Из-за слабой культуры кибербезопасности промышленные системы управления продолжают оставаться легкими целями для хакеров. Эксперты CyberX подготовили отчет, в котором подсказывают, что здесь происходит не так, и предлагает наилучшие пути для исправления ситуации.
До 40% промышленных объектов имеют хотя бы одно подключение к общедоступному Интернету
Отсутствие подключения критически важных систем остается эффективным способом снижения вероятности атаки. Отсутствие связи с Интернетом означает, что для выполнения необходимых им операций инициаторы атак должны находиться непосредственно на объекте. Однако многие компании не обеспечивают такой изоляции. Более трети промышленных объектов имеют по крайней мере один канал связи с Интернетом. Поисковые инструменты (например, Shodan) упрощают обнаружение устройств, не обладающих надежной защитой и позволяющих атакующим легко вторгаться в промышленные сети. А для того чтобы проникнуть в систему, вполне достаточно и одного канала.
По крайней мере одну беспроводную точку доступа имеют 16% объектов, а у 84% есть хотя бы одно устройство, к которому можно обращаться удаленно. И то, и другое является дополнительной лазейкой для проникновения атакующих.
На 53% объектов установлены устаревшие версии Windows
У промышленных объектов зачастую имеются встроенные системы, обновлять которые достаточно сложно, не говоря уже о том, чтобы сменить установленную там операционную систему. Устаревшие и уже неподдерживаемые версии Windows не содержат исправлений для новых уязвимостей, формирующих в системе безопасности значительные пробелы. Более половины промышленных объектов, мониторинг которых осуществляет CyberX (наиболее широко используемая платформа защиты АСУ ТП и систем Интернета вещей. — Прим. ред.), имеют устаревшие и неподдерживаемые версии Windows.
Поддержка Windows Vista истекла в 2017 году, XP – в 2014-м. Жизненный цикл Windows 8 подошел к концу в 2016 году (у 8.1 еще осталось немного времени), а Windows 7 будет списана со счетов в 2020-м. Хотя компании и могут получить от Microsoft расширенную поддержку, стоит это дорого и представляется всего лишь временным решением.
В 69% сетях промышленных систем используются незашифрованные пароли
Незашифрованные пароли с незапамятных времен считались плохой идеей. Перехватив их, любой желающий может изучить вашу сеть и получить легкий доступ ко всему, что представляет для него интерес, независимо от выстроенных вами прочих оборонительных редутов. К сожалению, это так ничему и не научило сотрудников промышленных предприятий, допускающих все те же простейшие и роковые ошибки. Незашифрованные пароли были обнаружены CyberX в 69% сетей промышленных систем управления.
«Обычно они связаны с унаследованными устройствами, которые не поддерживают современные безопасные протоколы, такие как SNMP v3 или SFTP», – говорится в отчете.
57% объектов не имеют систем антивирусной защиты с автоматическим обновлением сигнатур
В первой половине 2018 года «Лаборатория Касперского» выявила 19 тыс. разновидностей вредоносных программ, относящихся к 2800 различным семействам. С учетом продолжающегося появления все новых и новых вредоносных программ автоматическое обновление сигнатур приобретает все более важную роль в организации антивирусной защиты. Но более половины сетей систем промышленного управления не имеют автоматически обновляемых антивирусных систем, что упрощает задачу атакующим.
Безопасность АСУ ТП стагнирует
Промышленные системы сегодня действительно небезопасны, но еще сильнее беспокоит отсутствие какого-либо прогресса в этой области. «За прошедший год в отрасли мало что изменилось», – говорится в отчете CyberX. Единственное, где по сравнению с прошлогодним исследованием произошли существенные изменения – это уменьшение числа объектов с унаследованными системами Windows. Их доля сократилась с 76% в 2017 году до 53% в 2018-м.
«Здесь предстоит проделать еще очень много работы, – говорится в отчете. – Но следует помнить, что мы пытаемся ликвидировать приблизительно 25-летний разрыв между операционными технологиями и практиками ИТ-безопасности».
Старые операционные протоколы затрудняют мониторинг
Зачастую промышленным системам уже немало лет. Поскольку вносить в них коррективы слишком сложно и дорого, на протяжении многих лет они сохраняются в неизменном виде. Исследование CyberX показало, что чаще всего на промышленных предприятиях используется Modbus, протокол последовательной связи, впервые опубликованный компанией Modicon (ныне Schneider Electric) в 1979 году.
Это создает дополнительные трудности для мониторинга, поскольку традиционные инструменты, проектировавшиеся для корпоративных ИТ-сетей, не видят протоколов наподобие Modbus TCP, а значит, организации не знают, что делается в их сети. Опрос, проведенный «Лабораторией Касперского», показал, что у почти половины предприятий нет инструментов для выявления атак на их устройства промышленных систем управления.
Шесть первоочередных шагов по повышению защищенности промышленных систем
Выделите наиболее важные процессы. Подумайте, сбой каких процессов несет в себе наибольшую угрозу для предприятия и сконцентрируйтесь в первую очередь на обеспечении их безопасности.
Составьте схему своей сети. Для правильной защиты вам нужно знать, что вы защищаете. Соберите информацию обо всех компонентах промышленной системы управления (модель, тип, операционная система, версия прошивки и т.д.), об их соединениях, о перемещении информации в сети и о том, как осуществляется внутреннее и внешнее подключение к этим компонентам.
Найдите маршруты, с наибольшей вероятностью подверженные атаке. Тестирование на проникновение и моделирование угроз способны помочь определить вероятные способы проникновения злоумышленников в сеть и компрометации устройств. Эта информация может быть использована для реализации мер по смягчению последствий и тщательного мониторинга непосредственно на месте.
Составьте и соблюдайте правила кибергигиены. Сократите число соединений с Интернетом, введите двухфакторную аутентификацию, не используйте незашифрованные пароли, регулярно устанавливайте обновления и не позволяйте неавторизованным внешним устройствам подключаться к сети промышленной системы управления.
Установите расписание управляемого обновления ОС. Обновление промышленных систем представляет собой нелегкую, но очень важную задачу, решение которой позволит сузить простор для атак. Планируйте и устанавливайте обновления таким образом, чтобы ваша команда могла справиться с этим. Отделяйте все системы, не поддающиеся замене или обновлению, и внимательно следите за ними.
Устраните разобщенность между операционными и информационными технологиями. Вовлекайте операционный персонал в работу центра управления безопасностью (security operations center, SOC) и позвольте специалистам по ИТ-безопасности участвовать в деятельности операционных подразделений, обмениваясь знаниями и опытом и формируя лучшее понимание уникальных требований к безопасности подобных систем.