Исключительное убеждение в том, что изолированная среда является надежным защитным барьером, оказывается ошибочным. Даже в изолированной сети, автоматизированные системы управления технологическими процессами (АСУ ТП) подвергаются разнообразным угрозам, с которыми приходится сталкиваться в современном сложном киберпространстве.
Как Senior Sales Engineer, Team Lead в компании BAKOTECH, я, Филипп Хмелев, хочу рассказать, какие риски несут атаки на АСУ ТП, почему важно от них защищаться и, самое главное, как это сделать без нарушения технологических процессов. В этой статье мы также рассмотрим пример одной из передовых платформ для обеспечения безопасности АСУ ТП, доступной в нашем регионе.
Одной из первых знаковых атак, подчеркнувших необходимость обеспечения безопасности АСУ ТП, стала атака Stuxnet. Вероятно, вы уже слышали о ней, но для полноты картины предоставлю краткое описание. Stuxnet — это вредоносное программное обеспечение, которое использовалось для атаки на объекты ядерной промышленности Ирана. Результатом стало нарушение процесса обогащения урана, что в конечном итоге задержало развитие программы на несколько лет.
Эта атака произошла как раз таки в изолированной среде. По одной из версий инсайдер проник в систему с вредоносной программой через USB-носитель, что позволило червю распространиться на целевую систему. Затем он захватил контроль над центрифугами, ответственными за обогащение урана, и вывел их из строя. Это произошло в 2010 году.
Также стоит обратить внимание на более свежий случай — атаку на Colonial Pipeline, которая стала крупнейшей атакой на АСУ ТП в США. Colonial Pipeline — это масштабный нефтепровод, протяженностью в несколько штатов, обеспечивающий транспортировку нефти по всей стране.
Считается, что атака была спровоцирована утечкой учетных данных, которые попали в руки злоумышленников. Исследование компании FireEye показало, что не было обнаружено никаких следов фишинговых атак или взломов. Скорее всего, пароль к системе был скомпрометирован ранее и попал в даркнет.
Ответственной за атаку была группа DarkSide. Эта организация хакеров создала модель Ransomware-as-a-Service, предоставляя инструменты для взлома программ-вымогателей заинтересованным лицам. Теперь для проведения атаки не обязательно быть технически подкованым — достаточно иметь финансы, и атака будет организована «под ключ».
Попав в систему, DarkSide осуществлял анализ окружения: проверял данные, IP-адреса и язык системы, чтобы избежать активности в определенных регионах. Затем он приступал к шифрованию частей системы, лишая их функциональности. Появлялось окно с требованиями выкупа, сумма которого составляла 5 миллионов долларов в биткоинах.
В итоге компании пришлось заплатить выкуп, чтобы восстановить работоспособность нефтепровода. Однако атака все равно привела к серьезным последствиям: в некоторых штатах возникли дефициты топлива, авиакомпании сократили число рейсов из-за недостатка авиационного топлива.
Существует три ключевых фактора, объясняющих увеличение случаев атак на автоматизированные системы управления технологическими процессами:
Важно отметить, что традиционные методы обеспечения информационной безопасности (ИБ) не всегда подходят для АСУ ТП. По сравнению с обычными IT-системами, АСУ ТП используют разные протоколы, специфичные для каждого производителя. Поэтому стандартные решения, такие как системы обнаружения и предотвращения вторжений (IPS/IDS) или антивирусные программы, могут оказаться неэффективными в анализе промышленного трафика или даже негативно повлиять на стабильность работы системы.
Также стоит подчеркнуть, что возможные ущербы от атак могут быть разными по масштабу и трагичности. Одним из примеров является кибератака на больницу, в результате которой было прервано электроснабжение. Устройство искусственной вентиляции дыхания оказалось без электропитания из-за недостатка резервных источников, что привело к летальному исходу.
Чтобы устранить угрозу, нужно ее сначала обнаружить. С этой задачей помогут справиться решения для мониторинга процессов внутри сети. Возьмем для примера Nozomi Networks, чтобы разобрать, какие функции необходимы для эффективного обнаружение угроз.
Функционал платформы:
Вендор специализируется на защите АСУ ТП, поэтому у компании есть целая лаборатория специалистов, которая работает над обновлением сигнатур и исследованием ландшафта угроз.
Защита АСУ ТП критично важна, поскольку атаки на индустриальные объекты приводят к более серьезным последствиям, чем, например, утечка данных из бизнес-структур или внедрение программ-вымогателей в офисную среду. Конечно неприятно, когда лежит социальная сеть или временно недоступны банковские услуги, но это ничто по сравнению с ситуацией, когда целые города остаются без электроэнергии и водоснабжения, когда отказывают целые сегменты инфраструктуры. Тем более, если учитывать возможные техногенные катастрофы, которые могут возникнуть в таких условиях.
Если у вас остались дополнительные вопросы, напишите нам: nozomi@bakotech.com
The post Опасности, связанные с атаками на АСУ ТП, и методы их эффективной защиты appeared first on InfoCity.