Беззащитным предприятиям помогут киберполигоны
Эксперты Positive Technologies отметили низкую защищенность компаний промышленного сектора. В ходе тестов на проникновение специалисты компании получили доступ в технологический сегмент сети 75% промышленных компаний.
Как отмечают эксперты, вектор атаки для доступа к критически важным системам может быть простым, а потенциальный ущерб — серьезным. Так, получение доступа к системам управления технологическим процессом злоумышленником может привести к остановке производства, выводу из строя промышленного оборудования, порче продукции и аварии.
По данным исследования, в 75% промышленных компаний был получен доступ в технологический сегмент сети, что позволило затем в 56% случаев получить доступ к системам управления технологическим процессом. Таким образом, при получении доступа в технологический сегмент сети злоумышленникам более чем в половине случаев удастся получить еще и доступ к системе управления производственным процессом, что может привести к серьезным последствиям: от нарушения работы предприятия до человеческих жертв.
"На сегодняшний день защищенность в большинстве промышленных компаний находится на низком уровне. Главными недостатками являются слабая защита внешнего периметра сети, доступного из сети Интернет, низкая защищенность от проникновения в технологическую сеть, недостатки конфигурации устройств, а также использование словарных паролей и устаревших версий ПО", — отмечает старший аналитик Positive Technologies Ольга Зиненко.
По словам Ольги Зиненко, за последние годы значительно увеличилось количество уязвимостей в сетевом промышленном оборудовании — коммутаторах, конвертерах интерфейсов, шлюзах. "В нашем исследовании мы отмечали вклад Positive Technologies по их выявлению и устранению. Ситуация по наличию уязвимостей в компонентах АСУ ТП одинакова для всех стран, поскольку используются программные и аппаратные продукты одних и тех же производителей (например, Honeywell, Moxa, Rockwell Automation, Siemens, Schneider Electric и др). Значительная доля уязвимостей в компонентах АСУ ТП связана с некорректной аутентификацией или избыточными правами. При этом больше половины этих уязвимостей могут эксплуатироваться удаленно. Согласно отчету компании Claroty, специализирующейся на промышленной кибербезопасности, в 2020 году было выявлено на 24,7% больше уязвимостей в АСУ ТП, чем годом ранее", - сообщила Ольга Зиненко.
Согласно ее оценке, в России наблюдаются следующие недостатки защищенности промышленных компаний: низкая защищенность от проникновения в технологическую сеть; недостатки конфигурации устройств; недостатки сегментации сетей и фильтрации трафика; использование словарных паролей; использование устаревших версий ПО.
Ольга Зиненко объяснила, что киберполигон — это уникальная площадка, позволяющая смоделировать все технологические процессы с использованием реального оборудования, а затем протестировать защищенность без вреда для реальной инфраструктуры. По ее словам, это справедливо для компаний из любой отрасли, желающих проверить реализуемость недопустимых событий и узнать условия, при которых злоумышленник сможет атаковать, а также к чему это приведет. "Масштабы атак на промышленную сферу продолжат расти, а сценарии атак — усложняться. Злоумышленники, преследующие финансовую выгоду, будут блокировать технологические процессы и требовать выкуп за восстановление функционирования систем. Нельзя исключать и техногенные катастрофы, вызванные кибератаками", - говорит Ольга Зиненко.
Руководитель отдела по разработке решений для АСУ ТП компании Group-IB Андрей Суслин отмечает, что в среднем, 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры. По его словам, в первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь за весь 2019 год.
"К проблемам с обслуживанием ИТ-инфраструктуры организаций, по нашим данным, приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент (процесс закрытия уязвимостей, благодаря своевременным обновлениям программного обеспечения). Наибольшую опасность (ввиду сложного детектирования) с технологической точки зрения представляют эксплуатация уязвимостей в Human-Machine Interface (HMI), внедрение вредоносного кода в программируемые логические контроллеры (PLC), несанкционированная отправка команд управления, а также управление инфраструктурой по скрытым каналам", - подчеркивает Андрей Суслин.
На взгляд Андрея Суслина, современные системы защиты промышленных сетей должны иметь встроенные возможности по мониторингу, реагированию и расследованию инцидентов, что особенно важно для предприятий, испытывающих нехватку экспертов по информационной безопасности. "Еще одним важным критерием мы считаем создание единой среды для специалистов занимающихся информационной безопасностью корпоративных IТ-сетей и для инженеров, отвечающих за работу автоматизированной системы управления технологическим процессом (АСУ ТП) и производственных линий. Такой подход исключает конфликт между различными подразделениями внутри одной компании — ИБ, ИТ и АСУ специалистами, что часто становится "серой зоной" и также может быть чревато проблемами при выявлении и локализации инцидента", - отметил Андрей Суслин.
Технический директор InfoWatch ARMA Игорь Душа считает, что сфера защиты информации на промышленных предприятиях еще достаточно молода не только для России, но для мира в целом. "Ей в массовом смысле не более 10 лет. А массовое внимание в России было обращено не более 3 лет назад после принятия 187-ФЗ. Поэтому уязвимость промышленных предприятий к компьютерным атакам достаточно высока. Как минимум, по той причине, что достаточно малое количество предприятий обеспечивает защиту информации на сегодняшний день. При этом мы видим, что есть компании, которые этой задачей начали заниматься, но пока их абсолютное количество не очень большое. Типов сетевых уязвимостей большое количество, существуют отдельные карты и типологии с их описанием. Гораздо важнее, на мой взгляд, общие подходы и векторы возможных атак", - подчеркивает Игорь Душа. Согласно его классификации, первое направление – атаки через поставщиков (supply-chain attacks). Они связаны с внедрением вредоносного кода или ПО через поставщиков, предоставляющих аппаратное, программное обеспечение или какие-либо услуги. Второе направление, как рассказывает Игорь Душа – это атаки через корпоративную сеть. Так как развивается автоматизация и в целом цифровизация, многие АСУ ТП связываются с корпоративной сетью для выгрузки туда информации, а в ряде случаев, и для управления извне, что формирует еще один канал распространения угроз. Третий тип, согласно мнению Игоря Души, уязвимостей связан с распространением через съемные носители. Многие люди на работе устанавливают собственные модемы для подключения к Интернету, съемные устройства, принесенные из дома, не зная простейших правил кибергигиены. И наконец, как говорит Игорь Душа, не последнее по важности направление относится к соединению с внешними сетями. Оно может быть связано как с неправильно организованной технической поддержкой, так и с созданием каналов связи напрямую через Интернет, которые, как правило, нелегитимны и являются делом рук самих сотрудников предприятий.
Игорь Душа рассказывает, что на данный момент не наблюдается широкого использования киберполигонов. "Возможно, это дело времени, но я считаю, что сегодня отрасль еще не готова к полноценному использованию данного механизма. Пока нет достаточного понимания, что это, для чего, а эффективное использование требует высокой квалификации - это сложный и тяжелый инструмент, подходящий для тех, кто хорошо разбирается в предметной области. Говоря об универсальности этого инструмента, скорее всего он походит для тех компаний, которые значительно продвинулись в информационной безопасности, у них установлены средства защиты, есть опытная команда реагирования на инциденты, а также тех, кто может настраивать средства защиты. Поэтому, если рассматривать вопрос универсальности с этой точки зрения, то вряд ли этот инструмент подходит всем – только для тех, у кого выстроены зрелые процессы ИБ. А если опираться на такие критерии как отраслевая специфика или масштаб предприятия, то да – это более, чем универсальный инструмент", - подчеркивает Игорь Душа.
Игорь Душа отмечает отчетливое развитие в сторону улучшения ситуации, в частности, этому способствует 187-ФЗ. "Теперь предприятия КИИ обязаны защищаться от компьютерных атак, поэтому наблюдается повышенный спрос и внимание к решению этих задач. Думаю, вопрос повышенной уязвимости промышленных сетей и обеспечения информационной безопасности будет улажен со временем", - сообщает Игорь Душа.
Исполнительный директор Sibling smart home Михаил Шкляр отмечает, что во многих промышленных сетях есть уязвимость, связанная с тем, что от внешнего воздействия сети защищены плохо, от внутреннего, зачастую, тоже, но с ним проще, нежели с внешним воздействием. "Появляется возможность вторжения, кражи информации, либо получения доступа или управлении к определенным устройствам, находящимся в этой сети. Поэтому ситуация в России с уязвимостью сетей выглядит плохо, на текущий момент сети мало защищены, мало внимания уделяется кибербезопасности. Для всех компаний нет универсальных инструментов, но в целом Киберполигон - инструмент достаточно универсальный, может быть, не для всех, но для многих он подходит. Его использовали и используют, не слишком активно, мало кто о нем знает, но в целом инструмент хороший и полезный. Профессионалы рынка, те, кто занимается этим давно, они о нем знают и используют его в работе", - объясняет Михаил Шкляр.
По словам Михаила Шкляра, если говорить об уязвимости, то больше бюджетов и внимания будет уделяться именно работе с кибербезопасностью, с защитой данных, сетей и т.д..