Новости

«Лаборатория Касперского» проанализировала угрозы для систем промышленной автоматизации во втором полугодии 2017 года

28.03.2018
«Лаборатория Касперского» проанализировала угрозы для систем промышленной автоматизации во втором полугодии 2017 года

26.03.2018 компания «Лаборатория Касперского» опубликовала отчет «Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2017 года», в котором представлен обзор уязвимостей за 2017 год в различных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП), приведена статистика угроз, перечислены наиболее значимые компьютерные атаки на промышленные объекты и даны рекомендации по обеспечению безопасности технологической сети.

Анализ уязвимостей проводился на основе уведомлений производителей, общедоступной информации из открытых баз уязвимостей и результатов исследований компании «Лаборатория Касперского».

Согласно отчету, в 2017 году в различных компонентах АСУ ТП выявлено 322 уязвимости, в числе которых уязвимости в программном обеспечении (ПО) общего назначения и в сетевых протоколах. Большая часть уязвимостей затрагивает АСУ ТП предприятий в сфере энергетики (178), водоснабжения (97), транспорта (74), различных предприятий критической инфраструктуры (164).

Наибольшее количество уязвимостей было выявлено в SCADA/HMI-компонентах (88), сетевых устройствах промышленного назначения (66), программируемых логических контроллерах (52) и инженерном ПО (52). Также уязвимости были обнаружены в компонентах релейной защиты и автоматики, системах противоаварийной защиты, экологического мониторинга и промышленного видеонаблюдения.

Больше половины выявленных в системах АСУ ТП уязвимостей являются критическими (60) и высокой степени опасности (134). При этом все критические уязвимости, получившие максимальную оценку по шкале CVSS версии 3.0, имеют схожие характеристики: могут эксплуатироваться удаленно без аутентификации и не требует от злоумышленника специальных знаний и навыков.

Наиболее распространенными типами уязвимостей являются: переполнение буфера (30), неправильная аутентификация (25), веб-инъекции (17).

Для 17 уязвимостей опубликованы эксплойты, что повышает риск их злонамеренного использования.

Ряд уязвимостей затрагивают промышленные протоколы: протокол Modbus в контроллерах серии Modicon, стек протоколов OPC UA и протокол PROFINET Discovery and Configuration Protocol.

Во втором полугодии 2017 года продуктами «Лаборатории Касперского» были предотвращены попытки атак на 37,8% защищаемых ими компьютеров АСУ ТП. В России указанный показатель составил 46,8% (42,9% в первом полугодии 2017 года). Как и в первом полугодии 2017 года, в рейтинге стран по числу атакованных компьютеров АСУ ТП лидируют Вьетнам (70%), Алжир (66%), Марокко (60%), Индонезия (60%), Китай (59%). Россия в данном рейтинге переместилась с 21-го на 13-е место.

Согласно отчету, основным источником угроз для систем промышленной автоматизации является сеть Интернет (22,7%). Далее следуют съемные носители (7,9%), почтовые клиенты (3,8%), резервные копии Windows (0,7%).

В отчете приводятся следующие рекомендации по по обеспечению безопасности внешнего и внутреннего периметров технологической сети:

  • Ограничить доступ между системами, находящимися в различных сетях или имеющими различные уровни доверия, создать демилитаризованную зону для систем, имеющих постоянную или регулярную связь с внешними сетями. Весь обмен информацией между промышленной сетью и внешним миром осуществлять через демилитаризованную зону.
  • Провести инвентаризацию запущенных сетевых служб, остановить уязвимые и неиспользуемые сетевые службы.
  • Провести аудит разграничения доступа к компонентам АСУ ТП.
  • Провести аудит сетевой активности внутри промышленной сети предприятия и на её границах, отключить не обусловленные производственной необходимостью сетевые соединения с внешними и другими смежными информационными сетями.
  • Проверить безопасность организации удалённого доступа к промышленной сети, по возможности избегать использования средств удалённого администрирования.
  • Следить за актуальностью сигнатурных баз, средств защиты конечных узлов сети, применять технологии контроля запуска приложений («белые списки») и технологии анализа поведения приложений.
  • Провести аудит политики и практики использования съёмных носителей информации и портативных устройств.
  • Внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в промышленных сетях.

Кроме того, необходимо применять общие меры безопасности:

  • Своевременно выполнять обновления операционной системы, прикладного ПО и средств защиты.
  • Ограничивать сетевой трафик по используемым портам и протоколам на пограничных маршрутизаторах между сетью организации и сетями других компаний.
  • Вести контроль учетных записей, ограничить число учетных записей пользователей с административными правами.
  • Применять строгую парольную политику: использовать сложные пароли (не менее 9 символов различного регистра, дополненные цифрами и специальными символами), регулярно (например, каждые 90 дней) менять пароли.