АНАЛИТИКА
БОЛЕЕ 4000 УСТРОЙСТВ АСУ ТП УЯЗВИМЫ ДЛЯ УДАЛЕННЫХ АТАК
Об исследовании По причине доступности элементов АСУ ТП из сети Интернет у промышленных предприятий возрастают риски быть атакованными . Так как массовые атаки происходят ежедневно , любая доступная система становится целью для постоянных попыток взлома . И если такая система будет иметь уязвимости , киберпреступники смогут получить к ней неограниченный доступ , а в ряде случаев – к сети предприятия , включая SCADA и другие критически важные компоненты АСУ ТП .
Эксперты InfoWatch ARMA провели исследование доступных из сети Интернет АСУ ТП и обнаружили 4245 таких устройств , уязвимых для удаленных атак . Из них 2000 – это открытое коммутационное оборудование АСУ ТП , на 500 не настроена авторизация , а более 700 имеют критические уязвимости .
Выявленные уязвимости систем позволяют сделать вывод , что с высокой вероятностью в ходе подготовленной кибератаки они станут источником проникновения и получения контроля над промышленной сетью .
Оборудование найденных производителей часто используется в критической информационной инфраструктуре ( КИИ ). Эксперты InfoWatch ARMA сотрудничают с Национальным координационным центром по компьютерным инцидентам ( НКЦИ ), что позволило оповестить все субъекты КИИ о результатах исследования и устранить актуальные на момент исследования уязвимости . Однако ситуация меняется постоянно , и субъектам КИИ следует следить за устройствами , имеющими выход в сеть . Каждое предприятие может обратиться за услугой по аудиту доступных из сети Интернет устройств или консультацией по самостоятельной проверке и устранению уязвимостей .
Промышленные протоколы – прямой путь к получению контроля над АСУ ТП Значительная часть сервисов , к которым можно получить доступ , имеют сетевые сервисы для обработки промышленных протоколов .
Используя известные уязвимости коммуникационных протоколов , можно осуществить подключение , проникнуть в технологическую сеть и устроить , например , DoS-атаки на оборудование . Возможности , которые этот путь открывает для киберпреступников , – остановка работы АСУ ТП , нарушение технологических процессов и даже аварии на промышленном объекте .
Через открытые веб-интерфейсы – к промышленным маршрутизаторам АСУ ТП Исследование выявило массу устройств с различными уязвимостями высокой критичности , например , такие как RomPager устаревшей версии , которая была обнаружена на 40 % найденных веб-сервисов . Уязвимость RomPager достаточно старая и даже нашумевшая , но с учетом длинного жизненного цикла АСУ ТП , до сих пор встречается . Как правило , RomPager по умолчанию применяется в прошивках роутеров Allegro , которые могут устанавливаться на уровне SCADA . При подключении к промышленному роутеру злоумышленник может в итоге получить контроль над промышленной сетью .
Последствия для промышленных предприятий Факт доступа к элементам промышленных систем автоматизации из сети Интернет – ситуация , которая должна классифицироваться как инцидент информационной безопасности , ведь наличие такого доступа является входом в сеть для злоумышленника . Его целью может быть либо получение прямой выгоды , например , установка майнеров криптовалют , либо получение выкупа ( Colonial Pipeline ). Хуже , если целью злоумышленника является выведение системы автоматизации из строя ( Stuxnet , BlackEnergy и другие ). В любом из этих случаев последует экономический ущерб для компании .
И пусть целью злоумышленников является не выведение системы из строя , а , например , установка шифровальщика , это все равно доставит достаточно проблем владельцу системы , как , например , это произошло с NotPetya . Учитывая современные угрозы , рост числа уязвимостей и распространение продаж уязвимостей нулевого дня , атака на доступные устройства АСУ ТП – это только вопрос времени .
Почему столько устройств АСУ ТП доступны из сети Интернет ? Существует несколько основных причин доступности промышленных систем из сетей общего пользования и наличия актуальных уязвимостей в них .
Человеческий фактор Сам факт доступности систем из публичных сетей обычно проявляется вследствие чьей-либо ошибки или нежелания следовать регламентам : с помощью аудитов не раз выявлялись системы удаленного администрирования через Интернет , установка операторами систем модемов для развлечения во время работы или установка средств удаленного администрирования , противоречащих требованиям безопасности .
Отсутствие комплексных систем защиты Средства защиты позволяют зафиксировать политику безопасности , которая должна быть выполнена человеком . Отсутствие таких средств зачастую позволяет злоумышленникам оставаться необнаруживаемыми и в итоге получать полный контроль над системой в случае доступа к ней .
Отсутствие системы управления информационной безопасностью На многих предприятиях отсутствует выстроенная система управления информационной безопасностью ( СУИБ ). АСУ ТП модифицируются , эволюционируют , появляются и новые устройства , и уязвимости в них , а вот контроль за изменениями со стороны ИБ зачастую не осуществляется .
ИССЛЕДОВАНИЕ АНАЛИТИЧЕСКОГО ЦЕНТРА КОМПАНИИ INFOWATCH
РАСПРЕДЕЛЕНИЕ ОБОРУДОВАНИЯ ПО ВЕНДОРАМ , В %
3 %
4 % 4 %
WINDWEB
SIEMENS
IPC
5 %
5 % IEC
FUJITSU
32 %
ДРУГИЕ
47 %
MOXA
РАСПРЕДЕЛЕНИЕ ПРОПРИЕТАРНЫХ ПРОТОКОЛОВ ПО ВЕНДОРАМ , КОЛИЧЕСТВО В %
25 %
MOXA SERVICE
19 %
MODBUS
14 %
5 %
IEC PROCESS CONTROL
HTTP
4 %
HTTPS
33 %
ДРУГИЕ
ГОРОДА РФ С КОЛИЧЕСТВОМ ДОСТУПНЫХ ИЗ СЕТИ ИНТЕРНЕТ АСУ ТП , ШТ .
МОСКВА И МО САНКТ-ПЕТЕРБУРГ НОВОСИБИРСК ЕКАТЕРИНБУРГ БЕРДСК
1348 626 172 142 80
0 500 1000
1500
2000
КОЛИЧЕСТВО СЕТЕВЫХ УСТРОЙСТВ БЕЗ АУТЕНТИФИКАЦИИ
1739 557
ДОСТУП С АУТЕНТИФИКАЦИЕЙ ДОСТУП БЕЗ АУТЕНТИФИКАЦИИ