Промышленные системы видят больше уязвимостей, большую угрозу


Реальные угрозы для промышленных систем управления (ICS) стали более очевидными в 2021 году, поскольку количество уязвимостей, обнаруженных в устройствах операционных технологий (OT) и системах, которые управляют этими устройствами, подскочило более чем вдвое, в то время как группы программ-вымогателей продолжали атаковать производственные и критические предприятия. инфраструктура.

Согласно опубликованному на прошлой неделе двухгодичному отчету компании по промышленной кибербезопасности Claroty, количество уязвимостей, о которых сообщалось в 2021 году, увеличилось на 52% до почти 1440 по сравнению с предыдущим годом. Кроме того, исследователи кибербезопасности расширились: 21 из 82 поставщиков, пострадавших от недостатков безопасности в своем программном или микропрограммном обеспечении, ранее не сообщали об уязвимостях в своих системах. В отчете Claroty говорится, что почти две трети обнаруженных проблем безопасности можно использовать удаленно.

Увеличение числа уязвимостей, а также набеги исследователей на ранее изученные продукты поставщиков показывают, что существует больший интерес к промышленным системам управления, говорит Амир Премингер, вице-президент по исследованиям в Claroty.

Диаграмма, показывающая уязвимости в промышленных системах управления
Количество зарегистрированных уязвимостей ICS увеличилось вдвое за последний год, при этом все большее число уязвимостей было обнаружено внутри компании. Источник: Отчет Claroty Biannual ICS о рисках и уязвимостях, второе полугодие 2021 г.

“Они [attackers] пытаются изучить и получить доступ к промышленным системам управления, и эти уязвимости станут их игровой площадкой, — говорит он. , барьер очень-очень низок — вам не нужно взламывать три слоя облака, чтобы использовать их».

Тревожный звонок для колониального трубопровода
II и OT стали серьезной проблемой для разработчиков политики в области кибербезопасности, потому что по своей природе они превращают цифровые угрозы в физические риски. Например, атака программы-вымогателя на ИТ-системы компании по доставке нефти Colonial Pipeline в мае 2021 года привела к прекращению поставок нефти и газа, что привело к резкому росту цен на газ и дефициту на заправке.

Кроме того, исследователи кибербезопасности заметили повышенное внимание к промышленным системам управления, поскольку злоумышленники нацеливались на операционные технологии в преддверии войны на Украине. Например, 26 февраля Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) предупредило, что российские злоумышленники предприняли серьезные атаки до вторжения в Украину, используя две программы очистки, чтобы вызвать перебои в работе государственных служб.

В целом, атаки на критическую инфраструктуру и промышленные системы управления стали более распространенными, потому что растущий объем исследований дал злоумышленникам лучшее понимание систем, а схемы киберпреступников, в первую очередь программы-вымогатели, сделали атаки на операционные системы прибыльными, Дин Парсонс, сертифицированный инструктор SANS и специалист по промышленной кибербезопасности, написал в отчете SANS, опубликованном на прошлой неделе.

«Мы видим, что злоумышленники проявляют все большую изобретательность в атаках на промышленные предприятия, потому что они видят возможность платить быстрее и платить больше», — говорит он. «Эти угрозы не исчезнут, потому что противники видят отдачу от своих инвестиций».

Поскольку злоумышленники также имеют более широкий доступ к исследованиям по OT и ICS, этот барьер для входа практически исчез. В результате, согласно отчету Claroty, все больше поставщиков промышленных систем управления, операционных технологий и устройств промышленного Интернета вещей (IIoT) сталкиваются с сообщениями об уязвимостях в своих продуктах. В то время как Siemens, крупный поставщик технологий промышленного управления, по-прежнему является поставщиком с наибольшим количеством сообщений об уязвимостях — 251 во второй половине 2021 года — четверть поставщиков во второй половине и треть поставщиков в первой половине сделали это. за последние 12 месяцев не было обнаружено уязвимостей.

«Это хорошие примеры поставщиков, у которых не было CVE. [identified vulnerability] в своих продуктах», — говорит Премингер из Claroty, внезапно обнаружив свою технологию под микроскопом». Это не связано с тем, что у них нет уязвимостей. Это увеличение связано с тем, что исследователи безопасности, наконец, овладели технологией и получили возможность проводить исследования».

Загадка исправления
Лишь 69% уязвимостей АСУ, обнаруженных во второй половине 2021 года, удалось полностью устранить, что выдвигает на первый план еще одну проблему промышленных систем управления и ОТ — сложность обновления программного обеспечения и устройств, входящих в состав критической инфраструктуры.

«Эти циклы могут занимать значительно больше времени, чем традиционное управление ИТ-исправлениями, что часто делает меры по смягчению последствий единственным вариантом исправления, доступным для защитников», — говорится в отчете Claroty. «Поставщики, внутренние аналитики и менеджеры по безопасности также должны уделять первоочередное внимание отслеживанию уязвимостей в продуктах с истекшим сроком службы и в продуктах, обновления которых могут быть сложными или простои недопустимы».

Хотя количество уязвимостей растет, они не являются лучшим показателем риска, с которым сталкиваются производители, поскольку многие компании, такие как Siemens, активно находят проблемы и устраняют их до того, как злоумышленники смогут ими воспользоваться. По словам Парсонса из Института SANS, более важно, чтобы компании понимали, какие действия предпринимают злоумышленники, будь то использование конкретных уязвимостей или поиск других способов атаки на критически важную инфраструктуру.

По словам Парсонса, безопасность АСУ ТП и ОТ требует иных соображений, чем безопасность ИТ, и к ним нельзя относиться одинаково.

«Конечно, там есть уязвимости, но мы не должны сосредотачиваться на уязвимостях, мы должны сосредоточиться на том, что делают злоумышленники», — говорит он. «Нам нужно иметь больше видимости для конкретной сети — без этого мы буквально слепы к тому, что злоумышленники делают с промышленными системами управления. Видимость — это ключ к опережению этого».

Фактически, согласно отчету компании Dragos, занимающейся безопасностью критически важной инфраструктуры, 86% компаний, которые наняли поставщика услуг кибербезопасности, не имели возможности контролировать свои операционные технологические сети, что не позволяло подключаться к их OT-системам извне. Провайдер кибербезопасности обнаружил, что две группы — Conti и LockBit 2.0 — широко использовали отсутствие видимости промышленных фирм, что составляет 51% атак программ-вымогателей против компаний.

https://cyberxhack.org/