Новости

«Лаборатория Касперского» проанализировала угрозы для систем промышленной автоматизации в первом полугодии 2017 года

29.09.2017
«Лаборатория Касперского» проанализировала угрозы для систем промышленной автоматизации в первом полугодии 2017 года

28.09.2017 компания «Лаборатория Касперского» опубликовала отчет «Ландшафт угроз для систем промышленной автоматизации в первом полугодии 2017 года», в котором перечислены наиболее значимые компьютерные атаки на промышленные объекты, приведена статистика угроз и даны рекомендации по обеспечению безопасности технологической сети.

Отчет основан на данных, собранных продуктами компании с компьютеров автоматизированных систем управления технологическими процессами (АСУ ТП) различных организаций и предприятий.

За отчетный период продуктами компании«Лаборатория Касперского» были предотвращены попытки атак на  37,6% защищаемых ими компьютеров АСУ ТП по всему миру. В России указанный показатель составил 42,9%.

В рейтинге стран по числу атакованных компьютеров АСУ ТП лидируют Вьетнам (71%), Алжир (67,1%), Марокко (65,4%), Индонезия (58,7%), Китай (57,1%). Россия в данном рейтинге занимает 21-е место.

Согласно отчету, основным источником угроз для систем промышленной автоматизации является сеть Интернет (20,4%). Далее следуют съемные носители (9,6%), почтовые клиенты (3,9%), резервные копии Windows (0,9%).

За отчетный период на системах промышленной автоматизации было обнаружено около 18 тысяч различных модификаций вредоносного программного обеспечения (ВПО), относящихся более чем к 2,5 тысячам различных семейств.

К значимым событиям отчетного периода относятся:

  • Исследование ВПО CrashOverride/Industroyer, нацеленного на нарушение рабочих процессов в промышленных системах управления, в частности, на электрических подстанциях.
  • Различные случаи компьютерных атак на системы обеспечения безопасности людей (вывод из строя системы видеонаблюдения полиции в Вашингтоне, взлом систем экстренного оповещения о чрезвычайных ситациях в Даллассе).
  • Фишинговые атаки, нацеленные в 80% случаев на промышленные компании (металлургические, электроэнергетические, строительные и др.). Всего было обнаружено свыше 500 атакованных компаний более чем в 50 странах мира.
  • Публикация архива с эксплойтами и инструментами для проведения атак Агентства национальной безопасности США.
  • Серия масштабных атак с использованием программ-шифровальщиков WannaСry и ExPetr (Petya). По данным отчета, 0,5% компьютеров технологической инфраструктуры организаций в течение первого полугодия 2017 года хотя бы раз были атакованы программами шифровальщиками.

Всего в течение полугодия на компьютерах АСУ ТП были предотвращены атаки представителей 33 семейств шифровальщиков. По числу атакованных компьютеров первое место занял шифровальщик WannaCry (13,4%), за ним следуют Locky (10,7%), Jaff (8,9%), Spora (7,4%), Cerber (7,1%).

В отчете приводятся следующие рекомендации по по обеспечению безопасности внешнего и внутреннего периметров технологической сети:

  • Ограничить доступ между системами, находящимися в различных сетях или имеющими различные уровни доверия, создать демилитаризованную зону для систем, имеющих постоянную или регулярную связь с внешними сетями.
  • Провести инвентаризацию запущенных сетевых служб, остановить уязвимые и неиспользуемые сетевые службы.
  • Провести аудит разграничения доступа к компонентам АСУ ТП.
  • Провести аудит сетевой активности внутри промышленной сети предприятия и на её границах, отключить не обусловленные производственной необходимостью сетевые соединения с внешними и другими смежными информационными сетями.
  • Проверить безопасность организации удалённого доступа к промышленной сети, по возможности избегать использования средств удалённого администрирования.
  • Следить за актуальностью сигнатурных баз, средств защиты конечных узлов сети, применять технологии контроля запуска приложений («белые списки») и технологии анализа поведения приложений.
  • Провести аудит политики и практики использования съёмных носителей информации и портативных устройств.
  • Внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в промышленных сетях.