Ландшафт угроз для систем промышленной автоматизацииПервое полугодие 2018 года

Основные события полугодия

Уязвимости Spectre и Meltdown в промышленных решениях

В начале 2018 г. в процессорах Intel, ARM64 и AMD были обнаружены уязвимости, позволяющие получить несанкционированный доступ к содержимому виртуальной памяти. Атаки, использующие эти уязвимости, были названы Meltdown и Spectre.

Выявленная проблема связана с тремя уязвимостями:

• обход проверки границ (CVE-2017-5753/Spectre);
• манипуляция целевым кэшем адресов ветвлений (CVE-2017-5715/Spectre);
• оседание данных в кэше после отмены операции (CVE-2017-5754/Meltdown).

Атаки Spectre позволяют пользовательскому приложению получить данные другой программы, Meltdown, – также содержимое памяти ядра.

Данная проблема затронула множество компьютеров, серверов и мобильных устройств под управлением операционных систем Windows, macOS, Linux, Android, iOS и Chrome OS, использующих уязвимые микропроцессоры. Промышленное оборудование – серверы SCADA, промышленные компьютеры и сетевые устройства с уязвимыми процессорами – также оказалось подвержено уязвимостям Meltdown и Spectre.

Одной из первых об уязвимостях своих продуктов заявила компания Cisco. Среди затронутых устройств – маршрутизаторы Cisco 800 Industrial Integrated Services и коммутаторы Industrial Ethernet 4000.

Затем уведомления о влиянии уязвимостей Meltdown и Spectre на свои продукты опубликовали другие промышленные вендоры.

Об уязвимости десятков своих продуктов, включая системы управления, различные промышленные компьютеры и HMI, проинформировала своих клиентов PHOENIX CONTACT.

В числе уязвимых продуктов компании Yokogawa оказались станция управления (FCS) системы CENTUM VP/CS 3000 и контроллер системы безопасности (SCS) для системы противоаварийной защиты ProSafe-RS.

Уязвимости Meltdown и Spectre затронули также промышленное оборудование Siemens: устройства RUGGEDCOM APE и RX1400 VPE, панели оператора SIMATIC HMI серии Comfort, промышленные компьютеры SIMATIC IPC, программируемый логический контроллер SIMATIC S7-1500 Software Controller и др.

Помимо информации об уязвимостях Meltdown и Spectre компания Siemens сообщила о подверженности своих решений еще двум брешам из группы уязвимостей под названием Spectre Next Generation (Spectre-NG), которые были обнаружены позднее в мае 2018 г.

Информацию об использовании уязвимых процессоров в своих продуктах опубликовали также Schneider Electric, ABB, OSIsoft и другие вендоры.

Криптомайнеры в промышленных сетях

В феврале 2018 г. в СМИ появилось сразу несколько сообщений о заражении промышленных предприятий вредоносным программным обеспечением с функцией майнинга криптовалюты.

В одной из водоочистных станций в Европе зараженными оказались четыре сервера под управлением операционной системы Windows XP с программным обеспечением CIM-PLICITY SCADA от компании GE Digital. Вредоносное ПО замедляло работу HMI и SCADA-серверов, используемых для мониторинга технологических процессов.

Атаке подверглись также облачные серверы компании Tesla с целью использования части их мощностей для добычи криптовалюты Monero. Киберпреступники атаковали фреймворк Kubernetes, который эксплуатируется в инфраструктуре ведущего производителя электромобилей, и внедрили в него вредоносное ПО для генерации криптовалюты.

По данным KL ICS CERT, эти широко обсуждаемые инциденты далеко не единичны и отражают общую неутешительную тенденцию.

С апреля 2018 г. в "Лаборатории Касперского" начали использовать более точные вердикты для сбора статистики о майнерах. Как следствие, по нашей статистике процент компьютеров АСУ, атакованных вредоносными программами для майнинга криптовалют, с апреля резко вырос и по итогам первого полугодия 2018 г. достиг 6% – это на 4,2 п.п. больше, чем в предыдущем полугодии (рис. 1).

Основная проблема, связанная с работой вредоносных программ-майнеров, заключается в увеличении нагрузки на промышленные информационные системы, что может оказаться неприемлемым для систем промышленной автоматизации – угрожать стабильности их функционирования и снижать уровень контроля за технологическим процессом предприятия.

Массовые атаки на коммутаторы Cisco затронули объекты критической инфраструктуры

6 апреля по всему миру были зафиксированы массовые атаки на коммутаторы Cisco IOS. Атаки привели к сбою в работе некоторых интернет-провайдеров, дата-центров и Web-сайтов.

Злоумышленники использовали уязвимость CVE-2018-0171 в программном обеспечении Cisco Smart Install Client. По результатам исследований команды Cisco Talos, в мире насчитывается более 168 тыс. потенциально подверженных ей устройств. Для атаки использовался специальный бот, который обнаруживает уязвимые устройства, перезаписывает на них образ системы Cisco IOS и меняет конфигурационный файл. В результате этого устройство становится недоступным.

В основном атакам подверглись организации России и Ирана. По данным Cisco Talos, среди компаний, подвергшихся атакам, оказались и объекты критической инфраструктуры.

Новое вредоносное ПО VPNFilter с функцией мониторинга SCADA

В мае 2018 г. было обнаружено новое вредоносное ПО VPNFilter, которое заразило не менее 500 тыс. маршрутизаторов и устройств хранения данных (NAS) в 54 странах мира.

Вредоносная программа VPNFilter имеет сложную модульную архитектуру, компоненты которой реализуют различные функции, среди них – сбор сетевого трафика и данных, выполнение команд и управление устройством, перехват пакетов, а также мониторинг протоколов Modbus и взаимодействие с управляющим сервером через сеть Tor.

Для инфицирования зловред использует различные известные уязвимости, однако вектор заражения на данный момент неясен. При заражении на устройство устанавливается устойчивый к перезагрузке устройства компонент, способный загружать дополнительные вредоносные модули.

Таким образом, VPNFilter требует пристального внимания ИБ-сообщества, так как этот зловред может быть использован для кражи учетных данных, обнаружения промышленного SCADA-оборудования, а также проведения различных атак с использованием зараженных устройств в составе ботнета.

Атака на спутниковые системы

В июне 2018 г. стало известно о масштабной кибератаке с территории Китая на телекоммуникационные предприятия, операторов спутников связи, а также оборонных подрядчиков в США и странах Юго-Восточной Азии.

В ходе атаки злоумышленники инфицировали компьютеры, используемые для управления спутниками связи и сбора данных геопозиций. По мнению экспертов, целью кибератаки были шпионаж и перехват данных из гражданских и военных каналов связи. Однако потенциально атака могла привести к несанкционированному изменению позиций устройств на орбите и помехам при обмене данными.

Среди обнаруженных зловредов – троянцы Rikamanu и Syndicasec, программа для похищения данных Catchamas, кейлоггер Mycicil и бэкдор Spedear.

Для заражения вредоносным ПО злоумышленники использовали легитимные инструменты и средства администрирования PsExec, Mimikatz, WinSCP и Log-MeIn. Такая тактика позволяет атакующим скрывать свою активность и оставаться незамеченными.

Активность IoT-ботнетов

Обнаруженные ботнеты по-прежнему состоят преимущественно из незащищенных IP-камер и маршрутизаторов. Однако постепенно злоумышленники начинают использовать другие типы умных устройств. Так, в апреле 2018 г. был обнаружен ботнет, состоящий в том числе из интернет-телевизоров. Этот ботнет использовался для осуществления DDoS-атак на организации финансового сектора.

В условиях столь бурного развития вредоносного ПО, нацеленного на устройства Интернета вещей, существенным стало известие о появлении общедоступного инструмента для автоматического поиска и взлома уязвимых IoT-устройств. Публикация таких программ в открытом доступе может значительно расширить круг злоумышленников, использующих IoT-устройства для атак на компьютерные системы и сети.

Атаки программ-вымогателей

Несмотря на глобальное уменьшение количества пользователей, атакованных программами-вымогателями, процент компьютеров АСУ, на котором были заблокированы атаки вымогателей, вырос с 1,2 до 1,6%. Хотя этот показатель и кажется не очень значительным, опасность такого рода вредоносных программ для промышленных предприятий трудно недооценивать после WannaCry и ExPetr.

В первом полугодии вымогатели напомнили о себе опасной ситуацией, возникшей в медицинском учреждении в результате заражения вредоносным шифровальщиком. Согласно сообщениям СМИ, злоумышленники атаковали Федеральный центр нейрохирургии в Тюмени. В ходе атаки злоумышленникам удалось получить доступ к серверам, на которых располагались компоненты медицинской информационной системы "МЕДИАЛОГ", используемой в качестве базы данных для снимков, результатов анализов и другой информации, необходимой в процессе лечения пациентов.

В результате в тот момент, когда необходимо было начать экстренную операцию на головном мозге 13-летней пациентки, обнаружилось, что система "МЕДИАЛОГ" недоступна, как позже выяснилось, из-за того, что файлы, необходимые для работы сервисов, были зашифрованы вредоносной программой. К счастью, медикам удалось успешно провести операцию, несмотря на потерю доступа к значимой информации о результатах диагностики.

Центр нейрохирургии в Тюмени оказался не единственной жертвой данной серии атак. Установлено, что злоумышленники целенаправленно атаковали именно медицинские учреждения, при этом шифрованию подверглись исключительно файлы, находящиеся на серверах, которые обеспечивают работу сервисов, критически важных для работы организации. Это говорит о намерении причинить как можно больший ущерб рабочим процессам медицинской организации.

Эта серия атак является ярким примером того, что злоумышленники могут не просто выводить из строя компьютерные системы медицинских учреждений, но и оказывать непосредственное влияние на процесс лечения пациентов.

Атаки на промышленные предприятия с использованием RAT

Продуктами "Лаборатории Касперского" были предотвращены множественные попытки атак, направленные на технологическую сеть автомобилестроительной/сервисной компании, в частности на компьютеры, предназначенные для диагностики двигателей и бортовых систем грузовиков и тяжелой техники.

По меньшей мере на одном из компьютеров в технологической сети компании был установлен и периодически использовался RAT. В течение нескольких месяцев на этом компьютере было заблокировано множество попыток запуска различных вредоносных программ, запускаемых через RAT. Среди прочих были заблокированы модификации вредоносного ПО, детектируемого как Net-Worm.Win32.Agent.pm. Примечательно, что в случае запуска данный червь незамедлительно начинает распространение по локальной сети, используя эксплойты для уязвимостей MS17-010 – те самые, которые были опубликованы ShadowBrokers весной 2017 г. и применялись в атаках нашумевших шифровальщиков WannaCry и ExPetr.

Помимо этого было заблокировано вредоносное ПО семейства Nymaim. Представители этого семейства часто являются загрузчиками модификаций ботнет-агента семейства Necus, который, в свою очередь, часто используется для заражения компьютеров вымогателями семейства Locky.

Основываясь на периодичности попыток запуска вредоносного ПО через RAT и других данных, мы полагаем, что эти аутентификации RAT были скомпрометированы и использовались злоумышленниками для атаки из Интернета на компьютеры данной организации.

Наличие программ для удаленного администрирования (RAT) на компьютерах АСУ иногда является производственной необходимостью, однако они становятся очень опасными, если используются злоумышленниками или попадают под их контроль.

География

Сравнение показателей различных регионов мира (рис. 4) демонстрирует, что:

• страны Африки, Азии и Латинской Америки являются гораздо менее благополучными по проценту атакованных компьютеров АСУ, чем страны Европы, Северной Америки и Австралии;
• показатели Восточной Европы заметно выше, чем Западной;
• процент атакованных компьютеров АСУ в Южной Европе выше, чем в Северной и Западной Европе.

Можно предположить, что такая ситуация связана с объемами средств, вкладываемых организациями в решения для защиты инфраструктуры. По оценкам аналитической компании IDC, в 2017 г. крупнейшими рынками ИБ с географической точки зрения являлись США и Западная Европа.

Показатели стран внутри отдельных регионов могут значительно отличаться. Так, на фоне большинства стран Африки наиболее благополучная обстановка наблюдается в ЮАР, а среди стран Среднего Востока заметно лучше дело обстоит в Израиле и Кувейте.

Факторы, влияющие на кибербезопасность компьютеров АСУ

Анализ соответствия процента атакованных компьютеров АСУ в каждой из стран и их позиций в рейтинге по уровню ВВП на душу населения продемонстрировал, что между этими показателями существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,84 и коэффициентом значимости P < 0,001). За некоторыми исключениями в странах с высоким уровнем ВВП на душу населения (первые места в соответствующем рейтинге) процент атакованных компьютеров АСУ меньше, чем в странах с низким уровнем ВВП.

Семь из десяти самых неблагополучных стран (рис. 5) по проценту атакованных компьютеров АСУ в 2017 г. не попали в первую сотню стран по уровню ВВП на душу населения.

Высокий показатель процента атакованных компьютеров АСУ в развивающихся странах может быть связан с тем, что их промышленность относительно молодая. Как известно, зачастую при проектировании и введении в эксплуатацию индустриальных объектов первоочередное внимание уделяется экономическим аспектам их работы и физической безопасности технологического процесса, а обеспечению информационной безопасности ставится значительно более низкий приоритет.

Вероятно, те несколько примеров, которые отмечены на диаграмме (рис. 6), – это некоторые страны, в которых доступные ресурсы используются для защиты промышленных активов от кибератак более (над пунктирной линией) или менее (под пунктирной линией) эффективно, чем в других странах.

Чтобы оценить уровень вредоносной активности в разных странах, мы посчитали процент всех атакованных компьютеров (домашних, корпоративных пользователей и компьютеров АСУ) в каждой стране (рис. 6). Обнаружили, что существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,89 и коэффициентом значимости P < 0,001) между процентом атакованных компьютеров АСУ и показателем вредоносной активности в стране (процентом всех атакованных компьютеров).

Эти данные согласуются с предположением, что компьютеры в инфраструктуре технологических сетей, сопряженные с корпоративной сетью и/или подключающиеся к Интернету даже эпизодически, в подавляющем большинстве случаев подвергаются атакам вредоносного ПО в той же мере, в которой им подвергаются такие традиционные для злоумышленников мишени, как офисные компьютеры организаций и частных лиц в той же стране.

Отметим, что почти во всех странах, где в течение полугодия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атакованных машин в инфраструктуре технологических сетей оказался выше, чем показатель по всем атакованным компьютерам в стране. Такая ситуация вызывает особую тревогу, учитывая, что, по данным Всемирного банка и Организации экономического сотрудничества и развития, восемь стран из этого списка – Индонезия, Китай, Индия, Иран, Саудовская Аравия, Мексика, Филиппины и Малайзия – в 2017 г. по объему промышленного производства вошли в топ-30.

Основные источники заражения

Основные источники заражения компьютеров в технологической инфраструктуре организаций – Интернет, съемные носители и электронная почта.

Интернет за последние годы стал основным источником заражения компьютеров технологической инфраструктуры организаций. Более того, процент компьютеров АСУ, на которых были заблокированы попытки загрузки вредоносного ПО из Интернета, доступ к известным вредоносным и фишинговым Web-ресурсам, фишинговые письма и вредоносные вложения, открываемые в почтовых Web-сервисах через браузер, растет.

Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, заблокированных на 20,6% компьютеров АСУ, с которых мы получаем обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3% (рис. 7).

Современные технологические сети трудно назвать изолированными от внешних систем. В настоящее время сопряжение технологической сети с корпоративной сетью необходимо как для управления производством, так и для администрирования промышленных сетей и систем. Вынужденной необходимостью может быть и доступ к Интернету из технологической сети, например, для сопровождения и технической поддержки систем промышленной автоматизации сотрудниками организаций-подрядчиков. Компьютеры подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети обслуживаемого предприятия извне (напрямую или удаленно) и при этом часто имеют свободный доступ к Интернету, также могут быть одним из каналов проникновения вредоносного ПО в технологические сети.

Кроме того, такой канал создают подключения к Интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддержкой 3G/LTE). Второе и третье места среди наиболее распространенных источников заражения промышленных сетей заняли съемные носители информации и почтовые клиенты соответственно. Показатели по этим источникам заражений за полугодие изменились незначительно.

Показатели по остальным источникам заражений не превышают 1% и остались на уровне прошлого полугодия.

Рекомендации

Для противодействия угрозам, описанным в данном отчете, мы рекомендуем принять ряд мер по обеспечению информационной безопасности.

Предлагаемый список мер приведен в порядке, который, по опыту наших специалистов, соответствует убыванию соотношения их важности и сложности реализации.

Список не следует считать исчерпывающим. При его составлении мы ориентировались на проблемы информационной безопасности промышленных предприятий и систем промышленной автоматизации, обнаруженные и проанализированные нами в ходе исследований, проделанных в течение отчетного периода.

Так, он не включает такие меры, как конфигурация межсетевого экрана для запрета обращения извне технологической сети по протоколам, используемым для автоматизации технологического процесса, и запрет прямого обращения к узлам технологической сети из Интернета. Основываясь на результатах проделанных нами аудитов и тестирования технологических сетей промышленных предприятий на проникновение, мы считаем, что подавляющее большинство организаций подобные меры уже применяют на практике.

Меры, не требующие организационных изменений, дополнительного персонала, корректировки бизнес- и производственных процессов, существенных изменений информационных систем

Эти меры помогают сделать первый шаг на пути к защите технологических объектов предприятия. По нашему мнению, эти меры применимы для большинства организаций, вне зависимости от уровня зрелости их процессов обеспечения информационной безопасности.

1. Защитить все узлы промышленной сети от вредоносных атак при помощи средств антивирусной защиты:

• убедиться, что все основные компоненты защиты включены и функционируют;
• из области защиты не исключать каталоги ПО АСУ ТП, системные каталоги ОС, профили пользователей;
• по возможности не использовать исключения из проверки вообще;
• добиться частоты обновления антивирусных баз не реже одного раза в день. Желательно обновлять базы в соответствии с рекомендациями производителя средств защиты;
• убедиться, что настроена автоматическая проверка съемных носителей при их подключении;
• при возможности настроить оперативное получение актуальных вердиктов из антивирусного облака производителя.

2. Настроить правила сетевых экранов на границе технологической сети:

• запретить обращения к службам предоставления удаленного доступа к объектам файловой системы, таким как SMB/CIFS и/или NFS (актуально в случае атак на системы под управлением ОС Linux);
• настроить правила контроля использования средств удаленного администрирования. Создать белый список адресов, с которых возможен удаленный доступ к системам в технологической сети. Убедиться, что в этот список входят только адреса доверенных ресурсов и исключены облачные инфраструктуры производителей средств администрирования, прочие недоверенные и неизвестные адреса;
• запретить использование внешних почтовых сервисов внутри технологической сети;
• запретить использование внешних почтовых сервисов HTTP/HTTPS;
• запретить использование социальных сетей;
• запретить использование облачных файловых хранилищ;
• запретить использование торрентов.

3. Настроить защиту от спамовых и фишинговых рассылок на границе и внутри корпоративной сети:

• добиться частоты обновления антиспамовых и антифишинговых средств с частотой, рекомендованной производителем;
• при возможности настроить подключение к облачному сервису оперативной передачи вердиктов производителя.

4. Настроить антивирусную защиту на периметре сети организации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсам.

5. Провести аудит использования почты внутри технологической сети:

• запретить использование внешних почтовых сервисов на компьютерах технологической сети средствами антивирусной защиты;
• по возможности запретить использование корпоративной почты внутри технологической сети, удалить установленные почтовые клиенты либо запретить их запуск средствами контроля запуска приложений;
• отключить использование сервиса mailto.

6. Провести аудит использования папок общего доступа внутри технологической сети:

• отключить все сетевые папки общего доступа, не обусловленные производственной необходимостью;
• отключить сервисы удаленного доступа к файловой системе SMB/CIFS и NFS там, где в них нет производственной необходимости.

7. Провести аудит использования сторонних средств удаленного администрирования внутри технологической сети, таких как VNC, RDP, TeamViewer RMS/Remote Utilities. Удалить все средства удаленного администрирования, не обусловленные производственной необходимостью.

8. Отключить средства удаленного администрирования, поставляемые вместе с ПО АСУ ТП (обратитесь к документации на соответствующее ПО за детальными инструкциями), если в их использовании нет производственной необходимости.

9. Провести аудит использования в технологической сети прочего ПО, которое существенно увеличивает поверхность атаки систем АСУ. В случае если использование этого ПО не обусловлено технологической необходимостью, деинсталлировать его. Особое внимание уделить следующим типам ПО:

• интернет-браузеры;
• клиенты социальных сетей;
• почтовые клиенты;
• ПО MS Office;
• ПО Adobe;
• Java Runtime;
• медиапроигрыватели;
• скриптовые интерпретаторы типа Perl, Python, PHP;
• нелицензионное "поломанное" ПО – оно часто содержит закладки и инфицировано.

10. Выключить Windows Script Host, если его запуск не требуется для работы ПО АСУ ТП и не обусловлен другой производственной необходимостью.

11. При возможности ограничить использование привилегий SeDebugPrivilege для локальных администраторов систем промышленной сети предприятия при помощи групповых политик домена Windows (может требоваться для работы некоторого ПО, например MS SQL Server, – обратитесь к документации производителей соответствующих систем).

Меры, рассчитанные на организации с высоким уровнем зрелости в области ИБ

Применение этих мер для недостаточно зрелых организаций может потребовать существенных временных либо ресурсных затрат, налаживания новых процессов киберзащиты, изменений штатного расписания, а также осложняться прочими обстоятельствами.

1. Наладить процесс обучения персонала предприятия кибергигиене:

• организовать курсы повышения квалификации для сотрудников по теме кибербезопасности, чтобы повысить осведомленность персонала о современных угрозах: целях, технических методах и схемах реализации атак на промышленные организации, опасностях, которые представляют атаки для бизнес- и технологических процессов, методов защиты от атак и предотвращения инцидентов;
• организовать периодические тренинги по теме киберугроз и способов защиты с учетом изменения ландшафта угроз и тренинги для новых сотрудников. Рассмотреть возможность использования тренинговых платформ (онлайн или развернутых внутри предприятия), вебинаров, записей предыдущих тренингов для повышения доступности тренингов для сотрудников предприятия;
• внедрить практику коротких инструктажей персонала по теме защиты от киберугроз;
• обеспечить сотрудников предприятия соответствующими информационными материалами: плакатами, буклетами и прочим, напоминающими о необходимости защиты от киберугроз;
• организовать регулярные учения по кибербезопасности и проверку знаний сотрудников в этой области.

2. Организовать службу информационной безопасности и киберзащиты промышленных информационн

• назначить ответственного за киберзащиту информационных систем технологической сети;
• сделать защиту технологической сети частью общего процесса обеспечения ИБ предприятия;
• наладить эффективную работу различных горизонтальных и вертикальных подразделений и служб организации – инженеров, операторов, ИТ, ИБ – для защиты от кибератак;
• наладить эффективные коммуникации по вопросам киберзащиты с производителями средств автоматизации и производителями средств защиты;
• организовать процесс реагирования на инциденты ИБ в технологической сети.

3. Ввести практику регулярных аудитов состояния ИБ информационных систем технологической сети:

• инвентаризация запущенных сетевых служб на всех узлах технологической сети; по возможности остановить (лучше отключить/удалить) уязвимые сетевые службы (если это не нанесет ущерба непрерывности технологического процесса) и остальные службы, не требующиеся для непосредственного функционирования системы автоматизации. Особое внимание обратить на службы SMB/CIFS, NBNS, LLMNR;
• аудит разграничения доступа к компонентам АСУ ТП, постараться добиться максимальной гранулярности доступа;
• аудит сетевой активности внутри промышленной сети предприятия и на ее границах. Устранить не обусловленные производственной необходимостью сетевые соединения с внешними и смежными информационными сетями;
• аудит безопасности организации удаленного доступа к промышленной сети; обратить особое внимание на соответствие организации демилитаризованных зон требованиям информационной безопасности;
• аудит политики и практики использования съемных носителей информации и портативных устройств. Не допускать подключения к узлам промышленной сети устройств, предоставляющих нелегитимный доступ к внешним сетям и Интернету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными специальными средствами;
• аудит учетных записей и парольной политики. Пользовательские и сервисные учетные записи должны иметь только те права, которые требуют рабочие необходимости. Число учетных записей пользователей с административными правами должно быть максимально ограничено. Должны использоваться сложные пароли (не менее девяти символов, различного регистра, дополненные цифрами и специальными символами; пароли не должны состоять из словарных слов), обязательная смена пароля должна быть задана доменной политикой, например, каждые 90 дней. По возможности следует отказаться от использования небезопасных алгоритмов аутентификации, таких как NTLM, в пользу более безопасных NTLMv2 и Kerberos.

4. Наладить процесс своевременного устранения уязвимостей безопасности систем технологической сети:

• получить доступ к источникам информации об уязвимостях, обнаруженных в продуктах АСУ ТП, сетевых устройствах и общих компонентах, наладить процесс обработки и анализа такой информации;
• внедрить процесс регулярной проверки на уязвимости систем, развернутых в технологической сети и на ее периметре. Подумать о внедрении специализированных средств обнаружения уязвимостей систем технологической сети;
• регулярно устанавливать обновления операционной системы, прикладного ПО и средств защиты на системы, работающие в технологической сети предприятия;
• своевременно устанавливать обновления прошивок устройств автоматизированного управления и средств противоаварийной защиты.

5. Использовать следующие специализированные технологии автоматических средств защиты. Как правило, это требует тонкой настройки, тщательного тестирования и развитых процессов мониторинга и реагирования на инциденты ИБ:

• настроить контроль запуска программ в режиме белых списков (обычно входит в состав решений по антивирусной защите узлов технологической сети). Там, где это невозможно, настроить контроль запуска программ в режиме мониторинга и уведомления ответственного за ИБ;
• внедрить специализированные средства (могут входить в состав решений по антивирусной защите узлов технологической сети) обеспечения целостности компьютеров – критических областей и конфигурации ОС и прикладного ПО, в особенности ПО АСУ ТП. Там, где это невозможно, настроить контроль целостности в режиме мониторинга и уведомления ответственного за ИБ;
• настроить контроль подключения внешних устройств (USB-носителей, мобильных телефонов и пр.);
• включить компоненты Hostbased Intrusion Prevention System (HIPS) из состава средств антивирусной защиты;
• внедрить средства автоматической инвентаризации и контроля подключения устройств к технологической сети. Требует привлечения квалифицированных специалистов для мониторинга и реакции на обнаруженные инциденты;
• внедрить специализированные средства мониторинга сетевого трафика и обнаружения сетевых аномалий и компьютерных атак в индустриальных сетях. В большинстве случаев применение подобных мер не требует внесения изменений в состав и конфигурацию средств АСУ ТП и может быть произведено без остановки их работы. Однако для эффективного использования таких средств, скорее всего, потребуется выделенный высококвалифицированный персонал, интеграция с прочими средствами обнаружения аномалий и развитые процессы обеспечения ИБ технологической и корпоративной сети.

6. Внедрить специализированные средства регистрации и автоматизации процедуры обработки инцидентов ИБ в технологической сети предприятия.

7. Наладить процесс получения и обработки информации об актуальных угрозах:

• специализированных аналитических отчетов о новых выявленных атаках и вредоносных кампаниях, нацеленных на промышленные предприятия;
• отчетов об исследованиях тактик, методов и средств (TTP), используемых известными группировками злоумышленников в атаках на промышленные организации;
• аналитических отчетов об исследовании ландшафта угроз, представляющих опасность для промышленных предприятий;
• индикаторов компрометации узлов технологической сети;

Это может помочь своевременно и правильно среагировать на новую атаку и предотвратить инцидент.

Меры, которые потребуют существенных изменений в конфигурации и топологии технологической сети и сопряжены с прочими существенными модификациями информационных систем предприятия

1. Понимая, что полностью изолировать технологическую сеть от смежных сетей чаще всего невозможно, для организации более безопасного удаленного доступа к системам автоматизации и передачи данных между технологической и другими сетями, имеющими различные уровни доверия, мы рекомендуем:

• системы, имеющие постоянную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.) изолировать в отдельный сегмент внутри технологической сети – демилитаризованную зону (DMZ);
• системы в демилитаризованной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации);
• весь необходимый обмен информацией между промышленной сетью и внешним миром (включая корпоративную офисную сеть предприятия) осуществлять только через DMZ;
• при необходимости в DMZ можно развернуть терминальные серверы, позволяющие использовать методы обратного подключения (из технологической сети в DMZ);
• для доступа к технологической сети извне использовать тонкие клиенты (применяя методы обратного подключения);
• не разрешать доступ из демилитаризованной зоны в технологическую сеть;
• ограничить сетевой трафик по используемым портам и протоколам на пограничных маршрутизаторах между сетью организации и сетями других компаний (если имеется передача информации из технологической сети одной компании в другую);
• если бизнес-процессы предприятия допускают возможность однонаправленных коммуникаций, рекомендуем рассмотреть возможность использования дата-диодов.

2. Перед развертыванием и вводом в строй новых систем и компонентов АСУ ТП рекомендуем проводить их тестирование на предмет соответствия требованиям безопасности, включая поиск известных и новых уязвимостей, – как часть процесса аттестации новых компонентов АСУ ТП. Это позволит существенно сократить затраты на обеспечение ИБ систем после их внедрения.

3. При прочих равных рекомендуем отдавать предпочтение продуктам, производители которых ставили безопасность во главу угла при разработке архитектуры своих продуктов, например используя подход правильного разделения доменов безопасности и реализуя принципы MILS (Multiple Independent Layers of Security).

4. Для защиты от атак типа "человек посредине" рекомендуем рассмотреть настройку криптостойкого шифрования трафика внутри и на границе технологической сети, как минимум там, где это позволяют используемое оборудование, особенности бизнес- и технологического процесса предприятия.

5. В ряде случаев можно настроить шифрование трафика между компонентами технологической сети, даже если эта функциональность не поддерживается соответствующим оборудованием, при помощи дополнительных средств. Рекомендуем проконсультироваться с производителем ваших систем автоматизации.

6. Для доступа персонала к системам технологической сети желательно настроить использование двухфакторной аутентификации.

7. Для упрощения поддержки процедур и процессов аутентификации и шифрования рекомендуем развернуть инфраструктуру PKI.

8. Для снижения рисков атак через цепочку поставщиков и подрядчиков (Supply Chain) рекомендуем рассмотреть возможность внедрения политики, механизмов и процедур контроля подключения устройств (например, ноутбуков подрядчиков и инженеров) к технологической сети.