И, хотя эта взаимосвязь повышает эффективность и скорость производства, она подвергает ICS угрозам, которые уже десятилетиями поражают ИТ-сети. Что это за угрозы и как им противостоять?
Чтобы выяснить состояние безопасности ICS и изучить актуальные для промышленных систем угрозы, в компании Trend Micro проанализировали несколько десятков предприятий по всему миру и выявили конкретные семейства вредоносных программ
на конечных точках промышленных информационно-операционных комплексов.
По типу вредоносного ПО, которое злоумышленники используют в конкретных инцидентах, можно составить представление о масштабах и серьезности кибератак, выяснить мотивацию и квалификацию преступников, а также уровень развития кибербезопасности в пострадавшей сети:
использование вымогательского ПО или майнеров криптовалюты означает финансовую мотивацию;
вайперы или другие разрушительные вредоносные программы предполагают саботаж;
экдоры или программы для кражи информации — признак шпионажа;
использование специализированных вредоносных программ собственной разработки свидетельствует о высокой технической квалификации или понимании атакуемой среды, в то время как применение готовых вредоносных наборов – о любительских навыках, хотя это не всегда так.
Вредоносное ПО, обнаруженное в системе, может дать представление о пораженной сети и кибергигиене компании в целом. Очевидно, что присутствие вредоносных программ говорит о ненадлежащей практике. Например, варианты вредоносного ПО, использующие определенные уязвимости, не могут распространяться, если все устройства в сети обновлены. С другой стороны, вирусы, заражающие файлы, указывают на то, что предыдущие инфекции не были полностью уничтожены и вирусы были обнаружены на непроверенных устройствах.
Выявив и классифицировав семейства вредоносного ПО, обнаруженные в ICS в 2020 году, мы получили представление об общем уровне безопасности промышленных систем управления, находящихся в ИТ/OT-средах, и о том, что делают злоумышленники после их компрометации.
Основные результаты
1. Вымогательское ПО остается актуальной и быстро развивающейся угрозой для промышленных систем управления во всем мире. Больше всего от таких атак в 2020 году пострадали предприятия США. Второе место поделили Индия, Тайвань и Испания.
Зафиксированные случаи атак вымогательского ПО на промышленные предприятия в 2020 году по странам. Источник (здесь и далее): Trend Micro
2. Майнеры проникают в инфраструктуру ICS в основном через необновленные операционные системы. Поскольку конечные точки ICS все еще уязвимы к эксплойту EternalBlue, в ряде стран, особенно в Индии, широко распространены майнеры криптовалюты, распространяемые через инструменты Equation Group с использованием этой уязвимости.
3. Conficker все еще распространяется на конечных точках ICS, работающих под управлением более новых операционных систем, включая Windows 10. Разновидности Conficker с дополнительной функцией перебора администраторских ресурсов (ADMIN$) могут заражать эти точки, даже если на них установлена ОС, неуязвимая к MS08-067 (Conficker использует эту уязвимость службы Windows Server в качестве основного вектора атаки).
Распределение заражений Conficker по операционным системам
4. В промышленных сетях IT/OT продолжает жить и размножаться устаревшее вредоносное ПО. Даже такие древние черви, как Autorun, Gamarue и Palevo, которые распространяются через съемные диски, все еще обнаруживаются на конечных устройствах ICS. Несмотря на то, что такие вредоносы встречаются менее чем в 2% организаций, там, где они обнаружены, в сети, как правило, присутствует нескольких зараженных конечных точек.
Устаревшее вредоносное ПО, обнаруженное в инфраструктуре предприятий
5. Виды вредоносного ПО, обнаруженного на конечных точках ICS, различаются от страны к стране. Наименьшее относительное количество таких заражений зафиксировано в Японии, в то время как в Китае их больше всего среди десяти ведущих по количеству заражений ICS стран. Так, в США было выявлено наибольшее число заражений вымогательскими программами, а в Индии — криптовалютными майнерами.
Топ-10 стран с зафиксированными случаями заражения промышленных систем вредоносным ПО
Рекомендации
Чтобы предприятие не стало жертвой очередной хакерской команды, мы советуем выполнить ряд мероприятий по защите конечных точек ICS.
Своевременно устанавливайте обновления безопасности. Хотя это утомительный процесс, он необходим для предотвращения компрометации. Наглядная иллюстрация — уязвимость Eternal Blue, которую сначала использовали лишь продвинутые группировки, а затем она стала стандартным инструментом хак-группы Equation, распространяющей майнеры криптовалюты. Каждый очередной эксплойт быстро превращается в кибероружие, внедряясь в сценарии действий злоумышленников. Именно поэтому установку «заплаток» критически важно производить как можно быстрее.
Внедрите микросегментацию в сети или используйте технологию виртуальных заплат. Если установка исправлений невозможна, микросегментация повысит безопасность, ограничивая доступ к сети и коммуникациям только необходимыми устройствами.
Ограничьте доступ к общим сетевым ресурсам и применяйте надежные комбинации имен пользователей и паролей. Это может предотвратить несанкционированный доступ путем перебора учетных данных.
Внедрите системы обнаружения и предотвращения вторжений (IDS/IPS). Эти инструменты могут отмечать возможные сетевые аномалии, обнаруживать вредоносный трафик и помогать в наблюдении за устройствами. А кроме того, позволяют составить профиль связи между устройствами, определить базовый уровень сетевого трафика и устранить вредоносные действия в сети. Наличие базовой линии трафика и профиля связи между устройствами облегчает последующее выявление аномалий сетевого трафика.
Установите антивирусные решения. Они помогут в борьбе с устаревшими червями и вирусами, которые способны оставаться в спящем состоянии на съемных дисках даже в изолированных сетях. Для конечных точек ICS, на которых не установлено защитное ПО или они не могут быть обновлены из-за отсутствия подключения к Интернету, используйте автономные средства сканирования на наличие вредоносных программ.
Установите киоски сканирования USB — специализированные компьютеры для проверки на вирусы съемных дисков, используемых для передачи данных между конечными точками в изолированных сетях.
Применяйте принцип наименьших привилегий. Администраторы и операторы сетей ОТ должны понимать, что управление промышленной системой совершенно не требует прав администратора компьютера, на котором работает управляющий модуль этой системы. Внедрите принцип наименьших привилегий на ICS, чтобы оператору разрешалось использовать систему, но только администратор мог устанавливать ПО или менять настройки системы на конечном устройстве.
Учитывайте региональные различия в осведомленности о средствах безопасности и их внедрении. Это особенно важно для многонациональных компаний, которые могут иметь объекты, партнеров или дочерние компании в разных точках мира. В идеале необходимо обеспечить одинаковый уровень безопасности во всех филиалах географически распределенной компании.
Проводите аудит систем даже с низким уровнем риска. Условно вредоносное ПО (Grayware) может создавать ненужный трафик, способный помешать работе ICS.
Используйте списки разрешенных приложений. Для определенных ICS, выполняющих конкретные функции, внедрение такого списка не позволит запуститься никаким посторонним процессам, в том числе вымогательскому ПО.
Проводите реагирование на инциденты и проверку сети, используя индикаторы компрометации. Операторы вымогательского ПО после проникновения используют разнообразные инструменты и скомпрометированные учетные записи для доступа к ресурсам и перемещения по сети. Проводя комплексное реагирование на инцидент, команды безопасности могут определить масштабы вторжения и слабые места в системе ИБ, которые были использованы преступниками, а затем разработать надежную стратегию на основе этого инцидента.
Ознакомиться с полным текстом документа “2020 Report on Threats Affecting ICS Endpoints”, основные выводы которого мы изложили выше, можно на сайте Trend Micro.
Смотреть все статьи по теме “Информационная безопасность”