Про еволюцію кіберзагроз в промислових ІТ-середовищах

В цьому році виповнюється 10 років з дня виявлення Stuxnet. Шкідливий комп’ютерний черв’як масово потрапив в заголовки ЗМІ виключно з тієї причини, що цілився в системи диспетчерського контролю та збору даних (SCADA).

Код Stuxnet, великий і витончений, розміром понад 500 кілобайтів, зумів проникнути в пристрої та мережі Windows, кілька разів копіюючи себе, перш ніж шукати додаткове програмне забезпечення. Він був націлений на програмовані логічні контролери (ПЛК), які забезпечують автоматизацію електромеханічних процесів в роботі верстатів і іншого промислового устаткування.

З часу виявлення Stuxnet в усьому світі було зафіксовано безліч таких же складних кібератак на системи управління підприємствами (OT). Почасти це може бути пов’язано з ростом ступеня підключеності таких мереж до інтернету, що робить їх більш уразливими для атак кіберзлочинців, держав і хакерів. Фактично, згідно з дослідженням Fortinet «State of Operational Technology and Cybersecurity Report», 74% організацій, що використовують OT, в останні 12 місяців стикалися з зараженням шкідливим ПЗ, яке завдавало шкоди продуктивності, доходів, довірі до бренду, інтелектуальної власності і фізичної безпеки.

Найбільш значні атаки на OT-середовища та ICS

Оцінюючи найбільш значні кібератаки на системи промислового управління (ICS) за останнє десятиліття, ми можемо побачити, наскільки далеко просунулися технологічні можливості злочинців. Однак, можливо, ще більш тривожним моментом є їх готовність заподіювати шкоду не тільки цифровій інфраструктурі, а й фізичній, негативно впливаючи на окремих співробітників і цілі компанії. Stuxnet, мабуть, один з перших в серії шкідливих атак на ICS, який продемонстрував організаціям по всьому світу масштаби впливу кібератак на фізичну інфраструктуру.

Поява нових механізмів загроз і атак докорінно змінило специфіку функціонування систем промислового управління (ICS) і SCADA. Далі ми перерахуємо деякі з найбільш помітних кібератак на ICS, які відбулися за останнє десятиліття, а також опишемо їх вплив на сучасні стратегії по забезпеченню безпеки критично важливої ​​інфраструктури.

2011: Duqu

Угорські дослідники в області кібербезпеки виявили шкідливе ПЗ, ідентифіковане як Duqu, яке за структурою і дизайну дуже нагадувало Stuxnet. Duqu був розроблений для крадіжки інформації шляхом маскування передачі даних під звичайний HTTP-трафік і передачі підроблених файлів JPG. Ключовим висновком з відкриття Duqu стало розуміння важливості розвідувальної роботи для злочинців – часто шкідливий код для крадіжки інформації є першою кіберзагрозою із запланованої серії додаткових атак.

2013: Havex

Havex – це досить відомий троян для віддаленого доступу (Remote Access Trojan – RAT), вперше виявлений у 2013 році. Havex, що належить до групи загроз GRIZZLY STEPPE, призначається для систем ICS і зв’язується з сервером C2, який може розгортати модульні корисні навантаження.

Його специфічне для ICS цільове навантаження збирало інформацію про сервер для відкритої платформи зв’язку (OPC), включаючи CLSID, ім’я сервера, ідентифікатор програми, версію OPC, інформацію про постачальника, стан виконання, кількість груп і пропускну здатність сервера, а також було здатне підраховувати теги OPC. Взаємодіючи з інфраструктурою C2, шкідливе ПЗ Havex представляло значну загрозу в контексті своєї здатності відправляти інструкції, які надають розширені та невідомі можливості шкідливому ПЗ.

2015: BlackEnergy

У 2015 році було виявлено, що шкідливе ПЗ BlackEnergy застосовувалося для використання макросів в документах Microsoft Excel. Шкідлива програма проникала в мережі через фішингові електронні листи, відправлені співробітникам. Хоча тактика, використана цими зловмисниками, була відносно простою, подія довела, що кіберзлочинці дійсно можуть маніпулювати критично важливою інфраструктурою у великих масштабах.

2017: TRITON

Шкідлива програма TRITON, виявлена ​​у 2017 році, була націлена на системи промислової безпеки. Зокрема, вона переслідувала систему засобів інструментальної безпеки (SIS), модифікуючи вбудовані в пам’ять прошивки та додаючи шкідливий функціонал. Це дозволило зловмисникам читати чи сканувати пам’ять та активувати власний код, поряд з додатковим програмуванням безпечного відключення, блокування або зміни здатності промислового процесу до відмови. TRITON – перше відоме шкідливе програмне забезпечення, спеціально розроблене для атаки на системи промислової безпеки, що захищають людські життя.

Дані дослідження Fortinet State of Operational Technology and Cybersecurity Report:

  • 74% опитаних організацій відзначили, що за останні 12 місяців їх OT-середовища піддавалися атакам, що спричинило втрату даних, порушення діяльності або / і завдало шкоди репутації бренду;
  • 78% опитаних компаній обмежили централізацію видимості кібербезпеки;
  • 64% не змогли встигати за змінами;
  • 62% збільшили бюджети на забезпечення кібербезпеки.

Розв’язання проблем безпеки ICS / SCADA

ICS містить в собі великий сегмент багаторівневої архітектури OT, що охоплює безліч різних типів пристроїв, систем, елементів управління і мереж, які керують виробничими процесами. Найбільш поширеними з них є системи SCADA і розподілені системи управління (DCS).

Вже багато років більшість організацій впроваджують заходи для забезпечення інформаційної безпеки, а ось безпека OT є новою територією. З ростом ступеня проникнення технологій промислового Інтернету речей (IIoT) і подальшої конвергенції IT / OT виробництва втратили «повітряний люз», який захищав їх системи OT від хакерів і шкідливих програм. В результаті зловмисники все частіше починають націлюватися на системи OT для крадіжки конфіденційної інформації, переривання операції або вчинення актів кібертероризму щодо критичної інфраструктури. Почасти це відбувається тому, що наявні шкідливі програми ефективно працюють проти застарілих систем, розгорнутих в мережах OT, які, ймовірно, не були виправлені або оновлені, з огляду на відсутність додаткових ресурсів на доопрацювання.

Ряд викликів зіграли свою роль в еволюції кібератак, які впливали на системи ВІД протягом багатьох років. Серед них:

  • недостатність інвентаризації пристроїв OT. Організації не можуть захистити активи — будь то шляхом застосування патчів або проведення перевірок безпеки якщо вони не мають повного контролю над середовищем;
  • недостатність віддаленого доступу до мережі. Більшість технологій, що лежать в основі ICS, засновані на обмеженому фізичному доступі та прихованих компонентах і протоколах зв’язку;
  • застаріле апаратне і програмне забезпечення. Багато системи ICS і SCADA використовують застаріле апаратне забезпечення або застарілі операційні системи, які несумісні або занадто делікатні для підтримки сучасних технологій захисту. Часто таке обладнання розгорнуто в середовищах, де системи не можуть бути відключені для виправлення або оновлення;
  • погана сегментація мережі. Середовища OT, як правило, функціонують використовуючи установки повної довіри, така модель погано переноситься в нові конвергентні середовища IT / OT. Стандартна практика безпеки поділу мереж на функціональні сегменти, що обмежують дані та додатки, які можуть мігрувати з одного сегмента в інший, в ICS в цілому використовується не дуже часто;
  • обмежений контроль доступу та управління дозволами. Оскільки раніше ізольовані або закриті системи взаємопов’язані, елементи управління і процеси, які наказували доступ, часто стають заплутаними.

На щастя, ризики, які призводять до загроз безпеці для ICS / SCADA, стають все більш широко визнаними і, як наслідок, більш пріоритетними для багатьох великих організацій. Урядові органи, включаючи Групу реагування на комп’ютерні надзвичайні ситуації (Control Systems Cyber ​​Emergency Response Team – ICS-CERT) в США і Центр захисту національної інфраструктури (Centre for Protection of National Infrastructure – CPNI) у Великобританії, нині публікують рекомендації та поради щодо використання передових методів забезпечення безпеки ICS.

Міжнародне суспільство автоматизації (International Society of Automation – ISA) також розробило стандарти, засновані на фреймворку «зон і каналів» (zones and conduits), які усувають найгостріші недоліки безпеки мережі ICS і надають рекомендації щодо поліпшення управління. Аналогічним чином, некомерційна організація ICS-ISAC зосереджена на обміні знаннями про ризики, загрози та передових практиках, щоб допомогти підприємствам розвинути ситуаційну обізнаність для підтримки місцевої, національної та міжнародної безпеки.

У зв’язку з потенційними наслідками атаки для фізичної безпеки співробітників, клієнтів і спільнот, безпеки ICS / SCADA слід приділяти першочергову увагу. Це також означає, що не можна ігнорувати дотримання нормативних вимог. На щастя, застосовуючи багаторівневий підхід до безпеки цифрових промислових систем, організації можуть значно поліпшити свою загальну захищеність і стратегію зниження ризиків.

ЧИТАЙТЕ ТАКОЖ:

Читайте также:

Сучасні розумні пристрої: в чому їх небезпека для користувача?

Дослідження: штучний інтелект і машинне навчання є обов’язковими для нових засобів безпеки

Дослідження: 30% молоді в Україні впевнені, що не стануть жертвами інтернет-шахраїв

Тренди поширення кіберзагроз: як змінилася динаміка під час пандемії