150
Динамика обнаружения уязвимостей
В период с 2005 года до начала 2010 года специалисты по информационной безопасности обнаружили всего лишь 9 уязвимостей. После появления компьютерного червя Stuxnet произошел резкий скачок интереса как со стороны исследователей ИБ, так и со стороны хакеров. В итоге в 2011 г. в компонентах АСУ ТП было обнаружено 64 уязвимости. И только за первые восемь месяцев 2012 года стало известно о 98 новых уязвимостей: это больше, чем за все предыдущие годы, начиная с 2005 г.
Таблица 5. Количество обнаруженных уязвимостей
|
Годы |
Количество уязвимостей |
|
2005 |
1 |
|
2007 |
3 |
|
2008 |
5 |
|
2010 |
11 |
|
2011 |
64 |
|
2012 |
98 |
Наибольшее количество уязвимостей (42) за отчетный период было обнаружено в компонентах АСУ ТП производства компании Siemens. На втором месте — системы Schneider Electric (30). На третьем — Broadwin/Advantech (22 уязвимости).
Как в любых IТ-системах, в случае с АСУ ТП наибольшее количество уязвимостей обнаруживается в самых распространенных решениях. Кроме того, ряд производителей перешли от реактивного подхода к проактивному, и энергично занялись поиском и устранением уязвимостей в своих продуктах. К примеру, компания Siemens сформировала специализированное подразделение Siemens ProductCERT (http://www.siemens.com/corporate-technology/en/research-areas/siemens-cert-security-advisories.htm), основной задачей которого является обнаружение и устранение проблем безопасности в продуктах компании. Найденные этой командой уязвимости также включаются в общую статистику, что приводит к росту абсолютных значений обнаруженных и устраненных проблем.
Уязвимости по типам программно-аппаратных
компонентов АСУ ТП
Наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период нашли 20 уязвимостей. Уязвимости средств разработки, как правило не являются чем-то специфическим и совпадают с уязвимостями компонентами SCADA/HMI,входящих в средства разработки.
Таблица 6. Количество уязвимостей в различных типах компонентов АСУ ТП
|
Тип системы |
Количество уязвимостей |
|
SCADA |
87 |
|
HMI |
49 |
|
PLC |
20 |
|
Hardware |
11 |
|
Software |
7 |
|
Interface/Protocol |
1 |
Распределение уязвимостей по типам и возможным последствиям
Почти треть уязвимостей (36%) связаны с переполнением буфера (Buffer Overflow) — явлением, возникающим, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Подобный недостаток защищенности позволяет злоумышленнику не только вызвать аварийное завершение или «зависание» программы (что ведет к отказу в обслуживании), но и выполнять в целевой системе произвольный код. Если же сложить все типы уязвимостей, эксплуатация которых позволяет хакеру запустить выполнение кода (Buffer Overflow, Remote Code Execution), то получится около 50% всех уязвимостей (крайне высокая цифра!). Стоит отметить также большое количество проблем с аутентификацией и управлением ключами (Authentication, Key Management; почти 23%).
Распределение уязвимостей АСУ ТП по типу
|
Тип уязвимости |
Доля уязвимости, % |
|
Buffer Overflow |
36 |
|
Remote Code Execution |
13,14 |
|
Web (client-side) |
9,14 |
|
Web (server-side) |
10,86 |
|
Local Privilege Escalation |
2,29 |
|
DoS/Data Integrity |
5,71 |
|
Authentication / Key Management |
22,86 |
Доля устраненных уязвимостей компонентов АСУ ТП
Наглядное представление о том, насколько серьезно различные производители АСУ ТП относятся к проблемам информационной безопасности, дает демонстрация доли устраненных уязвимостей. Например, компания Siemens устранила и выпустила обновления для 88% уязвимостей, тогда как ABB ликвидировала только две трети (67%) недостатков защищенности.
Доля оперативно устраненных уязвимостей компонентов АСУ ТП
Большинство недостатков безопасности (около 81%) были достаточно оперативно ликвидированы производителями компонентов АСУ ТП — еще до того, как сведения о них становились широко известны, или в течение 30 дней после нескоординированного разглашения информации. Однако примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена.
Доступность сведений или ПО для проведения атаки
Наличие в открытом доступе информации или готового средства для эксплуатации уязвимости значительно повышает вероятность успешной реализации атаки. В настоящий момент для 35% всех представленных уязвимостей АСУ ТП выпущены эксплойты, которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение либо описаны в уведомлениях об уязвимости.
Следует отметить, что 35% — достаточно высокое значение для количества доступных эксплойтов: оно в разы превышает аналогичный показатель для IТ-систем вообще.
Источник: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf
