятий на компьютерах операторов стали постоянно возникать "синие экраны смерти" и происходить аварийные перезагрузки. Причина столь неожиданных последствий заражения крылась в том, что эти машины работали под управлением Windows XP. Как известно, эксплойт DoublePulsar, используемый WannaCry для распространения, некорректно работает в данной версии операционной системы, что и приводит к возникновению "синего экрана смерти" и перезагрузке компьютера. В случае когда множество машин в технологическом сегменте сети организации оказываются заражены, машины под управлением Windows XP часто подвергаются атакам и аварийно перезагружаются. В результате операторы не могут осуществлять мониторинг и управление технологическим процессом. Таким образом, WannaCry становится своего рода инструментом атаки типа "отказ в обслуживании".

В другом инциденте распространение WannaCry приводило к временной недоступности части устройств в промышленном сегменте сети предприятия в периоды, когда сетевая активность вредоносной программы совпадала c определенными этапами технологического процесса. В результате возникали аварийные остановки критически важного для предприятия технологического процесса, в среднем на 15 мин.

Майнеры криптовалют в инфраструктуре технологической сети

По данным Kaspersky Lab ICS CERT, в период с февраля 2017 г. по январь 2018 г. программами для майнинга криптовалют были атакованы 3,3% компьютеров, относящихся к системам промышленной автоматизации (рис. 4).

До августа 2017 г. доля компьютеров АСУ, атакованных майнерами, не превышала 1%. Этот показатель вырос в сентябре и не опускался ниже 1% до конца 2017 г. Самым активным месяцем по атакам майнеров на компьютеры АСУ стал октябрь с показателем 2,07%.

Количество обнаруженных уязвимостей В 2017 г. общее число опубликованных на сайте ICS-CERT уязвимостей, выявленных в различных компонентах АСУ ТП, составило 322 (рис. 1). В это число входят уязвимости в ПО общего назначения и в сетевых протоколах, которые также актуальны для промышленного ПО и оборудования. Они рассматриваются в обзоре отдельно.

Как и другое вредоносное ПО, попавшее на системы промышленных предприятий, майнеры могут стать угрозой для мониторинга и управления технологическим процессом. Во время работы вредоносные программы данного типа создают значительную нагрузку на вычислительные ресурсы компьютера. Увеличение нагрузки на процессоры может негативно влиять на работу компонентов АСУ ТП предприятия и угрожать стабильности их функционирования.

По нашим оценкам, в основном майнеры попадают на компьютеры АСУ в результате случайных заражений (рис. 5). Достоверной информации о целевом заражении машин в инфраструктуре технологической сети для майнинга криптовалют нет – исключая те случаи, когда установка майнеров производится недобросовестными сотрудниками предприятий. Чаще всего вредоносное ПО для майнинга криптовалют попадает в инфраструктуру технологической сети из Интернета, реже – со съемных носителей или из сетевых папок.

Заражению майнерами криптовалют подверглось множество Web-сайтов, в том числе промышленных компаний. В таких случаях майнинг криптовалют производится на системах посетителей зараженных Web-ресурсов, данная техника получила название Cryptojacking.

Ботнет-агенты в инфраструктуре технологической сети

В большинстве случаев ботнет-агенты выполняют такие функции, как поиск и кража финансовой информации, кража данных аутентификации, перебор паролей, рассылка спама, а также атаки на заданные удаленные интернет-ресурсы, в частности атаки, направленные на отказ в обслуживании (DDoS). Кроме того, в случае если ботнет-агент производит атаку на сторонние ресурсы (такие случаи также фиксировались), у компании – владельца IP-адресов могут возникнуть определенные репутационные риски.

Широко известно о применении в последние годы вектора атак на промышленную инфраструктуру через поставщиков в нескольких атаках, имевших катастрофические последствия. Именно поэтому высокий процент атакованных компьютеров АСУ ТП в компаниях категории "Инжиниринг и интеграторы АСУ" – проблема достаточно серьезная.

Несмотря на то что деструктивная активность ботнет-агентов не направлена на нарушение работы какой-либо промышленной системы, заражение данным типом вредоносного ПО может быть очень опасно для объекта промышленной инфраструктуры. Действия вредоносных программ данного типа могут приводить к нарушению работы сети, отказу в обслуживании (DoS) зараженной системы и других устройств в сети. Кроме этого, зачастую код вредоносных программ содержит ошибки и/или несовместим с ПО для управления промышленной инфраструктурой, что также может приводить к нарушениям в мониторинге и управлении технологическим процессом.

Другая опасность ботнет-агентов заключается в том, что вредоносные программы данного типа часто имеют функциональность сбора информации о системе и предоставляют злоумышленникам возможность скрытого управления зараженной машиной – как вредоносные программы класса Backdoor. Тех данных, которые боты собирают о системе по умолчанию, достаточно для точного определения компании-владельца и типа системы. Кроме того, доступ к инфицированным ботнет-агентами машинам зачастую выставляется на продажу на специализированных биржах в Даркнете. Таким образом, злоумышленники, имеющие интерес к зараженным системам АСУ, могут получить доступ к конфиденциальным данным компании-жертвы и/или к системам управления промышленной инфраструктурой.

В 2017 г. 10,8% всех систем АСУ подверглись атакам ботнет-агентов (рис. 6). Более того, статистика по атакам ботнет-агентами показывает, что 2% систем АСУ были атакованы сразу несколькими вредоносным программами данного типа.

Основными источниками атак ботнет-агентов для систем АСУ в 2017 г. стали Интернет, сменные носители и сообщения электронной почты (рис. 7).

Это в очередной раз говорит о важности разграничения доступа для безопасного обмена информацией между технологической сетью предприятия и другими сетями, а также о необходимости установки средств выявления и фильтрации вредоносных объектов в сообщениях электронной почты и запрета подключения неавторизованных сменных носителей к системам АСУ.

Наиболее распространенные ботнет-агенты показаны на рис. 8.

Целевые атаки

В 2017 г. была опубликована информация о двух целевых атаках на системы промышленной инфраструктуры – Industroyer и Trisis/Triton. В этих атаках впервые после Stuxnet атакующие создали собственные реализации промышленных сетевых протоколов и получили возможность напрямую взаимодействовать с устройствами.

Trisis/Triton

В декабре 2017 г. исследователи сообщили, что в результате расследования инцидента на неназванном промышленном предприятии было найдено ранее неизвестное вредоносное ПО, направленное на системы критической инфраструктуры. Данное вредоносное ПО получило название Triton, или Trisis.

Три индустрии с наименьшими показателями – "Горнодобывающая промышленность" (23,5%), "Транспорт и логистика" (19,8%) и "Разработка промышленного ПО" (14,7%).

Вредоносная программа представляет собой модульный фреймворк, позволяющий в автоматическом режиме производить поиск контроллеров Triconex Safety Controllers в сети предприятия, получать информацию о режиме их работы и внедрять на данные устройства вредоносный код.

Trisis/Triton устанавливает в прошивку устройства бэкдор, позволяющий злоумышленникам удаленно считывать и модифицировать не только код легитимной программы управления, но и код прошивки скомпрометированного устройства Triconex. Имея такие возможности, злоумышленники могут нанести серьезный вред технологическому процессу предприятия. Самое безобидное из возможных негативных последствий – аварийное отключение системы и остановка технологического процесса. Именно такое событие и побудило пострадавшую организацию к расследованию, которое и привело к обнаружению атаки.

До сих пор остается неизвестным, как злоумышленники проникли в инфраструктуру предприятия. Известно только, что они, по всей видимости, достаточно долго (несколько месяцев) пребывали в сети скомпрометированной организации и использовали легитимное ПО и утилиты "двойного назначения" для продвижения внутри сети и эскалации привилегий.

Несмотря на то что атака была направлена на изменение кода устройств Triconex, тот код, который злоумышленники, по всей видимости, пытались внедрить на последней стадии атаки, так и не был найден, поэтому установить конечную цель атаки на данный момент невозможно.

Целевой фишинг – шпион Formbook

Среди известных троянцев-шпионов, рассылаемых в фишинговых письмах индустриальным и энергетическим компаниям по всему миру (FareIT, HawkEye, ISRStealer и другие), во втором полугодии 2017 г. набрал популярность новый представитель этого класса вредоносного ПО – Formbook.

Наибольшее число найденных уязвимостей (29) может позволить злоумышленнику удаленно вызвать отказ в обслуживании (DoS). 8% выявленных уязвимостей может привести к удаленному выполнению произвольного кода в целевой системе.

В атаках с использованием Formbook в фишинговых письмах рассылаются вложенные вредоносные документы Microsoft Office, которые для загрузки и установки в систему вредоносного ПО эксплуатируют уязвимость CVE-2017-8759 или используют макросы. Распространяются также архивы различных форматов, содержащие исполняемый файл вредоносной программы.

По своей реализации и используемым техникам по сокрытию кода и шифрованию полезной нагрузки Formbook отличается от "собратьев" большей функциональностью. Помимо стандартных для шпионского вредоносного ПО функций, таких как снятие скриншотов, запись кодов нажатых клавиш и кража паролей из хранилищ браузеров, Formbook обладает возможностью кражи конфиденциальных данных из трафика HTTP/HTTPS/SPDY/HTTP2 и Web-форм. Кроме того, данная вредоносная программа реализует и функциональность скрытого удаленного управления системой, а также имеет необычную технику противодействия анализу сетевого трафика. Троянец формирует набор URL-адресов для подключения к серверу злоумышленников из списков легитимных доменов, хранящихся в его теле, и добавляет в него только один сервер управления вредоносным ПО. Таким образом вредоносная программа пытается скрыть подключение к вредоносному домену среди запросов к легитимным ресурсам, что усложняет ее обнаружение и анализ.

Процент атакованных компьютеров АСУ в различных индустриях

Статистические данные об атаках на объекты в различных индустриях (рис. 9) свидетельствуют о том, что почти во всех отраслях наблюдаются близкие показатели процента атакованных компьютеров АСУ, попадающие в интервал от 26 до 30%. По нашему предположению это объясняется схожестью архитектурных решений систем АСУ ТП, используемых для автоматизации технологических процессов на предприятиях в различных индустриях и, возможно, схожестью процессов обмена информацией предприятий с внешними контрагентами и внутри предприятий.

Две индустрии в течение отчетного периода атаковали больше, чем остальные: показатели категорий "Энергетика" (38,7%), "Инжиниринг и интеграторы АСУ" (35,3%) превышают 35%.

Мы полагаем, что высокий процент атакованных систем АСУ в энергетике объясняется, с одной стороны, большей сетевой связностью объектов электроэнергетики (по сравнению с объектами других отраслей), с другой стороны, возможно, тем обстоятельством, что к АСУ энергетических объектов в среднем имеет доступ больше людей, чем на предприятиях других отраслей.

Статистика угроз Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их анонимную передачу. В силу ограничений продукта и законодательных ограничений мы не идентифицируем конкретную компанию/организацию, от которой KSN получает статистические данные.

Единственная индустрия, показатели которой значительно выросли за полугодие (+ 5,2 п.п.), – "Строительство" (31,1%). Причина высокого процента атакованных систем АСУ в строительных организациях предположительно кроется в том, что на предприятиях отрасли системы АСУ часто являются вспомогательными, внедряются относительно недавно и, возможно, находятся на периферии внимания владельцев и руководства компаний. Как следствие, задачи обеспечения их защиты от киберугроз могут оказаться менее приоритетными. Чем бы ни объяснялся высокий процент атак, добравшихся до промышленных АСУ в строительстве и инжиниринге, этот факт кажется весьма тревожным. Известно, что строительство – высококонкурентный бизнес, и кибератаки на промышленные организации могут использоваться как средство нечестной конкуренции. До сих пор в строительной индустрии кибератаки на конкурентов использовались в основном с целью кражи информации, представляющей коммерческую тайну. Заражение систем АСУ может дать в руки злоумышленников новое оружие в конкурентной борьбе.

Заражение разработчиков промышленного ПО может представлять большую опасность, поскольку последствия атаки, распространившиеся на партнерскую экосистему и клиентскую базу зараженного разработчика, могут быть чрезвычайно серьезными, как мы видели в недавних широкомасштабных инцидентах, таких как эпидемия вредоносной программы exPetr.

Мы включили в отчет данные по компьютерам АСУ учебных заведений. Когда речь идет о таких компьютерах, имеются в виду не только системы АСУ, использующиеся в демонстрационных стендах и учебных и исследовательских лабораториях, но и системы промышленной автоматизации различных объектов инфраструктуры учебных заведений – систем энергообеспечения (собственная генерация и распределение электроэнергии), коммунального хозяйства и пр., а также АСУ, используемые на опытном производстве.

Показатель учебных заведений можно считать примером "фонового уровня" случайных угроз для систем АСУ, считая системы учебных заведений максимально небезопасными. В самом деле, системы АСУ в образовательных учреждениях, как правило, подключены к общей сети учреждения и менее изолированы от внешнего мира по сравнению с системами промышленных объектов.

С другой стороны, мы считаем, что атаки на АСУ образовательных учреждений могут нести существенную угрозу и для предприятий различных отраслей реального сектора – в первую очередь ввиду наличия рабочих контактов и связей университетов/институтов с промышленными предприятиями. Это совместные исследовательские лаборатории, центры инжиниринга и разработки, центры обучения персонала и повышения квалификации и т.д.

Кроме того, такие системы АСУ могут использоваться злоумышленниками для тестирования и отладки вредоносного кода и отработки сценариев атак на реальные предприятия.

В сфере образования процент атакованных систем АСУ во втором полугодии изменился по сравнению с первым полугодием наиболее значительно. Высокий показатель первого полугодия обусловлен большим количеством атак, связанных с использованием Интернета, а также атак вредоносного ПО семейства Trojan.Multi.Powercod. В первом полугодии 2017 г. атакам троянца Powercod подверглись 9,8% компьютеров АСУ в учебных заведениях из нашей выборки. Во втором полугодии этот показатель составил 0,7%.

Источники заражения систем промышленной автоматизации

Во втором полугодии 2017 г. большинство показателей по основным источникам заражений остались на уровне прошлого полугодия (рис. 10).

Интернет был и остается основным источником заражения компьютеров технологической инфраструктуры организаций. Такой ситуации способствует сопряжение корпоративной и технологической сетей, наличие (ограниченного) доступа к Интернету из технологической сети, а также подключение к Интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддержкой 3G/LTE).

Интересно, что при общем достаточно высоком проценте атак, достигших АСУ ТП, процент атакованных компьютеров АСУ через съемные носители и почтовые клиенты в России относительно мал: 4,4 и 1,4% соответственно. Одно из возможных объяснений состоит в том, что риски этих векторов атак компенсированы в значительной степени организационными мерами и используемыми на производстве практиками обращения со сменными носителями и корпоративной почтой. Такая интерпретация обнадеживает: ведь именно сменные носители и электронная почта используются часто в качестве векторов проникновения для сложных целевых атак и APT.

Что касается подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети извне (напрямую или удаленно), то они часто имеют свободный доступ к Интернету. Их компьютеры входят в группу наибольшего риска и могут стать каналом проникновения вредоносного ПО в технологические сети обслуживаемых ими предприятий. Напомним, что в нашей выборке регулярно подключаются к Интернету около 40% всех компьютеров. Отметим, что, помимо вредоносных и зараженных сайтов, в категории "Интернет" также учитываются фишинговые письма и вредоносные вложения, открываемые в почтовых Web-сервисах (через браузер).

Эксперты Kaspersky Lab ICS-CERT обращают внимание на то, что вредоносные программы и скрипты, встраиваемые в тело электронных писем, часто используются в целевых атаках на промышленные предприятия. В большинстве случаев злоумышленники распространяют письма с вредоносными вложениями в формате офисных документов, таких как MS Office и PDF, а также архивы, содержащие исполняемые файлы вредоносного ПО.

На 1,7 п.п. снизилась доля угроз, найденных при проверке сменных носителей, что является важным показателем, поскольку такие устройства часто используются для передачи информации в технологической сети промышленного производства.

Остальные показатели не претерпели значительных изменений.

Классы вредоносного ПО

Актуальными угрозами для компьютеров АСУ остаются вредоносные программы класса Trojan, задача которых – проникновение в атакуемую систему, доставка и запуск прочих модулей вредоносного ПО. Вредоносный код этих программ чаще всего был написан на скриптовых языках программирования (Javascript, Visual Basic Script, Powershell, AutoIt в формате AutoCAD), а также в формате ярлыка Windows (.lnk), ссылающегося на следующий модуль (рис. 11).

В качестве основных модулей чаще всего эти троянцы пытались загрузить и запустить:

  • троянцы-шпионы (Trojan-Spy и Trojan-PSW);
  • программы-вымогатели (Trojan-Ransom);
  • бэкдоры (Backdoor);
  • средства удаленного администрирования, установленные несанкционированно (RAT);
  • программы типа Wiper (Kill-Disk), выводящие из строя компьютер и затирающие данные на диске.

Заражение компьютеров в промышленной сети данным вредоносным ПО может приводить к потере контроля или к нарушению технологических процессов.

География атак на системы промышленной автоматизации

На карте (рис. 12) отражен процент атакованных систем промышленной автоматизации в каждой стране по отношению к общему количеству таких систем в стране.

Первая пятерка стран осталась без изменений по сравнению с первым полугодием 2017 г. (см. рис. 13).

Наиболее благополучные страны в этом рейтинге – Израиль (8,6%), Дания (13,6%), Великобритания (14,5%), Нидерланды (14,5%), Швеция (14,8%) и Кувейт (15,3%).

В России в течение второго полугодия 2017 г. хотя бы один раз были атакованы 46,8% компьютеров АСУ – на 3,8 п.п. больше, чем в первом полугодии 2017 г. В результате Россия переместилась с 21 на 13 строчку рейтинга.

Доля атакованных машин АСУ значительно различается в различных регионах мира (см. рис. 14).

По проценту атакованных машин АСУ все регионы можно разделить на три группы:

  1. Доля атакованных систем АСУ не превышает 30%. В эту группу вошли Северная Америка и Европа, где ситуация выглядит наиболее спокойной. По мнению специалистов Kaspersky Lab ICS CERT, это не обязательно означает, что промышленные предприятия в данных регионах реже попадают в число атакуемых злоумышленниками. Можно предположить, что на промышленных предприятиях в данных регионах уделяется большее внимание обеспечению информационной безопасности, благодаря этому атаки достигают систем АСУ значительно реже.
  2. Доля атакованных систем АСУ от 30 до 50%. Во второй группе регионов находятся Латинская Америка, Россия и Ближний Восток.
  3. Доля атакованных машин АСУ превышает 50%. Наиболее остро ситуация обстоит в Африке и Азиатско-Тихоокеанском регионе.

Стоит заметить, что значения для различных стран одного региона могут значительно отличаться. Это может быть связано с тем, что в одном регионе могут находиться страны, имеющие различные подходы и практики для обеспечения информационной безопасности систем АСУ ТП (рис. 15 и 16).

Рассмотрим также источники угроз, которым подверглись системы АСУ, в разных регионах (рис. 17).

Во всех регионах мира основным источником атак является Интернет. Однако в Европе и Северной Америке процент заблокированных угроз из Интернета значительно ниже. Это может объясняться соблюдением норм информационной безопасности большинством предприятий, работающих в данном регионе, в частности ограничением доступа к Интернету с систем, находящихся в технологических сетях предприятий. Аналогичная ситуация и с зараженными сменными носителями: наибольшие показатели наблюдаются в Африке и Азиатско-Тихоокеанском регионе, а наименьшие – в Европе и Северной Америке. На данный показатель также влияет соблюдение норм ИБ и, в частности, запрет на подключение неавторизованных сменных носителей к системам промышленной инфраструктуры.

Для стран Ближнего Востока электронная почта стала значимым (5%) источником заражения, выведя регион на первое место по этому показателю.

Наши рекомендации

Для предотвращения случайных заражений на технологические сети мы рекомендуем принять ряд мер по обеспечению безопасности внешнего и внутреннего периметров технологической сети.

В первую очередь речь идет о мерах, необходимых для организации безопасного удаленного доступа к системам автоматизации и передачи данных между технологической и другими сетями, имеющими различные уровни доверия:

  • системы, имеющие постоянную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.) необходимо изолировать в отдельный сегмент внутри технологической сети – демилитаризованную зону (DMZ);
  • системы в демилитаризованной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации);
  • весь необходимый обмен информацией между промышленной сетью и внешним миром (включая корпоративную офисную сеть предприятия) осуществлять через DMZ;
  • при необходимости в DMZ можно развернуть терминальные серверы, позволяющие использовать методы обратного подключения (из технологической сети в DMZ);
  • для доступа к технологической сети извне желательно использовать тонкие клиенты (применяя методы обратного подключения);
  • не разрешать доступ из демилитаризованной зоны в технологическую сеть;
  • если бизнес-процессы предприятия допускают возможность однонаправленных коммуникаций, рекомендуем рассмотреть возможность использования дата-диодов.

Ландшафт угроз для систем промышленной автоматизации постоянно меняется, новые уязвимости регулярно находят как в прикладном, так и в промышленном ПО. В соответствии с тенденциями изменения угроз, выявленных во втором полугодии 2017 г., рекомендуется обратить особое внимание на следующие меры по обеспечению безопасности:

  • регулярная установка обновлений операционной системы, прикладного ПО и средств защиты на системы, работающие в технологической сети предприятия;
  • своевременная установка обновлений прошивки устройств управления промышленной автоматизации;
  • ограничение сетевого трафика по используемым портам и протоколам на пограничных маршрутизаторах между сетью организации и сетями других компаний (если имеется передача информации из технологической сети одной компании в другую);
  • рекомендуется уделять большое внимание контролю учетных записей и парольной политике. Пользователи должны иметь только те права, которые требуют рабочие необходимости. Число учетных записей пользователей с административными правами должно быть максимально ограничено. Должны использоваться сложные пароли (не менее девяти символов, различного регистра, дополненные цифрами и специальными символами), обязательная смена пароля должна быть задана доменной политикой, например, каждые 90 дней.

Для обеспечения защиты от случайных заражений новым, неизвестным ранее вредоносным ПО и от целенаправленных атак мы рекомендуем регулярно выполнять следующие действия:

  1. Провести инвентаризацию запущенных сетевых служб на всех узлах технологической сети; по возможности остановить уязвимые сетевые службы (если это не нанесет ущерба непрерывности технологического процесса) и остальные службы, не требующиеся для непосредственного функционирования системы автоматизации; особое внимание обратить на службы предоставления удаленного доступа к объектам файловой системы, такие как SMB/CIFS и/или NFS (актуально в случае атак на системы под управлением ОС Linux).
  2. Провести аудит разграничения доступа к компонентам АСУ ТП; постараться добиться максимальной гранулярности доступа.
  3. Провести аудит сетевой активности внутри промышленной сети предприятия и на ее границах. Устранить не обусловленные производственной необходимостью сетевые соединения с внешними и другими смежными информационными сетями.
  4. Проверить безопасность организации удаленного доступа к промышленной сети; обратить особое внимание на соответствие организации демилитаризованных зон требованиям информационной безопасности. По возможности минимизировать или вовсе избежать использования средств удаленного администрирования (таких как RDP или TeamViewer). Более подробно об этом написано выше.
  5. Следить за актуальностью сигнатурных баз, эвристик, решающих алгоритмов средств защиты конечных узлов сети. Убедиться, что все основные компоненты защиты включены и функционируют, а из области защиты не исключены каталоги ПО АСУ ТП, системные каталоги ОС, профили пользователей. Большую эффективность на промышленных предприятиях демонстрируют технологии контроля запуска приложений, настроенные в режиме "белых списков", и технологии анализа поведения приложений. Контроль запуска приложений не позволит запустить шифровальщик в случае его проникновения на компьютер. Технологии анализа поведения приложений полезны для обнаружения и предотвращения попыток эксплуатации уязвимостей (в том числе неизвестных) в легитимном ПО.
  6. Провести аудит политики и практики использования съемных носителей информации и портативных устройств. Не допускать подключения к узлам промышленной сети устройств, предоставляющих нелегитимный доступ к внешним сетям и Интернету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными специальными средствами.

Для обеспечения защиты от целенаправленных атак, направленных на технологическую сеть предприятия и основные технологические активы, мы также рекомендуем внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в индустриальных сетях. В большинстве случаев применение подобных мер не требует внесения изменения в состав и конфигурацию средств АСУ ТП и может быть произведено без остановки их работы.

Конечно, полностью изолировать технологическую сеть от смежных сетей практически невозможно, поскольку передача данных между сетями необходима для выполнения множества важных функций – управления и поддержки удаленных объектов, координации работы сложного технологического процесса, части которого распределены между множеством цехов, линий, установок и систем обеспечения. Но мы надеемся, что наши рекомендации помогут максимально защитить технологические сети и системы промышленной автоматизации от современных и будущих угроз.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018
Посещений: 967

В рубрику "Исследование" | К списку рубрик  |  К списку авторов  |  К списку публикаций