Как защитить производство от киберпреступников
Безопасность промышленных систем управления (Industrial Control Systems, ICS) оказалась в центре внимания специалистов разного профиля в последние несколько лет в связи с растущей интеграцией бизнес-процессов ИТ с операционными технологическими процессами (ОТ). И хотя эта взаимосвязь повышает эффективность и скорость производства, она подвергает ICS угрозам, которые уже десятилетиями поражают ИТ-сети.
По типу вредоносного ПО, которое злоумышленники используют в конкретных инцидентах, можно составить представление о масштабах и серьезности кибератак, выяснить мотивацию и квалификацию преступников, а также уровень развития кибербезопасности в пострадавшей сети:
- использование вымогательского ПО или майнеров криптовалюты означает финансовую мотивацию;
- вайперы или другие разрушительные вредоносные программы предполагают саботаж;
- экдоры или программы для кражи информации — признак шпионажа;
- использование специализированных вредоносных программ собственной разработки свидетельствует о высокой технической квалификации или понимании атакуемой среды, в то время как применение готовых вредоносных наборов — о любительских навыках, хотя это не всегда так.
Вредоносное ПО, обнаруженное в системе, может дать представление о пораженной сети и кибергигиене компании в целом. Очевидно, что присутствие вредоносных программ говорит о ненадлежащей практике. Например, варианты вредоносного ПО, использующие определенные уязвимости, не могут распространяться, если все устройства в сети обновлены.
С другой стороны, вирусы, заражающие файлы, указывают на то, что предыдущие инфекции не были полностью уничтожены и вирусы были обнаружены на непроверенных устройствах.
Выявив и классифицировав семейства вредоносного ПО, обнаруженные в ICS в 2020 году, мы получили представление об общем уровне безопасности промышленных систем управления, находящихся в ИТ/OT-средах, и о том, что делают злоумышленники после их компрометации.
Основные результаты
1. Вымогательское ПО остается актуальной и быстро развивающейся угрозой для промышленных систем управления во всем мире. Больше всего от таких атак в 2020 году пострадали предприятия США. Второе место поделили Индия, Тайвань и Испания.
2. Майнеры проникают в инфраструктуру ICS в основном через необновленные операционные системы. Поскольку конечные точки ICS все еще уязвимы к эксплойту EternalBlue, в ряде стран, особенно в Индии, широко распространены майнеры криптовалюты, распространяемые через инструменты Equation Group с использованием этой уязвимости.