В конце прошлого года в «Лаборатории Касперского» был начат проект по поиску уязвимостей нулевого дня в программно-аппаратных комплексах для промышленной автоматизации, выпускаемых крупнейшими мировыми вендорами, сообщил руководитель центра компетенции компании по защите критических инфраструктур Евгений Гончаров. Из обнаруженных к апрелю 2017 г. нескольких десятков уязвимостей, по оценкам специалистов ЛК, все относятся к критичным.
Вместе с этим, используя данные, получаемые с помощью Kaspersky Security Network, специалисты ЛК заключают, что на сегодняшний день оперативность исправления вендорами обнаруженных в их продуктах ошибок все еще оставляет желать лучшего. Так, на середину марта 2017 г. «Лабораторией Касперского» была передана вендорам информация о более чем 80 обнаруженных ею уязвимостей. По состоянию на апрель месяц исправлено было только около 30. При этом удручающе неоперативно сделанные вендорами исправления вносят в свои системы сами пользователи, вплоть до того, что готовые патчи вообще игнорируются.
В то же время на фоне непрерывного увеличения количества атак на промышленные объекты растет плотность заражения АСУ ТП, рабочих компьютеров операторов и инженеров АСУ ТП, серверов: она составляет
Согласно данным ЛК, для 22% зараженных систем автоматизации промышленных предприятий источником заражений оказался Интернет, а 11% были заражены через USB-порты. Заражения АСУ ТП происходят также из резервных копий и даже через публичные облачные хранилища данных. Все это свидетельствует либо от отсутствии надлежащих ИБ-политик, либо об их неисполнении.
Эксперты ЛК сделали вывод, что основным источником угроз для промышленных предприятий оказывается не ПО, используемое непосредственно для АСУ ТП, а ПО другого назначения, зачастую не первой важности для предприятий или даже вообще необоснованно установленное на компьютерах обслуживающего персонала.
Около 16% заражений промышленных объектов приходится на бот-сети, организованные для атак на финансовые учреждения, для проведения DDoS-атак, для рассылки спама и других целей, но вовсе не для специализированных атак на АСУ ТП. Это свидетельствует об универсальности и широком спектре функционала действующих сегодня бот-агентов, что усложняет защиту АСУ ТП.
Вместе с этим ЛК отмечает и рост количества целевых атак на промышленные предприятия. Это увязывается с тем, что криминал начал вырабатывать и осваивать схемы монетизации последствий таких атак. В них используются подложные партнерские банковские счета, вымогательство и другие приемы. Отмечается, что для организации наименее сложных целевых атак злоумышленникам требуется всего несколько часов. Понятно, что это не будут атаки уровня сложности Stuxnet, но ущерб, тем не менее, причинить они могут.
На сегодняшний день 25% от обнаруженных ЛК долговременных целевых атак (APT) приходится на промышленные предприятия, и эта доля растет. При этом специалисты компании отмечают наличие уязвимостей не только в ПО, но и в архитектурах и процессах, лежащих в основе этих архитектур.
Специалисты ЛК рассматривают как стратегические и пока не решенные для промышленных предприятий задачи обеспечения ИБ всей инфраструктуры предприятия в целом, включая интеграторов, бизнес-партнеров, поставщиков, клиентов — всех, с кем имеется цифровое взаимодействие.