Ландшафт угроз для систем промышленной автоматизации.

Библиотека безопасника / Код ИБ Онлайн

51 просмотры
0 Лайки
0 0
Обсудим сводку по актуальным угрозам, связанным с активностью вредоносных программ в отношении промышленных предприятий и объектов критической инфраструктуры за 2019 год по результатам исследования Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky ICS CERT)

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

4. Подключенные компоненты АСУ к Internet в России https://exposure.shodan.io/#/RU

6. Основные источники и типы угроз заблокированных на компьютерах АСУ Основными источниками угроз для компьютеров в технологической инфраструктуре организаций на протяжении последних лет являются интернет, съемные носители и электронная почта. Но не стоит исключать и такие редкие источники, как архивы и т.д.

1. Ландшафт угроз для систем промышленной автоматизации. 2019 год Азат Шайхутдинов АО «Лаборатория Касперского»

9. Kaspersky ICS CERT: ICS/IIOT Vulnerability Research Некоторые из АСУ ТП вендоров которым мы помогли https://ics - cert.us - cert.gov/advisories

19. Азат Шайхутдинов Менеджер по развитию бизнеса. Защита АСУТП [email protected] +7 917 92 000 78 ics.kaspersky.com СПАСИБО ЗА ВНИМАНИЕ # CODEIB

5. География атак на системы промышленной автоматизации География атак на системы промышленной автоматизации, второе полугодие 2019 (процент в стране компьютеров АСУ, на которых были задетектированы вредоносные объекты) Процент компьютеров АСУ, на которых были заблокированы вредоносные объекты, в некоторых индустриях Это только компьютеры АСУ на которых установленные продукты Kaspersky Lab отправляющие статистику в KSN

18. Перспективные технологии ИБ АСУ ТП • Системы комплексной аналитики производственных процессов • «Роботизированные» системы администрирования средств и процессов ИБ • Системы поддержки принятия решений по управлению производством (с учётом ИБ) • Системы автоматизированного категорирования /проектирования/ОРД • Безопасные ОС Kaspersky

16. Возможны соответствующие организационно - кадровые изменения Kaspersky И Б – информационная безопасность АС – системы автоматизации ИТ – Информационные технологии ФБ – функциональная безопасность

17. Основные вопросы с точки зрения ИБ (АСУ ТП) 20ХХ «Инжиниринг безопасности систем — модель зрелости возможностей» Kaspersky Увеличение сложности атак: - по средствам социальной инженерии - по средствам «прямого» воздействия на элементы - по средствам проникновения в промышленную сеть Отсутствие возможности защититься при использование не безопасных компонентов (и/или сервиса ИБ от поставщика) Фактические можно только «грубо» остановить производственный процесс (и то с определённой подготовкой)

2. Kaspersky Lab ICS CERT: Ландшафт угроз для АСУ ТП Vulnerability Researchers Security auditors Developers Security analysts Industrial engineers 2016 CVE Numbering Authority Источники данных ► Kaspersky Security Network (KSN) и открытые источники ► Kaspersky Industrial CyberSecurity сервисные проекты ► Глобальные опросы

8. Стеганография в атаках на промышленные предприятия, как индикатор уровня творческого подхода злоумышленников – пример из 2020 год Данные сокрыты в изображении при помощи методов стеганографии и извлекаются вредоносной программой из пикселей, номера которых заданы алгоритмом. Использование стеганографии позволяет злоумышленникам обойти некоторые средства защиты, в частности, сканеры сетевого трафика. https://ics - cert.kaspersky.ru/reports/2020/06/17/steganography - in - attacks - on - industrial - enterprises/

13. И спользования инструментов RAT в АСУ ТП по данным KSN Процент компьютеров АСУ, на которых легитимно установлены RAT Процент RAT, установленных вместе с продуктами АСУ, среди всех обнаруженных RAT на компьютерах АСУ https://ics - cert.kaspersky.ru/reports/2018/09/20/threats - posed - by - using - rats - in - ics/

14. Угрозы использования инструментов удаленного управления в АСУ ТП – как ни как актуально в 2020 на фоне массового перехода на удаленку Средства удаленного администрирования широко используются в промышленных сетях для мониторинга, управления и обслуживания АСУ. Возможность проводить манипуляции удаленно существенно снижает стоимость обслуживания АСУ. Средства часто используются для : • Для управления/мониторинга HMI с АРМ оператора (в том числе для вывода информации на большой экран); • Для управления/обслуживания HMI с АРМ инженера; • Для управления SCADA с АРМ оператора; • Для обслуживания SCADA c АРМ инженера или компьютера подрядчика/ вендора (из внешней сети); • Для подключения множества операторов к одному АРМ оператора (архитектура а - ля тонкий клиент для экономии расходов на лицензии софта для АРМ); • Для подключения из технологической сети через HMI к компьютеру в офисной сети с целью выполнения на нем различных задач (просмотр почты, доступ в интернет, работа с офисными документами).

11. Уязвимости в АСУ ТП обнаруженные в 201 9 – влияние на 2020 Распределение уязвимостей, найденных Kaspersky ICS CERT в 2019 году, по типам исследованных компонентов Процент уязвимостей в различных компонентах АСУ ТП от общего числа уязвимостей . ПО / решение Количество обнаруженных уязвимостей Возможные последствия эксплуатации Результат RAT на основе VNC протокола 34 Уязвимости различного уровня критичности, некоторые позволяют выполнить произвольный код как на серверной, так и на клиентской части Уязвимости устранены производителем . https://ics - cert.kaspersky.ru/reports/2019/11/13/vnc - vulnerability - research/

3. Методология исследования ► Компьютеры АСУ ТП защищенные продуктами Kaspersky Lab ► серверы управления и сбора данных (SCADA); ► серверы хранения данных ( Historian ); ► шлюзы данных (OPC); ► стационарные рабочие станции инженеров и операторов; ► мобильные рабочие станции инженеров и операторов; ► Human Machine Interface (HMI) Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их анонимную передачу. В силу ограничений продукта и законодательных ограничений мы не идентифицируем конкретную компанию / организацию, от которой KSN получает статистические данные. Около 40% машин регулярно или постоянно подключаются к интернету

7. Основные причины проблем ► Архитектура технологических сетей : ► Отсутствие разделение IT/OT ; ► Отсутствие сегментации и контроля доступа между OT подсетями ; ► Отсутствие сенсоров и средств кибербезопасности; ► Устаревшие ОС и отсутствие процессов управления обновлениями ► Поведение пользователей в технологических сетях : ► Неконтролируемое использование средств удаленного управления ; ► Отсутствие осведомлённости об угрозах кибербезопасности ; ► Отсутствие ответственности за обеспечение кибербезопасность АСУ ТП

10. Уязвимости в АСУ ТП обнаруженные в 201 9 Количество уязвимостей в разных компонентах АСУ ТП, опубликованных на US ICS - CERT Количество уязвимых продуктов, используемых в различных отраслях (US ICS - CERT 2019) Kaspersky Lab ICS CERT выявил 103 уязвимости промышленных и IIoT / IoT систем в 201 9 . 33 из обнаруженных нами уязвимостей до сих пор не исправлены производителями соответствующих продуктов, хотя они получили для этого всю необходимую информацию. Оценка степени риска от 9 до 10 (критическая) от 7 до 8,9 (высокая) от 4 до 6,9 (средняя) от 0 до 3,9 (низкая) Количество уязвимостей 97 249 143 18

12. Уязвимостей разных уровней Уязвимости в операционных системах Так, в связи с проблемами безопасности в ОС RUGGEDCOM ROX II в 2019 году оказались уязвимыми все промышленные устройства Siemens RUGGEDCOM под управлением этой ОС. Кроме того, множественные уязвимости, обнаруженные в ОС реального времени VxWorks , затронули решения вендоров Rockwell Automation , Schneider Electric , Xerox , Dräger . Еще одним примером масштабного влияния уязвимостей ОС на безопасность решений является обнаружение уязвимости TCP SACK Panic в ядре Linux . Эта уязвимость затронула множество продуктов компании Siemens . Уязвимости в фреймворках разработки и выполнения программ Отдельное внимание стоит уделить безопасности фреймворков , используемых вендорами для разработки и выполнения программ автоматизированного управления технологическим процессом. В 2019 году уязвимости были обнаружены сразу в нескольких компонентах программного комплекса промышленной автоматизации CoDeSyS , включая веб - сервер , коммуникационный сервер и OPC UA сервер . Уязвимости в менеджерах лицензий В 2019 году исследователи безопасности сообщили об уязвимостях сразу в нескольких менеджерах лицензий: К примеру, за счет использования таких компонентов в составе различных решений уязвимости в них могут затрагивать сразу несколько промышленных продуктов. Так, распределенная система управления CENTUM VP и система автоматической противоаварийной защиты ProSafe - RS производства компании Yokogawa оказались подвержены уязвимостям, найденным в Yokogawa License Manager Service . https://ics - cert.kaspersky.ru/reports/2020/04/24/threat - landscape - for - industrial - automation - systems - vulnerabilities - identified - in - 2019/

15. Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры и не только 1. В России рекомендации по обеспечению безопасности объектов КИИ при удаленной работе в связи с COVID - 19 опубликовала ФСТЭК России . 2. Национальный координационный центр по компьютерным инцидентам выпустил уведомление об угрозах безопасности информации, связанных с пандемией коронавируса . 3. Институт SANS в документе « Security Awareness Deployment Guide – Securely Working at Home » собрал список своих материалов, которые могут быть полезны для проведение обучения сотрудников по безопасной работе из дома. 4. Национальный институт стандартов и технологий США ( NIST ) выпустил бюллетень , содержащий рекомендации по безопасному удаленному доступу и удаленной работе. 5. Американское агентство кибербезопасности и безопасности инфраструктуры ( CISA ) опубликовало документ, в котором рассмотрело вопросы обеспечения кибербезопасности организаций в рамках глобального процесса управления рисками, связанными с COVID - 19 . 6. Агентство Европейского союза по кибербезопасности ( ENISA ) опубликовало советы по кибербезопасности при удаленной работе . https://ics - cert.kaspersky.ru/reports/2020/04/30/secure - remote - work - for - critical - infrastructure/ Рекомендации ФСТЭК НКЦКИ SANS NIST ENISA CISA Сравнение рекомендаций по безопасной удаленной работе в условиях COVID - 19

Просмотры

  • 51 Всего просмотров
  • 35 Просмотров Веб-сайта
  • 16 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+