Эволюция киберугроз в OT-средах
29, июнь 2020 В этом году исполняется 10 лет со дня обнаружения Stuxnet . Вредоносный компьютерный червь попал в заголовки по той причине , что целился в системы диспетчерского контроля и сбора данных ( SCADA ). Код Stuxnet, обширный и изощренный , размером более 500 килобайт , сумел проникнуть в устройства и сети Windows, несколько раз копируя себя , прежде чем искать дополнительное программное обеспечение . Он был нацелен на программируемые логические контроллеры ( ПЛК ), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования . Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями ( OT ). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету , что делает их более уязвимыми для атак киберпреступников , государств и хакеров . Фактически , согласно исследованию Fortinet « State of Operational Technology and Cybersecurity Report », 74% организаций , использующих OT, в последние 12 месяцев сталкивались с заражением вредоносным ПО , которое наносило ущерб производительности , доходам , доверию к бренду , интеллектуальной собственности и физической безопасности . Наиболее значительные атаки на OT- среды и ICS Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие , мы можем увидеть , насколько далеко продвинулись технологические возможности преступников . Однако , возможно , еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре , но и физической , негативно влияя на отдельных сотрудников и целые компании . Stuxnet, пожалуй , один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру . Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие , а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры . 2011: Duqu Венгерские исследователи в области кибербезопасности обнаружили вредоносное ПО , идентифицированное как Duqu, которое по структуре и дизайну очень напоминало Stuxnet. Duqu был разработан для кражи информации путем маскировки передачи данных под обычный HTTP- трафик и передачи поддельных файлов JPG. Ключевым выводом из открытия Duqu стало понимание важности разведывательной работы для преступников – часто вредоносный код для кражи информации является первой киберугрозой из запланированной серии дополнительных атак . 2013: Havex Havex – это достаточно известный троян для удаленного доступа (Remote Access Trojan –RAT), впервые обнаруженный в 2013 году . Havex, относящийся к группе угроз GRIZZLY STEPPE, предназначается для систем ICS и связывается с сервером C2, который может развертывать модульные полезные нагрузки . Его специфическая для ICS целевая нагрузка собирала информацию о сервере для открытой платформы связи (OPC), включая CLSID, имя сервера , идентификатор программы , версию OPC, информацию о поставщике , состояние выполнения , количество групп и пропускную способность сервера , а также была способна подсчитывать теги OPC. Взаимодействуя с инфраструктурой C2, вредоносное ПО Havex представляло значительную угрозу в контексте своей способности отправлять инструкции , которые предоставляют расширенные и неизвестные возможности вредоносному ПО . 2015: BlackEnergy В 2015 году было обнаружено , что вредоносное ПО BlackEnergy применялось для использования макросов в документах Microsoft Excel. Вредоносная программа проникала в сети через фишинговые электронные письма , отправленные сотрудникам . Хотя тактика , использованная этими злоумышленниками , была относительно простой , событие доказало , что киберпреступники действительно могут манипулировать критически важной инфраструктурой в больших масштабах . 2017: TRITON Вредоносная программа TRITON , обнаруженная в 2017 году , была нацелена на системы промышленной безопасности . В частности , оно преследовало систему средств инструментальной безопасности (SIS), модифицируя встроенные в память прошивки для добавляя вредоносный функционал . Это позволило злоумышленникам читать или изменять содержимое памяти и активировать собственный код , наряду с дополнительным программированием безопасного отключения , блокирования или изменения способности промышленного процесса к отказу . TRITON – первое известное вредоносное программное обеспечение , специально разработанное для атаки на системы промышленной безопасности , защищающие человеческие жизни . Изображение : данные исследования Fortinet State of Operational Technology and Cybersecurity Report 74% опрошенных организаций отметили , что за последние 12 месяцев их OT- среды подвергались атакам , повлекшим за собой потерю данных , нарушение деятельности или / и нанесшим ущерб репутации бренда . 78% опрошенных компаний ограничили централизацию видимости кибербезопасности . 64% затрудняются успевать за изменениями . 62% увеличивают бюджеты на обеспечение кибербезопасности . Решение проблем безопасности ICS / SCADA ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств , систем , элементов управления и сетей , которые управляют производственными процессами . Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS). Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности , а вот безопасность OT является несколько новой территорией . С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили « воздушный зазор », который защищал их системы OT от хакеров и вредоносных программ . В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации , прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры . Отчасти это происходит потому , что существующие вредоносные программы эффективно работают против устаревших систем , развернутых в сетях OT, которые , вероятно , не были исправлены или обновлены , учитывая отсутствие дополнительных ресурсов на доработку . Ряд вызовов сыграли свою роль в эволюции кибератак , которые влияли на системы ОТ на протяжении многих лет . Среди них :
К счастью , риски , которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и , как следствие , более приоритетными для многих крупных организаций . Правительственные органы , включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании , в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS. Международное общество автоматизации (International Society of Automation – ISA) также разработало стандарты , основанные на фреймворке « зон и каналов » (zones and conduits), которая устраняет наиболее острые недостатки безопасности сети ICS и предоставляет рекомендации по улучшению управления . Аналогичным образом , некоммерческая организация ICS-ISAC сосредоточена на обмене знаниями о рисках , угрозах и передовых практиках , чтобы помочь предприятиям развить ситуационную осведомленность для поддержки местной , национальной и международной безопасности . Необходимость поддерживать критическую инфраструктуру В связи с потенциальными последствиями атаки для физической безопасности сотрудников , клиентов и сообществ , безопасности ICS/SCADA следует уделять первоочередное внимание . Это также означает , что нельзя игнорировать соблюдение нормативных требований . К счастью , применяя многоуровневый подход к безопасности цифровых промышленных систем , организации могут значительно улучшить свою общую защищенность и стратегию снижения рисков . |
|