581948
26.03.2018 компания «Лаборатория Касперского» опубликовала отчет «Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2017 года», в котором представлен обзор уязвимостей за 2017 год в различных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП), приведена статистика угроз, перечислены наиболее значимые компьютерные атаки на промышленные объекты и даны рекомендации по обеспечению безопасности технологической сети.
Анализ уязвимостей проводился на основе уведомлений производителей, общедоступной информации из открытых баз уязвимостей и результатов исследований компании «Лаборатория Касперского».
Согласно отчету, в 2017 году в различных компонентах АСУ ТП выявлено 322 уязвимости, в числе которых уязвимости в программном обеспечении (ПО) общего назначения и в сетевых протоколах. Большая часть уязвимостей затрагивает АСУ ТП предприятий в сфере энергетики (178), водоснабжения (97), транспорта (74), различных предприятий критической инфраструктуры (164).
Наибольшее количество уязвимостей было выявлено в SCADA/HMI-компонентах (88), сетевых устройствах промышленного назначения (66), программируемых логических контроллерах (52) и инженерном ПО (52). Также уязвимости были обнаружены в компонентах релейной защиты и автоматики, системах противоаварийной защиты, экологического мониторинга и промышленного видеонаблюдения.
Больше половины выявленных в системах АСУ ТП уязвимостей являются критическими (60) и высокой степени опасности (134). При этом все критические уязвимости, получившие максимальную оценку по шкале CVSS версии 3.0, имеют схожие характеристики: могут эксплуатироваться удаленно без аутентификации и не требует от злоумышленника специальных знаний и навыков.
Наиболее распространенными типами уязвимостей являются: переполнение буфера (30), неправильная аутентификация (25), веб-инъекции (17).
Для 17 уязвимостей опубликованы эксплойты, что повышает риск их злонамеренного использования.
Ряд уязвимостей затрагивают промышленные протоколы: протокол Modbus в контроллерах серии Modicon, стек протоколов OPC UA и протокол PROFINET Discovery and Configuration Protocol.
Во втором полугодии 2017 года продуктами «Лаборатории Касперского» были предотвращены попытки атак на 37,8% защищаемых ими компьютеров АСУ ТП. В России указанный показатель составил 46,8% (42,9% в первом полугодии 2017 года).
Как и в первом полугодии 2017 года, в рейтинге стран по числу атакованных компьютеров АСУ ТП лидируют Вьетнам (70%), Алжир (66%), Марокко (60%), Индонезия (60%), Китай (59%). Россия в данном рейтинге переместилась с 21-го на 13-е место.
Согласно отчету, основным источником угроз для систем промышленной автоматизации является сеть Интернет (22,7%). Далее следуют съемные носители (7,9%), почтовые клиенты (3,8%), резервные копии Windows (0,7%).
В отчете приводятся следующие рекомендации по по обеспечению безопасности внешнего и внутреннего периметров технологической сети:
- Ограничить доступ между системами, находящимися в различных сетях или имеющими различные уровни доверия, создать демилитаризованную зону для систем, имеющих постоянную или регулярную связь с внешними сетями. Весь обмен информацией между промышленной сетью и внешним миром осуществлять через демилитаризованную зону.
- Провести инвентаризацию запущенных сетевых служб, остановить уязвимые и неиспользуемые сетевые службы.
- Провести аудит разграничения доступа к компонентам АСУ ТП.
- Провести аудит сетевой активности внутри промышленной сети предприятия и на её границах, отключить не обусловленные производственной необходимостью сетевые соединения с внешними и другими смежными информационными сетями.
- Проверить безопасность организации удалённого доступа к промышленной сети, по возможности избегать использования средств удалённого администрирования.
- Следить за актуальностью сигнатурных баз, средств защиты конечных узлов сети, применять технологии контроля запуска приложений («белые списки») и технологии анализа поведения приложений.
- Провести аудит политики и практики использования съёмных носителей информации и портативных устройств.
- Внедрить средства мониторинга сетевого трафика и обнаружения компьютерных атак в промышленных сетях.
- Своевременно выполнять обновления операционной системы, прикладного ПО и средств защиты.
- Ограничивать сетевой трафик по используемым портам и протоколам на пограничных маршрутизаторах между сетью организации и сетями других компаний.
- Вести контроль учетных записей, ограничить число учетных записей пользователей с административными правами.
- Применять строгую парольную политику: использовать сложные пароли (не менее 9 символов различного регистра, дополненные цифрами и специальными символами), регулярно (например, каждые 90 дней) менять пароли.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
