День кибер-безопасности подходит к концу, но это не значит, что мы должны просто забыть о важности оставаться в курсе новостей и тенденций в кибер-безопасности . На наш последний пост месяца мы сосредоточимся на промышленных системах управления: почему важно знать, что они собой представляют, а также почему мы должны их обеспечить.
Мы написали несколько сообщений по темам ICS , но я хотел взглянуть на эту тему таким образом, чтобы вся картина стала более перспективной для более широкой аудитории. Для этого я пообщался с Матвеем Войтовым, критическим специалистом по развитию бизнеса в области защиты инфраструктуры в «Лаборатории Касперского».
Что такое ICS?
ICS означает промышленную систему управления. В основном это зонтичный термин, который включает в себя различные информационные системы и технологии, такие как диспетчерский контроль и сбор данных (SCADA), распределенные системы управления (DCS), программируемые логические контроллеры (PLC) и многое другое — с одной из основных целей: обеспечить управление и контроль производственных процессов. Обычные информационные системы (ERP, сотрудничество, почтовый сервер, ОС и т. Д.) Управляют информацией; ICS управляют физическими процессами. Вот почему такие системы также называются киберфизическими системами. ICS широко используются во многих отраслях промышленности: нефтегазовой, энергетической сетях, производстве, умных зданиях и городах и т. Д.
Что может быть самым худшим?
В худшем случае речь идет о разрушении промышленных процессов. В зависимости от критичности промышленного объекта это может привести к потере денег (подумайте о простоях на производственном объекте) или даже приведет к реальному физическому ущербу. Это произошло в Германии в 2014 году: хакерская атака на сталелитейный завод нарушила контроль доменной печи. А в Украине в 2015 и 2016 годах нападения на подстанции привели к отключению электроэнергии для тысяч потребителей.
Какие отрасли промышленности должны быть особенно обеспокоены их информационной безопасностью и почему?
Когда мы говорим о защите ICS, мы должны сказать «кибербезопасность» вместо «информационной безопасности», потому что в большинстве случаев мы подразумеваем защиту киберфизических процессов или активов, а не информации.
Все критические инфраструктуры подвержены риску, но особенно выработка электроэнергии, передача и распределение, все виды коммунальных услуг, все потоки нефти и газа. В дополнение к таким чувствительным инфраструктурам «некритические» промышленные организации также страдают от кибер-атаки, обеспечиваемых высокой связностью с внешними сетями. Наши недавние исследования показывают, что за последние 12 месяцев у 54% промышленных организаций было более одного кибернетика.
Каковы атаки или типы атак?
В целом, ICS имеет два основных вектора атаки. Киберпреступники могут получить доступ к промышленной инфраструктуре через внешние внешние сети (например, корпоративную сеть с ERP, которая обменивается данными с промышленными сетями для интеллектуального обслуживания), или они могут попытаться проникнуть в домен ICS напрямую, используя небрежность сотрудников или подкуп инсайдера. Например, инженер может принести зараженный USB-накопитель или личное устройство прямо в сеть с воздушным потоком. Важно понимать, что в наши дни очень мало действительно воздушных сетей, которые существуют, даже в критических инфраструктурах. Промышленные сети обязаны некоторым своим расширенным связям с неправильными конфигурациями и низкой осведомленностью сотрудников — сотрудники могут непреднамеренно преодолеть воздушные промежутки. Модернизация инфраструктуры также играет важную роль:
В среде ICS есть четыре возможных фактора риска:
- Общее вредоносное ПО, попадающее в промышленную сеть и попадающее на устаревшие компьютеры Windows. Например, недавние эпидемии WansCry и ExPetr ransomware случайно повредили множество промышленных полов по всему миру.
- Целевые атаки, такие как Stuxnet, Havex или Industroyer, вредоносные платформы и цепочки убийств, специально предназначенные для атаки на ICS.
- Мошеннические действия инсайдеров, которые наносят ущерб их промышленным организациям без использования хакерских технологий, только их знания ICS. Это довольно часто случается в нефтегазовом секторе.
- Ошибки программного обеспечения / аппаратного обеспечения ICS и неправильная конфигурация.
Каковы решения?
Первым и важным шагом является повышение осведомленности о кибербезопасности среди работников промышленных напольных покрытий. В большинстве случаев атаки начинаются с этих людей. Обучение кибербезопасности и безопасности является обязательным условием для любой промышленной компании.
С точки зрения технологии важно признать, что обычные решения для ИТ-безопасности не подходят для промышленных сетей. Обычные решения разработаны с высокой долей вероятности ложных срабатываний, значительным потреблением ресурсов и постоянным подключением к Интернету в качестве основного требования. Эти аспекты не вписываются в спецификацию ICS, а это означает, что установка обычной защиты конечных точек в среде ICS может быть действительно опасной — это может привести к нарушению промышленного процесса.
Вот почему так важно использовать только специализированные промышленные решения для кибер-безопасности. К ним относятся упрочнение промышленных оконечных устройств (здесь требуется «белый список приложений») и пассивный мониторинг промышленной сети, который включает в себя промышленный глубокий пакетный контроль (ДОИ), способный обнаруживать аномалии в потоке команд промышленного процесса. Конечно, они должны быть сертифицированы поставщиками промышленной автоматизации — такими компаниями, как Siemens, ABB и Emerson.
