Новости

Материалы исследования Positive Technologies «Безопасность промышленных систем в цифрах v2.1*», Москва, 2012 г.

06.11.2012
Материалы исследования Positive Technologies «Безопасность промышленных систем в цифрах v2.1*», Москва, 2012 г.

Динамика обнаружения уязвимостей

В период с 2005 года до начала 2010 года специалисты по информационной безопасности обнаружили всего лишь 9 уязвимостей. После появления компьютерного червя Stuxnet произошел резкий скачок интереса как со стороны исследователей ИБ, так и со стороны хакеров. В итоге в 2011 г. в компонентах АСУ ТП было обнаружено 64 уязвимости. И только за первые восемь месяцев 2012 года стало известно о 98 новых уязвимостей: это больше, чем за все предыдущие годы, начиная с 2005 г.

Таблица 5. Количество обнаруженных уязвимостей

Годы

Количество уязвимостей

2005

1

2007

3

2008

5

2010

11

2011

64

2012

98

Наибольшее количество уязвимостей (42) за отчетный период было обнаружено в компонентах АСУ ТП производства компании Siemens. На втором месте — системы Schneider Electric (30). На третьем — Broadwin/Advantech (22 уязвимости).

Как в любых IТ-системах, в случае с АСУ ТП наибольшее количество уязвимостей обнаруживается в самых распространенных решениях. Кроме того, ряд производителей перешли от реактивного подхода к проактивному, и энергично занялись поиском и устранением уязвимостей в своих продуктах. К примеру, компания Siemens сформировала специализированное подразделение Siemens ProductCERT (http://www.siemens.com/corporate-technology/en/research-areas/siemens-cert-security-advisories.htm), основной задачей которого является обнаружение и устранение проблем безопасности в продуктах компании. Найденные этой командой уязвимости также включаются в общую статистику, что приводит к росту абсолютных значений обнаруженных и устраненных проблем.

Уязвимости по типам программно-аппаратных

компонентов АСУ ТП

Наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период нашли 20 уязвимостей. Уязвимости средств разработки, как правило не являются чем-то специфическим и совпадают с уязвимостями компонентами SCADA/HMI,входящих в средства разработки.

Таблица 6. Количество уязвимостей в различных типах компонентов АСУ ТП

Тип системы

Количество уязвимостей

SCADA

87

HMI

49

PLC

20

Hardware

11

Software

7

Interface/Protocol

1

Распределение уязвимостей по типам и возможным последствиям

Почти треть уязвимостей (36%) связаны с переполнением буфера (Buffer Overflow) — явлением, возникающим, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Подобный недостаток защищенности позволяет злоумышленнику не только вызвать аварийное завершение или «зависание» программы (что ведет к отказу в обслуживании), но и выполнять в целевой системе произвольный код. Если же сложить все типы уязвимостей, эксплуатация которых позволяет хакеру запустить выполнение кода (Buffer Overflow, Remote Code Execution), то получится около 50% всех уязвимостей (крайне высокая цифра!). Стоит отметить также большое количество проблем с аутентификацией и управлением ключами (Authentication, Key Management; почти 23%).

Распределение уязвимостей АСУ ТП по типу

Тип уязвимости

Доля уязвимости, %

Buffer Overflow

36

Remote Code Execution

13,14

Web (client-side)

9,14

Web (server-side)

10,86

Local Privilege Escalation

2,29

DoS/Data Integrity

5,71

Authentication / Key Management

22,86

Доля устраненных уязвимостей компонентов АСУ ТП

Наглядное представление о том, насколько серьезно различные производители АСУ ТП относятся к проблемам информационной безопасности, дает демонстрация доли устраненных уязвимостей. Например, компания Siemens устранила и выпустила обновления для 88% уязвимостей, тогда как ABB ликвидировала только две трети (67%) недостатков защищенности.

Доля оперативно устраненных уязвимостей компонентов АСУ ТП

Большинство недостатков безопасности (около 81%) были достаточно оперативно ликвидированы производителями компонентов АСУ ТП — еще до того, как сведения о них становились широко известны, или в течение 30 дней после нескоординированного разглашения информации. Однако примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена.

Доступность сведений или ПО для проведения атаки

Наличие в открытом доступе информации или готового средства для эксплуатации уязвимости значительно повышает вероятность успешной реализации атаки. В настоящий момент для 35% всех представленных уязвимостей АСУ ТП выпущены эксплойты, которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение либо описаны в уведомлениях об уязвимости.

Следует отметить, что 35% — достаточно высокое значение для количества доступных эксплойтов: оно в разы превышает аналогичный показатель для IТ-систем вообще.

Источник: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf