Хакерские угрозы для систем промышленной автоматизации
Источник: Конструктор. Машиностроитель, журнал
Производственные и инжиниринговые компании являются основными потенциальными жертвами атак хакеров. По данным «Лаборатории Касперского», в первом полугодии 2017 года около трети всех хакерских атак пришлось на промышленные системы управления (ISC) и компьютеры компаний, занимающихся производством различного оборудования и товаров, и почти четверть была нацелена на инжиниринговые фирмы.
Распределение атакованных компьютеров АСУ по индустриям первое полугодие 2017
Технологические сети все более приближаются по сценариям использования и технологиям к корпоративным сетям, поэтому и характер угроз становится сопоставимым. Компьютеры АСУ оказываются атакованными теми же программами, что и корпоративные компьютеры - троянцами-шпионами (Trojan-Spy и Trojan-PSW), программами-вымогателями (Trojan-Ransom), бэкдорами (Backdoor) и программы типа Wiper (KillDisk), выводящие из строя компьютер и затирающие данные на диске. Все эти программы опасны для промышленных систем, т.к. заражения ими могут приводить к потере контроля или к нарушению технологических процессов.
На системах промышленной автоматизации было обнаружено около 18 тысяч различных модификаций вредоносного ПО, относящихся более чем к 2,5 тысячам различных семейств. Как правило, попытки заражения компьютеров АСУ носят случайный характер, а функции, заложенные во вредоносное ПО, не являются специфичными для атак на системы промышленной автоматизации.
Основным источником заражения компьютеров технологической инфраструктуры организаций остается Интернет. Этому способствует сопряжение корпоративной и технологической сетей, наличие ограниченного доступа к интернету из технологической сети, подключение к интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB модемов и/или Wi-Fi роутеров с поддержкой 3G/LTE).
Основные источники угроз, заблокированных на компьютерах АСУ первое полугодие 2017
Что касается подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети извне (напрямую или удаленно), то они часто имеют свободный доступ к интернету. Их компьютеры входят в группу наибольшего риска и могут стать каналом проникновения вредоносного ПО в технологические сети обслуживаемых ими предприятий.
Платформы, используемые вредоносным ПО первое полугодие 2017
На более чем 50% всех атакованных компьютеров были заблокированы вредоносные программы, которые являются исполняемыми файлами ОС Windows (Win32/Win 64). Часто злоумышленники вместо разработки исполняемого файла реализуют вредоносный функционал на одном из скриптовых языков, который выполняется интерпретаторами, уже имеющимися на компьютере предполагаемой жертвы. Рейтинг основных платформ, которые вредоносное ПО использует помимо Windows, представлен ниже.
Для защиты от хакеров «Лаборатории Касперского» рекомендует следующие меры:
- Системы, имеющие постоянную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.) необходимо изолировать в отдельный сегмент внутри технологической сети — демилитаризованную зону (DMZ);
- Системы в демилитаризованной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации);
- Весь необходимый обмен информацией между промышленной сетью и внешним миром осуществлять через DMZ;
- При необходимости в DMZ можно развернуть терминальные серверы, позволяющие использовать методы обратного подключения (из технологической сети в DMZ).
- Для доступа к технологической сети извне желательно использовать тонкие клиенты (применяя методы обратного подключения);
- По возможности не разрешать доступ из демилитаризованной зоны в технологическую сеть;
- Если бизнес-процессы предприятия допускают возможность однонаправленных коммуникаций, рекомендуем рассмотреть возможность использования дата-диодов.
![](tl_files/km_m/img/news/2019/10/min/2019_11_01_min.jpg)
![](tl_files/km_m/img/news/2019/10/min/2019_10_03_min.jpg)
![](tl_files/km_m/img/news/2019/10/min/2019_10_01_min.jpg)
![](tl_files/km_m/img/news/2019/09/min/2019_09_08_min.jpg)
![](tl_files/km_m/img/news/2019/09/min/2019_09_06_min.jpg)
![](tl_files/km_m/img/news/2019/08/min/2019_09_26_min.jpg)
![](tl_files/km_m/img/news/2019/08/min/2019_09_24_min.jpg)