16+
Регистрация
РУС ENG
http://www.eprussia.ru/epr/419-420/1639092.htm
Газета "Энергетика и промышленность России" | № 15-16 (419-420) август 2021 года

Исследование InfoWatch ARMA: в России более 4000 устройств АСУ ТП уязвимы для удаленных атак

Благодаря исследованию с использованием поисковиков Shodan, Censys и Google было определено количество систем автоматизации, доступных из сети Интернет. В результате удалось найти более 4 тысяч подобных систем. Доступ к АСУ ТП из сетей общего пользования критичен для безопасности систем автоматизации.

Исследование проводилось с целью определения количества и типов устройств АСУ ТП, используемых на российских предприятиях, к которым существует потенциальный внешний доступ. Уязвимости систем позволяют сделать вывод, что с высокой вероятностью, в ходе подготовленной кибератаки они станут источником проникновения и получения контроля над промышленной сетью.

Чтобы не наносить ущерб промышленным предприятиям, сбор данных осуществлялся только пассивным методом через доступную в поисковых системах информацию. Эксперты обнаружили 4 245 открытых в сети Интернет устройств АСУ ТП. «Ловушки» (honeypot) отфильтровывались по типовым данным, используемым в известных проектах. Из выявленных устройств 2000 – это открытое коммутационное оборудование, на 500 не настроена авторизация, а более 700 имеют критические уязвимости.

Эксперты InfoWatch ARMA, силами которых проводилось исследование, сотрудничают с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), что позволило оповестить уязвимые субъекты КИИ о результатах исследования, а имеющиеся на текущий момент уязвимости устранить. Более того, каждое предприятие может обратиться за консультацией по самостоятельной проверке и устранению уязвимостей, для этого эксперты InfoWatch ARMA подготовили Инструкцию для самостоятельного анализа.


Подробная аналитика по киберугрозам и рекомендации по обеспечению кибербезопасности АСУ ТП ― в материале InfoWatch ARMA.


География: 1/2 доступных для кибератак промышленных устройств расположены в столичных регионах

Больше всего устройств, местоположение которых возможно определить, используются на предприятиях в Москве и Московской области – 1348 устройств, что составляет 32% из числа обнаруженных. На втором месте стоит Санкт-Петербург – 626 устройств, на которые приходится 15% из общего количества. Третье место занимает Новосибирск — 172 устройства, что составляет 4%.


Рисунок 1. Города РФ с количеством доступных из сети Интернет АСУ ТП, шт.

Рисунок 1. Города РФ с количеством доступных из сети Интернет АСУ ТП, шт.


Более 40% устройств из обнаруженных являются сетевым оборудованием.


Рисунок 2. Распределение по вендорам оборудования, в %

Рисунок 2. Распределение по вендорам оборудования, в %


Промышленные протоколы – прямой путь к получению контроля над АСУ ТП

Значительная часть сервисов, к которым можно получить доступ имеют сетевые сервисы для обработки промышленных протоколов.


Рисунок 3. Распределение по вендорам проприетарных протоколов, количество в %

Рисунок 3. Распределение по вендорам проприетарных протоколов, количество в %


Используя известные уязвимости коммуникационных протоколов, можно осуществить подключение, проникнуть в технологическую сеть и устроить, например, DoS-атаки на оборудование. Возможности, которые этот путь открывает для киберпреступников, – остановка работы АСУ ТП, нарушение технологических процессов и даже аварии на промышленном объекте.


Через открытые веб-интерфейсы – к промышленным маршрутизаторам АСУ ТП

Исследование показало массу устройств с различными уязвимостями высокой критичности, например, такие как RomPager устаревшей версии, которая была обнаружена на 40% найденных веб-сервисов. Уязвимость RomPager достаточно старая и даже нашумевшая, но с учетом длинного жизненного цикла АСУ ТП, до сих пор встречается. Как правило, RomPager по умолчанию применяется в прошивках роутеров Allegro, которые могут устанавливаться на уровне SCADA. При подключении к промышленному роутеру злоумышленник может в итоге получить контроль над промышленной сетью.


Доступ к устройствам АСУ ТП без аутентификации

Самым критичным для доступа извне может быть доступ к сетевым устройствам. Всего обнаружено 2296 устройств, из которых к 25% можно получить доступ из сети Интернет без аутентификации.


Рисунок 4. Количество сетевых устройств без аутентификации

Рисунок 4. Количество сетевых устройств без аутентификации, шт.


Почему столько устройств АСУ ТП доступны из сети Интернет?

Как правило, так проявляется человеческий фактор: ошибки персонала или его нежелание следовать регламентам и требованиям безопасности. Стоит учесть, что среди обнаруженных устройств еще могли остаться качественно подготовленные «ловушки» (honeypot). Для реальных предприятий ситуация усугубляется отсутствием комплексных систем защиты на предприятиях. Из-за этого злоумышленник после проникновения может долгое время оставаться незамеченным в Сети и получить полный контроль над системой в случае доступа к ней.

На многих предприятиях отсутствует выстроенная система управления информационной безопасностью (СУИБ) и данные устройства остаются долгое время незамеченными. Доступ в сеть мог остаться после инженерных работ, несанкционированного создания удаленного канала связи (например, оператором на производстве) или отсутствием согласования со службой ИБ.


Как защитить АСУ ТП от возможного доступа извне

Во-первых, необходимо иметь инструменты для контроля инфраструктуры и/или проводить аудиты безопасности информации. Хорошим решением будет установка средств защиты, которые имеют функцию инвентаризации сетевых устройств.

Во-вторых, необходимо использовать программное обеспечение для блокировки устройств удаленного доступа на рабочих станциях. На объектах распространена ситуация, когда операторы используют USB-модемы для обеспечения собственного доступа в Интернет. Необходимо запретить использование подобных устройств и журналировать попытки.

В-третьих, необходимо настроить системы обнаружения вторжений на выявление обмена с внешними сетями связи.

И, наконец, необходимо иметь комплексную систему защиты информации, которая позволит предотвращать потенциальные атаки извне, даже при наличии у злоумышленников доступа.

Игорь Душа, технический директор InfoWatch ARMA«Эти рекомендации помогут выявить и предотвратить попытки несанкиционированного доступа в сеть Интернет, - комментирует Игорь Душа, технический директор InfoWatch ARMA. – Мы выявляем наиболее остро стоящие задачи специалистов по ИБ и стараемся предоставить удобные инструменты для их обнаружения. В частности, все перечисленные задачи можно выполнить при помощи комплекса решений InfoWatch ARMA».


Автоматизация в энергетике, Информационные технологии, Информационная безопасность,

Исследование InfoWatch ARMA: в России более 4000 устройств АСУ ТП уязвимы для удаленных атакКод PHP" data-description="Благодаря исследованию с использованием поисковиков Shodan, Censys и Google было определено количество систем автоматизации, доступных из сети Интернет. В результате удалось найти более 4 тысяч подобных систем. Доступ к АСУ ТП из сетей общего пользования критичен для безопасности систем автоматизации.<br /> " data-url="https://www.eprussia.ru/epr/419-420/1639092.htm"" data-image="https://www.eprussia.ru/upload/iblock/6bc/6bcaab75f9e33ec3fe999c957cbc5339.jpg" >

Отправить на Email


Похожие Свежие Популярные

Войти или Зарегистрироваться, чтобы оставить комментарий.