Компания Trend Micro опубликовала результаты исследования Threats and Consequences: A Security Analysis of Smart Manufacturing Systems, посвящённого атакам на промышленные объекты. В нём описывается, как современные хакеры могут использовать нестандартные векторы атаки, чтобы выводить из строя «умное» оборудование на производстве.
Для работы над этим исследованием специалисты Trend Micro объединили усилия с Миланским техническим университетом (Politecnico di Milano), который предоставил свою лабораторию Industry 4.0 с реальным производственным оборудованием от лидеров отрасли. На примере этого оборудования было продемонстрировано, как киберпреступники могут использовать функции и уязвимости в объектах промышленного интернета вещей в своих целях, например, для промышленного шпионажа или получения финансовой выгоды.
«В прошлом киберпреступники применяли для атак на производственное оборудование традиционное вредоносное ПО, которое можно было обезвредить при помощи обычных средств защиты сетевой инфраструктуры и конечных устройств. Современные же хакеры предпочитают разрабатывать специализированные инструменты, которые используют сами операционные технологии, чтобы избежать обнаружения, — отметил Билл Малик (Bill Malik), вице-президент направления инфраструктурных стратегий вTrend Micro. — В ходе работы над исследованием мы выявили, что есть целый ряд возможных векторов атак, целью которых станут подобные уязвимости объектов индустрии 4.0. В результате промышленным предприятиям может быть нанесён ощутимый ущерб, как финансовый, так и репутационный. Для борьбы с этими новыми атаками мы порекомендовали бы специализированные решения для промышленного интернета вещей, которые способны выявлять и устранять сложные целевые угрозы».
«Политехнический университет Милана считает обеспечение безопасности объектов индустрии 4.0 и повышение надёжности систем их автоматизации и управления одной из своих важнейших задач. Особенно это актуально в связи с тем, что эти объекты становятся всё более важной частью современного производства и оказывают всё большее влияние на бизнес-сферу», — отмечают Джакомо Тавола (Giacomo Tavola), профессор Миланского технического университета, работающий в области разработки и менеджмента производственных систем, и Стефано Дзанеро (Stefano Zanero), доцент того же университета и специалист по вопросам кибербезопасности.
В ключевых объектах «умного» производства в основном используются проприетарные системы, но по своей вычислительной мощности они вполне сравнимы с традиционным ИТ-оборудованием. Это значит, что возможности таких систем во много раз превышают необходимые для выполнения целей, для которых они были развёрнуты, и злоумышленники могут обратить эти «лишние» мощности себе на пользу. Хотя в таких системах чаще всего используются проприетарные языки, они, как и в случае с атаками на ИТ-системы, могут применяться для ввода вредоносного кода, получения доступа к другим объектам сети или кражи конфиденциальной информации без риска обнаружения.
«Умные» производственные системы изначально проектируются и развёртываются как изолированные объекты, но эта изоляция разрушается по мере роста взаимодействия между информационными и операционными технологиями в производстве. Из-за применения этого подхода такие системы по умолчанию почти лишены механизмов для борьбы с вредоносным ПО и проведения проверок целостности.
К числу систем и оборудования, уязвимых для взлома, относятся, например, системы управления производством (MES), интерфейсы «человек-машина» (HMI) и настраиваемые объекты промышленного интернета вещей. Они являются слабым звеном в системе безопасности производственного объекта, которое хакеры могут использовать, чтобы повредить изготавливаемые товары, вызвать неисправности оборудования или внести изменения в рабочие процессы, что приведёт к выпуску бракованной продукции.
В исследовании предлагаются комплексные меры для защиты от атак и снижения их негативного воздействия, включая:
- глубокую инспекцию пакетов, которая поддерживает протоколы операционных технологий и способна выявить аномальные пакеты данных на уровне сети;
- регулярные проверки целостности, которые помогут обнаружить изменённые хакерами компоненты ПО на конечных устройствах;
- использование подписи исполняемого кода в устройствах промышленного интернета вещей, включая зависимые объекты и ПО, например, библиотеки от сторонних производителей;
- анализ рисков, который затрагивает не только физическую безопасность производства, но и ПО для его автоматизации;
- цепочки сертификатов для всех данных и программного обеспечения в «умных» производственных средах;
- применение инструментов для обнаружения и распознавания уязвимостей/"программных закладок" в сложном производственном оборудовании;
- применение «песочниц» и разделение привилегий для ПО промышленного оборудования.