вернуться назад
Информационная безопасность
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Решения для сервис-провайдеров
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Коммуникационное ПО (UC)
Корпоративные почтовые системы
Синхронизация и совместное использование корпоративных файлов (EFSS)
Управление бизнес-процессами (BPM)
Смотреть все решения
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Резервное копирование и восстановление данных (EBRS)
Смотреть все решения
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Моноблоки
Неттопы
Ноутбуки
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Многофункциональные межсетевые экраны следующего поколения (NGFW)
Системы обнаружения и предотвращения вторжений (IPS/IDS)
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Смотреть все решения
Защита веб-приложений (WAF)
Смотреть все решения
Юридически значимый электронный документооборот (EDI)
Смотреть все решения
Аутентификация пользователей (UA)
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Модули доверенной загрузки (TPM)
Управление привилегированными учётными записями (PAM)
Смотреть все решения
Антидрон
Смотреть все решения
Контакты Axoft Online b2b Производители
Решения
Информационная безопасность
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Решения для сервис-провайдеров
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
Акция Axoft Kombat
Соц.сети
вернуться назад
Бизнес-продуктивность
Коммуникационное ПО (UC)
Корпоративные почтовые системы
Синхронизация и совместное использование корпоративных файлов (EFSS)
Управление бизнес-процессами (BPM)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита данных
Резервное копирование и восстановление данных (EBRS)
Смотреть все решения
Защита сетевой инфраструктуры
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Комплексная защита от продвинутых угроз
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Управление данными
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Управление доступом и защита конечных устройств
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Моноблоки
Неттопы
Ноутбуки
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита данных
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
Защита сетевой инфраструктуры
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Многофункциональные межсетевые экраны следующего поколения (NGFW)
Системы обнаружения и предотвращения вторжений (IPS/IDS)
Смотреть все решения
Комплексная защита от продвинутых угроз
Киберразведка и оценка эффективности киберзащиты (TIP)
Смотреть все решения
Разработка, эксплуатация и защита приложений (DevSecOps)
Защита веб-приложений (WAF)
Смотреть все решения
Управление данными
Юридически значимый электронный документооборот (EDI)
Смотреть все решения
Управление доступом и защита конечных устройств
Аутентификация пользователей (UA)
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Модули доверенной загрузки (TPM)
Управление привилегированными учётными записями (PAM)
Смотреть все решения
Физическая безопасность
Антидрон
Смотреть все решения
8 800 200-52-15
Обратная связь
Стать партнером
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
  • Software
  • Информационная безопасность
  • Инфраструктура
  • Облачные сервисы
  • Решения для сервис-провайдеров
  • Решения для сервис-провайдеров
  • XaaS
  • Бизнес-продуктивность
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
  • Смотреть все
  • Hardware
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
  • Защита данных
  • Смотреть все
Акция Axoft Kombat
Защитим АСУ ТП, не дожидаясь «перитонита»
Все статьи блога
13 апреля 2023
1220

Защитим АСУ ТП, не дожидаясь «перитонита»

Каждая из незакрытых уязвимостей в ИТ-инфраструктуре управления производством может обернуться отключенной турбиной, нарушенным технологическим процессом, остановкой отгрузки нефти на танкер, испорченной партией продукции.

Прошлый год запомнился беспрецедентным количеством кибератак на ИТ-инфраструктуру крупных компаний и объекты КИИ. По данным исследования «Лаборатории Касперского», во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39%). По сравнению с первой половиной года показатель вырос на 9% – это наиболее значительное изменение среди исследованных регионов.

Всего за 2022 г., как отмечается в отчете Positive Technologies, в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, что на 7% больше, чем в 2021 г., а продажа доступа к промышленным предприятиям в дарквебе выросла на 40%. 87% успешных атак были направлены на компьютеры, серверы и сетевое оборудование. В 44% случаев злоумышленники проводили атаки на персонал промышленных компаний с помощью вредоносных рассылок по электронной почте (94%) и фишинговых сайтов (10%).

И в этом году хактивисты останавливаться не намерены. Многие эксперты прогнозируют усиление внимания злоумышленников к реальному сектору экономики и критической инфраструктуре. Поэтому в нынешние времена главный вопрос не в том, взломают вашу систему или нет, а в том, когда это случится.

Угроза, откуда не ждали

Как правило, при целенаправленных атаках с момента первой разведки до выполнения целей взлома могут пройти месяцы. Поэтому есть все шансы обнаружить и заблокировать угрозу на начальном этапе. Для этого нужно знать потенциально слабые места в инфраструктуре.
Стандартная архитектура АСУ ТП имеет три основных уровня:

  • Исполнительные устройства — манометры, заслонки, арматура, датчики и пр. Атака на этот уровень чревата риском выхода из строя или некорректной работы устройств.
  • Контроллеры – уровень взаимодействия «железа», отвечает за технический процесс и его безопасность. С этим уровнем связаны риски остановки, подмены программы, изменения уставок (значений, на базе которых выполняется тот или иной алгоритм в контроллере)
  • SCADA – уровень, на котором обслуживающий персонал управляет технологическим процессом. Здесь задаются уставки, происходит архивация данных, операторы уведомляются о критичных ситуациях на производстве. На этом уровне актуальны риски подмены реальных данных, выгрузки базы, изменения уставок или получения контроля над техпроцессом.

На крупных предприятиях добавляются уровни, которые позволяют наиболее эффективно работать с данными и анализировать их, а также оптимизировать как производственные, так и бизнес-процессы: MES, ERP, BPM.

Как правило, доступ к интернету появляется на уровне SCADA. Его используют для почты, подключения удаленных клиентов (сервисного обслуживания) или для личных нужд сотрудников. В редких случаях можно найти контроллеры с прямым доступом во Всемирную паутину. Так, по данным поисковика по интернету вещей Shodan, 502-й порт, стандартный для Modbus TCP, на момент написания статьи был доступен у 673 устройств. Кроме того, сотрудники часто подключаются к сети в обход общей. Кстати, «раздавать интернет» сейчас возможно даже с кнопочного телефона.Что уж говорить о постоянном использовании USB-устройств, предназначенных для передачи данных? Занести через них зловред на уровень АСУ ТП, даже через закрытый периметр, без ведома владельца не составит труда.

По моему опыту, уязвимости разной критичности и сложности могут встречаться в контроллерах, OPC-серверах и SCADA-системах. Последствия их использования тоже могут быть разными: начиная от сброса системы аутентификации с помощью очистки .txt файла или перегрузки журнала подключений до изменения пароля администратора через SQL-инъекцию.

Некоторые уязвимости закрывают, но меняются технологии, инфраструктура, и через некоторое время они обнаруживаются вновь. Например, уязвимость kb5004442((CVE-2021-26414)) непосредственно связана с DCOM (Distributed Component Object Model). Данная технология была слабо защищенной в 2003 г., ее обновили, усилили и использовали вплоть до сегодняшнего дня. Недавно в ней нашли новую «дыру».

CISA, ATT&CK, «Лаборатория Касперского» и Positive Technologies ежегодно публикуют множество новостей о выявленных и закрытых вендорами уязвимостях, которые без постоянной установки обновлений компаниями могут быть использованы злоумышленниками для проникновения в систему. По данным CVE, в Windows XP SP 3 выявлено около 445 уязвимостей, а в Windows 7 – более 1000. И это только те, которые опубликованы официально и для которых разработчики в каком-либо из обновлений создали «противоядие». Помимо устаревающих операционных систем существуют слабые места, связанные с технологиями. К примеру, на сайте CISA опубликовано более 2000 уязвимостей для промышленного оборудования, около 500 из них связано с технологиями Siemens, 40 – с технологией OPC.

Безусловно, многие из них в более свежих прошивках или версиях софта и «железа» уже устранены. Но будем честны, когда вы в последний раз загружали обновление на все контроллеры или пересобирали проект?

Чем защищаться?

На промышленных предприятиях внедрение систем автоматизации занимает в среднем от трех до пяти лет, а согласование каких-либо изменений может длиться месяцами. Поэтому проекты, которые были начаты, к примеру, год назад, уже не могут быть полностью выполнены из-за отсутствия поставок. В результате складывается ситуация, когда предприятия даже при желании не имеют возможности развернуть последние обновления, что дает злоумышленникам отличный шанс для осуществления как простых, так и сложных целенаправленных атак. И если система безопасности ранее только номинальную выполняла свою функцию, то сейчас стоит задуматься о реальной защите, так как количество эксплойтов для каждой уязвимости ежедневно растет.

Приведу пример: одним из слабых мест у больших компаний является доступ к базе данных («Хисториан»), который зачастую открыт для передачи информации в сторонние сети. Попав в периметр предприятия, злоумышленник начинает сканировать сеть или загружать нелегитимный софт для закрепления на этом узле и дальнейшего развития атаки. Сканируя сеть с узла «Хисториан», можно узнать, какие порты преимущественно открыты, какие драйверы или OPC-серверы используются, а следовательно, понять, какое оборудование установлено. При отсутствии эшелонированной защиты или постоянного мониторинга такие действия могут оставаться незамеченными долгое время. Обладая подобными данными и точкой входа, хакеру в дальнейшем не составит труда вмешаться в критически важный процесс.

Для устранения этих угроз компании стремятся уделять больше внимания защите промышленного периметра. На отечественном рынке присутствуют несколько разработчиков, специализирующихся в том числе на защите объектов КИИ. Комплексные решения, которые включают обеспечение безопасности сети, периметра, конечных узлов с возможностью агрегации и анализа информации в едином центре ИБ-мониторинга (SOC), не позволяют злоумышленникам проникнуть в инфраструктуру незамеченными.

Среди существующих систем для защиты АСУ ТП можно выделить:

  • InfoWatch ARMA. Система сегментирует промышленную сеть с возможностью настроить отправку команд и данных из одного сегмента в другой. Также осуществляет мониторинг трафика и разграничение прав. Позволяет надежно закрыть периметр производственного процесса и отследить все, что происходит внутри, – как сетевые взаимодействия, так и события на конечных узлах.
  • Kaspersky Industrial CyberSecurity. Защищает всю сеть предприятия, включая конечные устройства, отслеживает сетевые взаимодействия, а также целостность проектов, загруженных непосредственно в контроллер. Интеграция с Kaspersky Unified Monitoring and Analysis Platform позволяет передавать ИБ-инженеру полную информацию о текущем статусе защищенности.
  • PT Industrial Cybersecurity Suite – комплексная платформа для своевременного выявления киберугроз и реагирования на инциденты в промышленных системах. За счет комбинации ключевых продуктов Positive Technologies: MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агентов PT XDR платформа обнаруживает атаки на сетевом, системном и прикладном уровнях промышленных систем и автоматизирует реагирование на инциденты ИБ.

В рамках одного проекта можно создавать комбинированные решения, включающие сильные стороны продуктов каждого разработчика. У нас есть опыт реализации проектов тестирования совместимости решений на базе продуктов KICS for Node, KICS for Network и UserGate NGFW. Тестирование продемонстрировало жизнеспособность и целостность такого подхода, который дал возможность обеспечить полную защиту сети и конечных узлов, а также настроить эшелонированную защиту.

Типовая архитектура с наложенными средствами защиты АСУ ТП (комбинированное решение)

Кроме того, мы регулярно тестируем совместимость различных систем в виртуальном пространстве «Демосфера». Это позволяет подобрать рабочую конфигурацию для решения конкретных задач бизнеса и в дальнейшем предоставить заказчику настроенную систему, отвечающую всем его требованиям.

Автор статьи: Алексей Падчин, технический специалист, Axoft

Источник: vc.ru

Поделиться

Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания. Подробнее