29, июнь 2020  —  В этом году исполняется 10 лет со дня обнаружения Stuxnet . Вредоносный компьютерный червь попал в заголовки по той причине , что целился в системы диспетчерского контроля и сбора данных ( SCADA ).

Код Stuxnet, обширный и изощренный , размером более 500 килобайт , сумел проникнуть в устройства и сети Windows, несколько раз копируя себя , прежде чем искать дополнительное программное обеспечение . Он был нацелен на программируемые логические контроллеры ( ПЛК ), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования .

Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями ( OT ). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету , что делает их более уязвимыми для атак киберпреступников , государств и хакеров . Фактически , согласно исследованию Fortinet « State of Operational Technology   and Cybersecurity Report », 74% организаций , использующих OT, в последние 12 месяцев сталкивались с заражением вредоносным ПО , которое наносило ущерб производительности , доходам , доверию к бренду , интеллектуальной собственности и физической безопасности .

Наиболее значительные атаки на OT- среды и ICS

Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие , мы можем увидеть , насколько далеко продвинулись технологические возможности преступников . Однако , возможно , еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре , но и физической , негативно влияя на отдельных сотрудников и целые компании . Stuxnet, пожалуй , один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру .

Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие , а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры .

2011: Duqu 

Венгерские исследователи в области кибербезопасности обнаружили вредоносное ПО , идентифицированное как Duqu, которое по структуре и дизайну очень напоминало Stuxnet. Duqu был разработан для кражи информации путем маскировки передачи данных под обычный HTTP- трафик и передачи поддельных файлов JPG. Ключевым выводом из открытия Duqu стало понимание важности разведывательной работы для преступников – часто вредоносный код для кражи информации является первой киберугрозой из запланированной серии дополнительных атак .

2013: Havex 

Havex – это достаточно известный троян для удаленного доступа (Remote Access Trojan –RAT), впервые обнаруженный в 2013 году . Havex, относящийся к группе угроз GRIZZLY STEPPE, предназначается для систем ICS и связывается с сервером C2, который может развертывать модульные полезные нагрузки .

Его специфическая для ICS целевая нагрузка собирала информацию о сервере для открытой платформы связи (OPC), включая CLSID, имя сервера , идентификатор программы , версию OPC, информацию о поставщике , состояние выполнения , количество групп и пропускную способность сервера , а также была способна подсчитывать теги OPC. Взаимодействуя с инфраструктурой C2, вредоносное ПО Havex представляло значительную угрозу в контексте своей способности отправлять инструкции , которые предоставляют расширенные и неизвестные возможности вредоносному ПО .

2015: BlackEnergy

В 2015 году было обнаружено , что вредоносное ПО BlackEnergy применялось для использования макросов в документах Microsoft Excel. Вредоносная программа проникала в сети через фишинговые электронные письма , отправленные сотрудникам . Хотя тактика , использованная этими злоумышленниками , была относительно простой , событие доказало , что киберпреступники действительно могут манипулировать критически важной инфраструктурой в больших масштабах .

2017: TRITON 

Вредоносная программа TRITON , обнаруженная в 2017 году , была нацелена на системы промышленной безопасности . В частности , оно преследовало систему средств инструментальной безопасности (SIS), модифицируя встроенные в память прошивки для добавляя вредоносный функционал . Это позволило злоумышленникам читать или изменять содержимое памяти и активировать собственный код , наряду с дополнительным программированием безопасного отключения , блокирования или изменения способности промышленного процесса к отказу . TRITON – первое известное вредоносное программное обеспечение , специально разработанное для атаки на системы промышленной безопасности , защищающие человеческие жизни .

Изображение : данные исследования Fortinet State of Operational Technology   and Cybersecurity Report

74% опрошенных организаций отметили , что за последние 12 месяцев их OT- среды подвергались атакам , повлекшим за собой потерю данных , нарушение деятельности или / и нанесшим ущерб репутации бренда .

78% опрошенных компаний ограничили централизацию видимости кибербезопасности .

64% затрудняются успевать за изменениями .

62% увеличивают бюджеты на обеспечение кибербезопасности .

Решение проблем безопасности ICS / SCADA

ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств , систем , элементов управления и сетей , которые управляют производственными процессами . Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS).

Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности , а вот безопасность OT является несколько новой территорией . С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили « воздушный зазор », который защищал их системы OT от хакеров и вредоносных программ . В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации , прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры . Отчасти это происходит потому , что существующие вредоносные программы эффективно работают против устаревших систем , развернутых в сетях OT, которые , вероятно , не были исправлены или обновлены , учитывая отсутствие дополнительных ресурсов на доработку .

Ряд вызовов сыграли свою роль в эволюции кибератак , которые влияли на системы ОТ на протяжении многих лет . Среди них :

•  Недостаточность инвентаризации устройств OT. Организации не могут защитить активы – будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой .

•  Недостаточность удаленного доступа к сети . Большинство технологий , лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и протоколах связи .

•  Устаревшее аппаратное и программное обеспечение . Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы , которые несовместимы или слишком деликатны для поддержки современных технологий защиты . Часто такое оборудование развернуто в средах , где системы не могут быть отключены для исправления или обновления .

•  Плохая сегментация сети . Среды OT, как правило , функционируют используя установки полного доверия , такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты , ограничивающие данные и приложения , которые могут мигрировать из одного сегмента в другой , в ICS в целом используется не очень часто .

•  Ограниченный контроль доступа и управление разрешениями . Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными , элементы управления и процессы , которые предписывали доступ , часто становятся запутанными .

К счастью , риски , которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и , как следствие , более приоритетными для многих крупных организаций . Правительственные органы , включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании , в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.

Международное общество автоматизации (International Society of Automation – ISA) также разработало стандарты , основанные на фреймворке « зон и каналов » (zones and conduits), которая устраняет наиболее острые недостатки безопасности сети ICS и предоставляет рекомендации по улучшению управления . Аналогичным образом , некоммерческая организация ICS-ISAC сосредоточена на обмене знаниями о рисках , угрозах и передовых практиках , чтобы помочь предприятиям развить ситуационную осведомленность для поддержки местной , национальной и международной безопасности .

Необходимость поддерживать критическую инфраструктуру