© ComNews
07.05.2018

Корпоративные сети более 70% промышленных предприятий потенциально уязвимы при атаках хакеров. К таким выводам пришли аналитики Positive Technologies, проведя исследование векторов атак на корпоративные информационные системы промышленных компаний. Как утверждают в компании, одной из главных возможностей для получения несанкционированного доступа к корпоративной сети предприятий оказались административные каналы управления.

В пресс-службе Positive Technologies корреспонденту ComNews рассказали, что на сегодняшний день, согласно исследованию, хакеры могут преодолеть периметр и попасть в корпоративную сеть 73% компаний промышленного сегмента. В 82% компаний возможно проникновение из корпоративной сети в технологическую, в которой функционируют компоненты АСУ ТП. Исследование коснулось 11 предприятий, расположенных в России.  

 "Исторически сложилось так, что подходы к обеспечению информационной безопасности промышленных объектов имеют свои особенности. Известные уязвимости в ИТ-системах зачастую не устраняются из-за нежелания вносить изменения и нарушать тем самым технологический процесс. Вместо этого основные усилия компании направляют на снижение вероятности их эксплуатации, например, путем отделения и изоляции внутренних технологических сетей от подключенных к интернету корпоративных систем. Как показывает практика тестирования на проникновение, подобная изоляция не всегда реализуется эффективно, и у нарушителя остаются возможности для атаки", - пояснили в пресс-службе.

В исследовании также указывается, что одной из главных возможностей для получения взломщиком доступа к корпоративной сети оказались административные каналы управления. "Часто администраторы промышленных систем создают для себя возможности удаленного подключения к ним - это позволяет им, например, не находиться все время на объекте, а работать из офиса", - указали в пресс-службе.

Там также добавили, что в каждой промышленной организации, в которой исследователям PositiveTechnologies удалось получить доступ к технологической сети из корпоративной, были выявлены те или иные недостатки сегментации сетей или фильтрации трафика - в 64% случаев они были внесены администраторами при создании каналов удаленного управления.

Наиболее распространенными уязвимостями корпоративных сетей в рамках исследования стали словарные пароли и устаревшее программное обеспечение (ПО) - эти ошибки были обнаружены во всех исследуемых компаниях. Именно эти недостатки позволяют развить вектор атаки до получения максимальных привилегий в домене и контролировать всю корпоративную инфраструктуру. "Важно отметить, что часто файлы с паролями к системам хранятся прямо на рабочих станциях сотрудников", - сказали в пресс-службе.

По словам руководителя отдела аналитики информационной безопасности центра компетенций PositiveTechnologies Евгения Гнедина, помимо сугубо технических сложностей обеспечения безопасности, есть и организационные: ресурсов специалистов ИБ в компании часто не хватает, чтобы администрировать множество объектов, которые могут быть распределены территориально. "Поэтому они вынуждены создавать удаленные каналы связи, часто в ущерб безопасности. Более того, за безопасность непосредственно АСУ ТП отвечают другие специалисты, и "безопасников" корпоративной сети туда не допускают, поэтому несогласованность действий может стать причиной появления ошибок конфигурации на границе между корпоративной и технологической сетью", - пояснил Евгений Гнедин.

Он также добавил, что наиболее критичны такие уязвимости, как повсеместное использование словарных паролей и устаревшего ПО в купе с плохой сегментацией и недостаточной осведомленностью работников промышленных компаний в вопросах ИБ. "Эти недостатки с легкостью могут быть использованы злоумышленником даже низкой квалификации", - указал Евгений Гнедин.

При этом он отметил, что при проникновении злоумышленника в корпоративную сеть из интернета часто используются атаки на веб-приложения (например, сайты компаний). Кроме того, распространены фишинговые атаки (к примеру, рассылка писем на e-mail сотрудников) с использованием вредоносного ПО, но такие атаки, по его словам, не вошли в исследование Positive Technologies. "Для развития атаки из корпоративной сети в сеть АСУТП наиболее часто эксплуатируются проблемы сегментации сетей и ошибки администрирования. Администраторы часто сами создают канал управления в сеть АСУТП, и именно эти каналы могут использовать злоумышленники", - рассказал Евгений Гнедин.

Он обратил внимание корреспондента ComNews на то, что компания замечает повышенное внимание хакеров к отрасли промышленности, особенно в последние несколько лет. "Это в первую очередь связано с политической напряженностью в мире. Злоумышленники поняли, что сегодня отрасль не готова отражать атаки, а угроза нарушения работы ключевых предприятий страны сильно ударяет как по экономике страны, так и по ее репутации в целом. Сегодня атаки на промышленные компании в большинстве своем связаны с политическими мотивами, но существуют примеры и финансовой мотивации", - рассказал Евгений Гнедин.

Относительно того, на что в данной ситуации следует обращать внимание российским промышленным предприятиям, он сказал следующее: "В первую очередь ‒ серьезно отнестись к проблеме безопасности на уровне руководства компаний, так как многие проблемы возникают из-за неготовности выделять средства на обеспечение информационной безопасности. Решению этой проблемы должен поспособствовать закон N 187-ФЗ. С другой стороны, выделенные средства должны идти не только на обеспечение требований регуляторов, но и на реальную безопасность".

Также, по его словам, необходимо регулярно проводить аудиты безопасности и тесты на проникновение, обучать работников правилам ИБ, обновлять системы, а там, где это невозможно, ставить системы защиты: системы обнаружения и предотвращения атак, системы обработки и корреляции событий безопасности, антивирусные решения, системы контроля целостности и запуска ПО и тд. Помимо того, следует проводить сегментацию сетей, чтобы злоумышленники не могли добраться до наиболее критических систем, а если атака происходила, то ее можно было быстро выявить и остановить на первых этапах. "Сегодня инструментарий и подготовка атакующих находятся на столь высоком уровне, что без реализации комплексного подхода к защите противостоять атакам невозможно", - отметил Евгений Гнедин.

Как сообщил корреспонденту ComNews аналитик Kaspersky lab ICS CERT Вячеслав Копейцев, во втором полугодии 2017 г. в России предотвращены попытки заражений на 46,8% защищаемых продуктами "Лаборатории Касперского" компьютерах АСУ, в первом полугодии 2017 г. этот показатель составлял 42,9%, во втором полугодии 2016 г. – 42%. "Скорее всего, увеличение связано со все большей интеграцией корпоративной и технологической сетей и задержками с обновлением используемого ПО", - предположил Вячеслав Копейцев.

По его словам, в подавляющем большинстве случаев попытки заражения компьютеров АСУ носят случайный характер, а не происходят в ходе целевой атаки. Соответственно, функциональность, заложенная во вредоносное ПО, не является специфичной для атак на системы промышленной автоматизации. Что касается наиболее распространенных уязвимостей, Вячеслав Копейцев сказал, что по результатам исследований Kaspersky Lab ICS CERT в 2017 г. было выявлено 63 уязвимости в промышленных системах и системах IIoT/IoT, большая часть из них приходится на промышленное сетевое оборудование.

Он также добавил, что в России, как и в мире, наиболее частым источником заражения является интернет. С подобными угрозами столкнулся каждый третий компьютер АСУ (31,8%). Также вредоносное ПО распространялось через съемные носители (4,5%), резервные копии Windows (1,7%) и электронную почту (1,4%).

"Тому, что интернет был и остается основным источником заражения компьютеров технологической инфраструктуры организаций способствует сопряжение корпоративной и технологической сетей, наличие (ограниченного) доступа к интернету из технологической сети, а также подключение к интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB модемов и/или Wi-Fi роутеров с поддержкой 3G/LTE). Что касается подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети извне (напрямую или удаленно), то они часто имеют свободный доступ к интернету. Их компьютеры входят в группу наибольшего риска и могут стать каналом проникновения вредоносного ПО в технологические сети обслуживаемых ими предприятий", - указал Вячеслав Копейцев.

Относительно того, на что для защиты следует обращать внимание российским промышленным предприятиям, он сказал следующее: "Требуется обратить особое внимание на разграничение доступа и обмена данными между технологическими и офисным сегментами сети предприятия. Также немаловажную роль играет актуальность версий программных продуктов, используемых в организации, в частности, необходимо своевременно устанавливать обновления ОС, прикладного ПО, баз и программных модулей защитных решений, а также прошивок устройств. Крайне важно, чтобы промышленные компании скорректировали свой подход к управлению и защите киберфизических систем. Для этого важно понимать актуальный ландшафт угроз, знать возможные риски, оценивать, какие методы обеспечения защиты наиболее эффективны и работать над повышением осведомленности сотрудников о правилах и нормах информационной безопасности, а также новых угрозах".

Руководитель бизнес-направления "Защита АСУТП" ГК InfoWatch Михаил Смирнов в беседе с корреспондентом ComNews отметил, что, к сожалению, корпоративные и промышленные сети и системы российских промышленных предприятий весьма уязвимы. "В первую очередь это относится к подключенным к сети интернет корпоративным сетям, а также к подключенным к ним, в свою очередь, промышленным сетям. Уязвимости первых хорошо известны хакерам, а их существование часто обусловлено тем, что производителям ПО и оборудования необходимо иметь актуальную информацию о составе и конфигурации сетей, что они и делают, используя свои системы сбора телеметрических данных, а подключенные к корпоративным промышленные сети обычно не оборудованы обязательными для таких соединений однонаправленными шлюзами в ДМЗ", - пояснил Михаил Смирнов.

Относительно того, на что стоит обращать внимание российским промышленным предприятиям, чтобы себя обезопасить¸ он сказал следующее: "Важно не зацикливаться на каком-то одном направлении, современные технологии – это не только удобство управления и повышение эффективности производства, но и новые уязвимости, эксплуатация которых для реализации успешных атак может быть реализована не только из-за периметра через штатные подключения. Также необходимо уметь не только применять встроенный функционал оборудования и ПО АСУТП, но и сопоставлять его с соответствующими мерами безопасности, закрывающими актуальные угрозы, а также формировать программы и методики испытаний для оценки соответствия АСУ требованиям информационной безопасности".

Но при любом перечне актуальных угроз и на любом предприятии, по словам Михаила Смирнова, основным элементом системы являются люди – персонал, эксплуатирующий систему, обеспечивающий ее функционирование и безопасность. Повышение их осведомленности, умения оперативно и правильно действовать в случае угрозы АСУ, планирование и организация мероприятий по безопасности – главные компоненты системы безопасности объектов критической информационной инфраструктуры.

Беседуя с корреспондентом ComNews старший тренер лаборатории компьютерной криминалистики Group-IB Никита Панов заметил, что если говорить именно о российских госпредприятиях, то у них либо вообще нет ИТ-инфрастуктуры в современном понимании, либо есть то, что можно просто назвать "компьютерной сетью" - рабочие станции, объединенные в свою, закрытую рабочую группу без доступа в интернет. "С другой стороны, подобная организация инфраструктуры редко включает в себя специально организованные серверы обновлений для операционных систем и антивирусного ПО. Без актуальных обновлений рабочие станции становятся очень уязвимыми для инсайдеров, которые могут успешно применять даже устаревшие способы кибератак", - указал Никита Панов.

Если же говорить о западных промышленных предприятиях, объекты которых расположены на территории РФ, то, по словам Никиты Панова, в этом случае защищенность ИТ-инфраструктуры часто зависит от того, насколько полноценно выполняется политика информационной безопасности компании, распространяемая из центрального офиса в российские подразделения. "Полноценный мониторинг, регулярные внутренние аудиты, обучение штата сотрудников ИТ-подразделений и своевременное повышение их квалификации – все это очень способствует высокому уровню защищенности ИТ-инфраструктуры", - отметил Никита Панов.

Он также добавил, что на современных крупных промышленных предприятиях злоумышленники часто "целятся" в системы управления автоматизированного оборудования, поскольку для управления эти системы используют свои собственные протоколы, которые, как правило, слабо защищены от подобных атак. "Набирает обороты и внедрение инфраструктуры IoT (интернета вещей) на предприятиях – это целая сеть различных датчиков и сенсоров, размещаемых на оборудовании с целью повышения эффективности производства и раннего мониторинга неисправностей. Данный сектор общей ИТ-инфраструктуры тоже пока что защищен недостаточно, а, получив контроль над ним, злоумышленники могут вывести из строя очень ценное оборудование, что негативно скажется на показателях предприятия", - указал Никита Панов.

Он обратил внимание корреспондента ComNews на то, что можно говорить о ежегодном увеличении на 25% атак на российские промышленные предприятия. "Вследствие развивающегося импортозамещения в нашей стране возникает все больше молодых производственных предприятий, в том числе и в регионах, где сложно найти ИТ-персонал, хорошо подготовленный в области информационной безопасности. Поэтому для таких новых предприятий очень важно сейчас большое внимание уделять теме повышения квалификации ИТ-персонала", - пояснил Никита Панов.

О том, на что в целях защиты следует обратить внимание российском промышленным предприятиям, он сказал следующее: "Необходимо, по возможности, максимально изолировать производственный сегмент предприятий от внешних сетей, создавать грамотную политику информационной безопасности и активно обучать не только ИТ-персонал, но и сотрудников производства основам "цифровой гигиены". Нужно помнить о том, что человеческий фактор является одним из основных в обеспечении информационной безопасности предприятия".

Операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков в разговоре с корреспондентом ComNews заметил, что уровень защищенности промышленных предприятий варьируется в зависимости от сферы их деятельности и уровня зрелости. "Однако существует ряд проблем информационной безопасности, актуальных для большинства промышленных и производственных предприятий. Во-первых, из-за необходимости обеспечивать непрерывную эксплуатацию возникает сложность в практическом разделении корпоративного и технологического сегмента сети. Кроме того, на промышленных предприятиях обновление ПО до актуальных версий значительно затруднено, а иногда и фактически невозможно, поскольку оно требует остановки технологического процесса", - рассказал Антон Юдаков.

В итоге, по его словам, несмотря на большое количество технических и организационных мер, используемых в отрасли, проблемы защиты от кибератак для нее очень актуальны. "Но, например, энергетические компании достаточно серьезно относятся к информационной безопасности, и, вследствие этого, уровень их защищенности достаточно высок", - отметил Антон Юдаков.

Он также добавил, что как таковые векторы атак не имеют ярко выраженной отраслевой специфики. "Для проникновения в инфраструктуру промышленных предприятий киберпреступники используют те же инструменты и методы, что и для атаки на непроизводственные компании: уязвимые серверы на периметре, рассылки вредоносного ПО, социальная инженерия. Лишь на финальных стадиях используются уязвимости прикладных протоколов, специфичные для отрасли и промышленных систем", - пояснил Антон Юдаков.

Он обратил внимание корреспондента ComNews на то, что сегодня наблюдается общая динамика роста атак на критическую информационную инфраструктуру (КИИ) относительно коммерческих компаний – КИИ подвергаются атакам примерно на 25-30% чаще. "Поскольку почти все промышленные компании относятся к КИИ, количество атак на них растет аналогичными темпами. Отдельной отраслевой специфики мы не наблюдаем", - сообщил Антон Юдаков.

Эксперт направления информационной безопасности "Крок" Дмитрий Березин указал корреспонденту ComNews на то, что инфраструктура современных предприятий представляет собой территориально-распределенную, гетерогенную сеть, объединяющую оборудование и ПО различных производителей. "Любая сложная система содержит и уязвимости, и недостатки конфигурации – это же относится и к крупным российским промышленным предприятиям", - сказал Дмитрий Березин.

Говоря о наиболее распространенных уязвимостях, он заметил, что к ним в первую очередь относится недостаточная изоляция технологической сети от корпоративной, что приводит к увеличению возможностей для потенциального злоумышленника, использующего корпоративную сеть как плацдарм для развития вектора атаки. "Во-вторых, это устаревшее оборудование и ПО с известными уязвимостями, которые по ряду причин не устраняются. И, конечно же, повышенный уровень сложности и ответственности при внедрении систем защиты информации в сегменты АСУ ТП по сравнению с корпоративными сетями приводит к недостаточному уровню реализуемых мер защиты информации", - заявил Дмитрий Березин.

Он также добавил, что в целом злоумышленники используют те же методики, что и для взлома корпоративных сетей – социальную инженерию, сканирование на известные уязвимости, развитие вектора атаки путем поэтапной компрометации элементов инфраструктуры. "Количество атак на российские промышленные предприятия увеличивается, в том числе в связи с внедрением технологий, повышающих эффективность соответствующих технологических процессов. Однако это приводит к созданию новых точек проникновения для злоумышленников. К таким технологиям можно отнести и получивший новый виток развития Интернет вещей", - отметил Дмитрий Березин.

Относительно того, на что нужно обращать внимание в целях защиты российским промышленным предприятиям, он сказал следующее: "В первую очередь, необходимо внедрение классических систем безопасности, таких как межсетевые экраны, системы обнаружения вторжений, системы сбора и анализа событий информационной безопасности. Ключевой особенностью данных систем является умение "понимать" промышленные протоколы взаимодействия различных систем в рамках АСУ ТП сегментов.  Все большую популярность приобретают системы поведенческого анализа, которые позволяют обнаружить подозрительные действия злоумышленника на ранних стадиях атаки".

Как заметил технический директор CheckPoint SoftwareTechnologies Никита Дуров, безопасность промышленных предприятий - очень важный вопрос. "Особого внимания требует защита критических объектов. Одна из причин, почему промышленные объекты недостаточно защищены, в том, что они строились тогда, когда производители не имели полного представления о том, какой ущерб могут нанести кибератаки. В основном текущие технологии защиты ограничиваются отделением сегмента офисной сети от промышленной, в то время как промышленным организациям необходимы комплексные решения для защиты инфраструктуры", - пояснил Никита Дуров.

Он добавил при этом, что огромную угрозу для промышленных предприятий сегодня представляет фишинг. "Согласно последним исследованиям CheckPoint, в 2017 г. 82% промышленных компаний в мире испытали фишинг-атаки. Еще одна распространенная угроза - это вымогательство. Так, в мае 2017 г. от атак программы-вымогателя WannaCry остановилось производство заводов Renault-Nissan в Европе и Honda в Японии. Пострадали производственные циклы многих других предприятий во всем мире. Летом 2017 г. около половины жертв другого вымогателя Petya стали именно промышленные предприятия. При этом важно понимать, что речь идет не только об остановке на производстве, а, следовательно, финансовых потерях, но и об утечке критически важных данных. Под угрозой находятся информация о разработках, исследованиях, а также данные о заказчиках", - рассказал Никита Дуров. Он также заметил, что, несмотря на масштаб ущерба, который нанесли атаки WannaCry, сегодня к подобным сложным угрозам готовы лишь 3% компаний.

"Сегодня промышленные предприятия усложняют производственные технологии, вместе с этим увеличивается число точек доступа к сети, которыми могут воспользоваться злоумышленники. Обеспечение безопасности всех этих точек позволит защитить организации от несанкционированного доступа. Чтобы обеспечить информационную безопасность, промышленным организациям необходима комплексная защита инфраструктуры: сегментация всех элементов сети, внедрение антивирусов, межсетевых экранов, систем обнаружения вторжений и так далее. Для эффективной борьбы с фишинг-атаками нужно вводить обязательное обучение базовым правилам кибербезопасности", - заявил Никита Дуров.

Руководитель отдела продвижения продуктов компании "Код безопасности" Павел Коростелев в разговоре с корреспондентом ComNews указал на то, что текущий уровень защищенности российских предприятий вызывает серьезное беспокойство. "Это явилось одной из причин ужесточения нормативных требований к ИБ, в частности - принятия закона №187-ФЗ "О безопасности критической информационной инфраструктуры". По данным исследования "Кода безопасности", для оптимизации затрат на построение системы защиты организации стремятся при классификации информационных систем минимизировать их класс. 38% российских промышленных компаний обрабатывают информацию в ГИС по классу К3",- рассказал Павел Коростелев.

Он также отметил, что чаще всего российские предприятия атакуют следующими путями: социальная инженерия и фишинг (когда пользователь вводится в заблуждение и кликает на вредоносную ссылку); зараженные USB-устройства (когда пользователь подключает в корпоративную сеть USB-флешку, найденную недалеко от офиса); атака на доступные извне сервисы (подбор паролей пользователей Outlook OWA или использование уязвимостей публичных web-приложений), атака на сети партнеров и сервисных организаций.

По словам Павла Коростелева, количество обнаруженных атак увеличивается. Ключевые факторами здесь выступают ухудшение геополитической обстановки, появление в открытом доступе опасных экземпляров вредоносного ПО, недостаток обученных специалистов в области ИБ.