Промышленные системы управления в опасности: как так вышло, и что теперь делать

Промышленные системы управления в опасности: как так вышло, и что теперь делать

Эксперты Check Point Software Technologies рассказывает о том, почему промышленные ОТ-системы все чаще становятся целью для атак хакеров, и как их предотвратить

В июне 2020 года Honda была вынуждена закрыть два автомобильных завода из-за атаки программы-вымогателя. Компания немедленно сообщила общественности, что утечки персональных данных клиентов, паролей и платежной информации не было. Однако это заявление едва ли сгладило финансовые и репутационные потери.

Заголовки СМИ пестрят новостями о последних атаках и пострадавших от них. Громких случаев уже было так много, что сейчас они не кажутся чем-то особенным. Но атака на Honda — это тревожный звоночек, который указывает на появление новой опасной тенденции. Если раньше хакеры были нацелены прежде всего на ИТ-инфраструктуру, а уже затем постепенно захватывали операционные технологии (ОТ) и промышленные системы управления (АСУ ТП), то сейчас злоумышленники все чаще атакуют непосредственно ОТ.

Почему хакеры нацелены на ОТ?

Долгое время ОТ-системы не были подключены к Интернету и оставались в относительной безопасности от внешних угроз. Но сейчас рынок промышленного Интернета вещей (IIoT) растет все стремительнее, и в транспортной, нефтегазовой, производственной, энергетической и коммунальной сферах стало появляться все больше подключенных компонентов.

Налаженная связь между ОТ-устройствами и системами позволяет эффективнее контролировать важнейшие производственные процессы и обеспечивать бесперебойную работу оборудования. Но чем сильнее связаны системы на производстве и объектах критической инфраструктуры, тем выше вероятность того, что кибератаки вызовут серьезный сбой в их работе и приостановят производственный процесс. К тому же, ОТ-системы зачастую защищены гораздо слабее ИТ-систем, поскольку большинство традиционных решений безопасности не распространяются на промышленные системы управления.

Причины уязвимости ОТ-устройств

Устройства операционных технологий — это, по сути, электронные инструменты, необходимые для управления, мониторинга и обслуживания оборудования, систем и процессов. Эта технология развивалась параллельно с основными ИТ, хоть и в отрыве от них, поскольку возникла непосредственно в ответ на потребности промышленного сектора.

ОТ в промышленности — это различные датчики, исполнительные механизмы, роботы и программируемые логические контроллеры. Изначально поставщики промышленного оборудования разрабатывали эти устройства как простых «работяг» без встроенных вычислительных средств для оптимизации производственных процессов. В те времена не было смысла задумываться о защите, политиках безопасности и системном администрировании: эти устройства не были подключены к Интернету, а следовательно, их нельзя было взломать.

В наши дни суть операционных технологий кардинально поменялась. Все больше производителей видят преимущества подключения ОТ-устройств, которые позволяют эффективнее контролировать и оптимизировать процессы, проводить более глубокий анализ данных и оперативнее получать уведомления при возникновении сбоев в работе.

История создания и эволюции ОТ-устройств помогает понять причины их уязвимости:

  • Типичная промышленная сеть включает в себя устройства нескольких производителей, которые могут быть несовместимы друг с другом.

  • Эти устройства создаются со слабыми или жестко закодированными паролями.

  • Их программное обеспечение часто невозможно обновить или исправить. Проблема может быть в том, что многие ОТ-устройства не могут долгое время находиться в автономном режиме для установки обновлений.

  • ИТ-специалистам не дают полную информацию о том, какие ОТ-устройства установлены на предприятии.

Последний пункт, пожалуй, основной. В большинстве компаний за безопасность отвечает ИТ-отдел, однако ОТ-устройства выпадают из комплексной системы, снижают уровень безопасности и усложняют работу ИТ-специалистам, которые не знают, что с ними делать. Подключенные к Интернету ОТ-устройства становятся слабым звеном в цепи безопасности и подвергают риску всю компанию.

Как только хакеры оказываются внутри организации, перед ними встает выбор: остаться на уровне ОТ или перейти к ИТ и критически важной инфраструктуре компании. Через корпоративную сеть злоумышленники могут выкрасть интеллектуальную собственность и другие защищенные данные, начать контролировать внутренний сетевой трафик, перехватывать конфиденциальную информацию и сведения, составляющие коммерческую тайну, а также получить доступ к важнейшим производственным операциям и инфраструктуре.

Необходимость защиты ОТ

Хакеры прекрасно знают об уязвимости операционных технологий и все чаще начинают атаку с этого вектора. К тому же, уже сейчас создаются новые разновидности вредоносного ПО для атак непосредственно на ОТ-устройства, например EKANS. Несмотря на то, что пока вредоносное ПО для АСУ ТП остается относительно редким явлением, недавние успешные атаки, проведенные с помощью вредоносов Triton (Trisis) и Industroyer, спровоцируют разработку и использование подобных вредоносных программ в будущем.

Не стоит откладывать защиту ОТ-устройств на потом — как минимум потому, что сейчас невозможно по-настоящему оценить масштаб угрозы. Большинство компаний-жертв, пострадавших от атак на ОТ, не сообщают об этом общественности из-за боязни признаться в утечке данных. Их молчание представляет опасность для потенциальных жертв: если об атаках не сообщать, у других компаний будет меньше шансов узнать о них и принять меры.

Способы защиты от атак на ОТ

  1. Обнаружение ресурсов в ОТ-средах. Операционные технологические сети зачастую сложно устроены, и у многих организаций возникают трудности с определением полного набора ОТ-ресурсов. Эта проблема усложняется и тем, что OT-сеть может распределяться на несколько филиалов и производственных объектов. Для эффективной защиты операционных технологических сетей требуется полная видимость подключенных к ним активов.

  2. Сегментация сетей. Изначально ОТ-сети были защищены воздушным зазором, поскольку ИТ и ОТ были физически не связаны друг с другом. Такой подход не обеспечивает идеальной защиты от киберугроз, но затрудняет злоумышленникам доступ к уязвимым OT-активам. В современном мире сегментация сетей позволяет изолировать активы в сети, а межсетевой экран со знанием специфичных для OT протоколов может сканировать трафик на предмет потенциально вредоносного контента или команд и обеспечивать контроль доступа через границы сегмента ОТ-сети.

  3. Предотвращение угроз ОТ. Стратегии кибербезопасности операционных технологий часто ориентированы на обнаружение из-за возможности ложных уведомлений об ошибках со стороны инструментов предотвращения угроз. Если вдруг решение защиты отметит стандартную операцию как вредоносную и заблокирует ее, то это может нарушить доступность и производительность всей системы. В результате защита OT стала чаще основываться на реагировании на угрозы, а не на предотвращении. Такой подход к безопасности приводит к тому, что OT-системы заражаются вредоносным ПО, которое угрожает их работе. Кроме того, многие типы атак могут быть обнаружены и заблокированы с чрезвычайно высокой точностью, что создает минимальную угрозу для нормальной работы. Развертывание системы предотвращения угроз операционных технологий позволяет организации надежнее защитить OT-устройства.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем