7 октября 2019 г.
За первые шесть месяцев 2019 года решения «Лаборатории Касперского» заблокировали вредоносную активность почти на половине (41,2%) компьютеров в технологических сетях предприятий в разных странах мира. При этом в России этот показатель оказался выше общемирового и составил 44,8%.
Одной из наиболее атакуемых отраслей оказалась энергетика — продукты «Лаборатории Касперского» заблокировали вредоносную активность на 41,6% компьютеров систем автоматизации предприятий этого сектора. В России этот показатель составил 58,1%.
Подавляющее большинство зафиксированных угроз не были разработаны специально для системы автоматизации объектов энергетики. Тем не менее, как показывает практический опыт и исследования экспертов Kaspersky ICS CERT, многие типы заблокированного вредоносного ПО, даже если их влияние на работу IT-систем незначительно, могут вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура. Так, майнеры (заблокированы на 2,9% компьютеров АСУ), относительно безвредные в офисной сети, в процессе своей работы и распространения могут приводить к отказу в обслуживании некоторых компонентов АСУ ТП.
Вредоносные черви (заблокированы на 7,1% компьютеров АСУ), представляют большую опасность для IT-систем, но последствия их действий в технологической сети могут быть гораздо более значительными. Например, заблокированный на многих компьютерах АСУ в энергетике Syswin самостоятельно распространяется через сетевые папки и съёмные носители, уничтожая данные на заражённом устройстве. В ряде случаев это способно не только вызвать отказ в обслуживании систем мониторинга и телеуправления, но и привести к аварийной ситуации.
На 3,7% компьютеров АСУ были заблокированы многофункциональные программы-шпионы — как правило, они способны не только похищать конфиденциальную информацию, загружать и выполнять другое вредоносное ПО, но и предоставлять злоумышленникам возможность несанкционированного удалённого управления заражённым устройством. На многих компьютерах в энергетике был зафиксирован опасный троянец-шпион AgentTesla, который часто используется во вредоносных кампаниях, в том числе нацеленных на предприятия интересующих злоумышленников индустрий.
Помимо этого, продукты «Лаборатории Касперского» неоднократно блокировали, возможно, ещё более опасное ПО — бэкдор Meterpreter, который обладает обширными возможностями организации скрытного удалённого сбора данных и управления. Этим инструментом пользуются эксперты при проведении тестов на проникновение и многие злоумышленники при реализации целенаправленных атак. Meterpreter не оставляет следов на жёстком диске, из-за чего атака может оставаться незамеченной, если компьютер не защищён современным защитным решением.
Разумеется, энергетический сектор оказался отнюдь не единственным, столкнувшимся с большим количеством киберугроз. Эксперты Kaspersky ICS CERT также зафиксировали высокий уровень вредоносной активности и во многих других отраслях, среди которых неожиданно оказались автомобилестроение и автоматизация зданий — здесь решения «Лаборатории Касперского» заблокировали вредоносную активность на 39,3% и 37,8% компьютеров АСУ соответственно.
«Технологии получения и анализа данных телеметрии для систем промышленной автоматизации — это важный инструмент, позволяющий нам определять угрозы, актуальные именно для таких систем. Он даёт возможность обнаруживать специфичные проблемы безопасности АСУ, анализировать возможные пути развития киберугроз и разрабатывать технологии их предотвращения. Полученным опытом, знаниями и экспертизой мы делимся с сообществом исследователей, разработчиков средств защиты и практиков информационной безопасности. Эта информация доступна как в форме специализированных отчётов, полезных для стратегического и тактического планирования дальнейших действий по защите предприятия, так и виде потока постоянно обновляемых индикаторов компрометации для оперативного обнаружения всех тех угроз, которые заблокировали наши продукты на компьютерах АСУ ТП по всему миру», — отметил Кирилл Круглов, ведущий исследователь угроз Kaspersky ICS CERT.
Для того чтобы снизить риск заражения технологической сети предприятия, эксперты Kaspersky ICS CERT рекомендуют реализовать следующий минимальный комплекс эффективных мер:
- отслеживать информацию о появлении новых уязвимостей в информационных системах, используемых внутри АСУ ТП, наладить процесс её своевременной оценки, приоритезации и планирования работ по закрытию наиболее критичных для предприятия уязвимостей;
- наладить процесс получения и анализа данных об угрозах, актуальных для вашего предприятия и его информационных систем с учётом региональной, отраслевой, технологической и бизнес-специфики; при возможности наладить обмен такой информацией с другими организациями внутри отрасли, государственными регуляторами и поставщиками средств защиты — это не только вопрос организации взаимопомощи, но и возможность своевременного обнаружения целенаправленной атаки или масштабного заражения и предотвращения многих из их последствий;
- настроить ограничения сетевого трафика по используемым портам и протоколам между сетью организации и внешним миром, а также между технологической и офисной сетью и внутри этих сетей — между их сегментами; постоянно проверять и пересматривать эти настройки при получении новой информации об уязвимостях АСУ и потенциальных угрозах;
- организовать максимально возможные разграничения доступа к компонентам АСУ ТП в промышленной сети предприятия и на её границах; проводить регулярный их аудит и пересмотр;
- проводить обучение по информационной безопасности и применять положения политик ИБ — как к собственным сотрудникам, так и сотрудникам партнёров, поставщиков и смежников, имеющих доступ к сети предприятия;
- выставлять требования по ИБ, актуальные для АСУ предприятия, к продуктам, которые планируется внедрять; проводить самостоятельно, организовывать или требовать выполнения независимой оценки состояния ИБ и прохождения аттестации/ сертификации этих продуктов;
- организовать процесс сбора и анализа информации об инцидентах ИБ на предприятии, обязательно всесторонне анализировать инциденты в технологическом контуре с привлечением экспертов ИБ, чтобы учесть возможность, что причиной инцидента могло стать случайное заражение или сложная кибератака, даже если первоначально кажется, что такая вероятность крайне мала;
- внедрять специализированные решения для защиты конечных устройств на серверах АСУ ТП и рабочих станциях, чтобы защититься от случайных кибератак;
- использовать решения для мониторинга сетевого трафика, анализа аномалий и обнаружения сложных угроз для лучшей защиты от целевых атак, неосторожных действий сотрудников или подрядчиков и действий возможных инсайдеров.
Источник: Пресс-служба компании «Лаборатория Касперского»