Индустрия 4.0

Топ угроз промышленным предприятиям

В этом году новости о кибератаках на промышленные предприятия появлялись в СМИ наравне с сообщениями о новых уязвимостях в промышленных системах, примеры тому – случаи с Honda, Enel Group и др. По нашим данным, 59% из числа жертв сложных целенаправленных атак (атаки типа advanced persistent threat, APT-атаки) приходятся на промышленные компании. При этом результаты проведенного нами опроса среди ИБ и ИТ-специалистов организаций из сферы промышленности и топливноэнергетического комплекса, говорят о том, что более половины (60%) респондентов признают высокую вероятность успешной кибератаки, 60% респондентов подтверждают, что риск успешной атаки является для них критически значимым, но лишь 11% предприятий уверены в том, что смогут противостоять APT1-атаке.
20 января 2021

Если сравнивать угрозы российским предприятиям с угрозами предприятиям других стран, то тут мы не найдем ничего особенно специфического – векторы атак и методы киберпреступников схожи вне зависимости от местоположения промышленного объекта.

Рассмотрим самые распространенные угрозы промышленному сектору, которые мы наблюдали в 2020 году.

Шифровальщики атакуют

Ransomware – это вредоносное ПО, используемое для шифрования данных жертвы с целью дальнейшего требования выкупа за дешифровку. Шифровальщики используются в том числе в ходе целевых атак, направленных на нарушение работы предприятия, и шантажа. По данным нашего исследования «Актуальные киберугрозы: II квартал 20202 года» , чаще всего жертвами шифровальщиков становились именно предприятия: 25% всех атак направлены на промышленность, 17% – на медицинские учреждения, 14% – на госучреждения (рис. 1). Наибольшую активность в таких атаках во II квартале 20203 года проявили операторы Maze и Sodinokibi. В лидерах по числу атак с вымогательством денег за неразглашение данных также DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Некоторые, например Ako, требуют отдельно выкуп за расшифровку данных и отдельно за неразглашение.

Рис. 1. Категории жертв шифровальщиков среди юридических лиц.

Массовые атаки сменяются целенаправленными

Ежегодно появляются новые группы злоумышленников, специализирующиеся на атаках класса APT. Это тщательно планируемые группой злоумышленников атаки, направленные на конкретное предприятие с конкретными целями, так по нашим данным4 , в 88% атак мотивом киберпреступников является кража данных, в 9% – финансовая выгода (рис. 2).

Рис. 2. Мотивы атак на промышленные компании.

Инсайдеры не дремлют

Инсайдеры – это злоумышленники, имеющие доступ к ресурсам предприятия по долгу своей службы и использующие его в преступных целях (нарушение работы, кража данных и т.д.). Это могут быть сотрудники, в том числе бывшие, подрядчики или партнеры. Один из примеров негативного воздействия инсайдеров – применение техники replication through removable media5 . Технологический сегмент может быть полностью изолирован как от корпоративного, так и от Интернета вцелом. Тогда, если конечная цель злоумышленников находится именно в промышленном сегменте сети, в ход идет тяжелая артиллерия. Например, инсайдер может подключить к USB-разъемам критически важных систем съемные носители (например, флеш-накопителя) с вредоносным ПО. Так группировка Equation использовала бэкдор6 , позволяющий получать данные с компьютеров в изолированной сети. Механизм бэкдора заключается в следующем: киберпреступники распространяли посредством флеш-накопителей компьютерный червь Fanny: троян создавал в памяти съемного устройства скрытый сектор, куда собиралась информация о сети, в которой находился компьютер, когда флешка подключалась к компьютеру с выходом в интернет, собранные данные передавались на C2-сервер злоумышленников, также Equation предусмотрели механизм для передачи информации в обратном направлении: в скрытый сектор атакующие могли добавлять команды, которые выполнялись при подключении флеш-накопителя к компьютеру в изолированной сети. Троян Fanny содержал эксплойт7 для неизвестной в то время уязвимости и успешно запускался даже на компьютерах с отключенной функцией автозапуска.

Данные утекают в сеть

Еще одна нашумевшая в этом году угроза – многочисленные утечки данных, например, кражи сведений, относящихся к коммерческой тайне8 – в 58% случаев, компрометирования персональных – в 26%, или учетных данных – в 16% атак (рис. 3). Для продажи похищенных данных многие киберпреступники создают собственные сайты, где публикуют списки жертв и похищенную информацию или размещают данные на хакерских форумах. Появляются и объединения преступников, участники которых публикуют украденную информацию в рамках партнерских соглашений, например злоумышленники, стоящие за атаками шифровальщиков, покупают доступы в организации-жертвы у других преступников, предлагают сотрудничество для поиска партнеров для распространения троянов-вымогателей и обещают своим подельникам долю от суммы выкупа.

Рис. 3. Тип украденных злоумышленниками данных.

Комплаенсы нарушаются

Нарушение стандартов ИБ – еще один из возможных рисков. При этом во всем мире и в России в частности неуклонно ужесточаются меры по борьбе с киберпреступностью, которая затрагивает промышленные предприятия. Нарушение отраслевых и государственных стандартов ИБ (Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» N 187-ФЗ) потенциально может приводить к серьезной ответственности, вплоть до уголовной.

Как противостоять рискам

Обеспечение ИБ – это непрерывный процесс и задача, включающая множество аспектов. Конечно, не существует одного средства от всех угроз, как не существует одного набора инструментов, подходящего всем предприятиям – все зависит от устройства бизнеса. Если говорить о защите крупных предприятий с множеством дочерних организаций, то на сегодняшний день все они приходят к построению центров реагирования на киберугрозы (security operation center, SOC). Базовые средства, даже будучи грамотно настроены, дают защиту от случайных атак и от массовых заражений, что безусловно важно, но бессильны против профессионально организованной целевой атаки, жертвой которой могут стать в первую очередь крупнейшие компании. Создание SOC позволяет осуществлять круглосуточный мониторинг происходящего в инфраструктуре, выявлять и предотвращать развивающуюся атаку, в некоторых случаях еще до того, как она фактически началась, определять источник атаки.

С точки зрения противостояния угрозам необходимо понимать, что SOC – это специализированные технические средства и кадры с соответствующей экспертизой. Но на рынке есть дефицит специалистов, поэтому это накладывает определенные требования на технологии SOC – оставаясь профессиональными средствами, они в то же время должны быть удобными.

Сотрудникам, работающим с системами защиты, нужна возможность быстро их развернуть и освоить, получить максимум ответов и решить максимум задач, зачастую находясь в состоянии информационного шторма – например, некоторые крупнейшие промышленные SOC, построенные на базе наших продуктов MaxPatrol SIEM, PT NAD и PT ISIM, успешно обрабатывают по несколько миллиардов событий ИБ в сутки, опережая по этому показателю работу SOC финансовых организаций.

SOC промышленной компании отличается от SOC в других отраслях главным образом тем, что в нем обязательно должны быть в том числе средства контроля и мониторинга технологической сети предприятия. Такими продуктами сейчас в первую очередь являются средства анализа трафика сетей АСУ ТП: они позволяют видеть то, что происходит на уровне технологического процесса. Без этого условия промышленный SOC остается слеп в части атак, направленных на сбои производства, перед злоумышленниками открываются перспективные варианты атак, результатом которых может стать, например, кража сырья, полный вывод из строя оборудования предприятия и даже реализация катастрофических сценариев – финансовых бизнес-рисков и экологических.

Мы становимся свидетелями трансформации мотивов злоумышленников – вчера промышленные предприятия были вне зоны внимания киберпреступников, преследующих прямые финансовые цели. Сразу реализовать какую-то выгоду от атаки им было затруднительно, поэтому они концентрировались на других отраслях, например на кредитно-финансовых организациях. Но с ростом популярности шифровальщиков промышленные компании становятся целями №1 для преступных организаций, реализующих такую схему работы. Фактически сценарий с шифровальщиками объединил все угрозы предприятий в одну цепочку: «Целевая атака – Кража данных – Разворачивание шифровальщика внутри сети – Нарушение работы и одновременный шантаж как за дешифровку, так и за нераспространение украденной информации – Серьезные штрафы и ответственность первых лиц компании».

Источники

  1. Advanced persistent threat – сложная целенаправленная атака.
  2. Исследование Positive Technologies «Актуальные киберугрозы: II квартал 2020 года» – https://www.ptsecurity.cоm/ru-ru/research/analytics/cybersecuritythreatscape-2020-q2/#id8.
  3. Исследование Positive Technologies «Актуальные киберугрозы: II квартал 2020 года» – https://www.ptsecurity.cоm/ru-ru/research/analytics/cybersecuritythreatscape-2020-q2/#id8.
  4. Positive Technologies «Актуальные киберугрозы: итоги 2019 года» – https://www.ptsecurity.cоm/ru-ru/research/analytics/cybersecurity-threatscape-2019/#id16
  5. Positive Technologies « APT-атаки на промышленные компании в России: обзор тактик и техник» – https://www.ptsecurity.cоm/ru-ru/research/analytics/aptattacks-industry-2019/#sphrase_id=78968#id12
  6. Код, который оставляют атакующие на взломанной информационной системе для получения возможности удаленного доступа.
  7. Компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на систему.
  8. Positive Technologies « Актуальные киберугрозы: II квартал 2020 года» – https://www.ptsecurity.cоm/ru-ru/research/analytics/cybersecurity-threatscape-2020-
    q2/#id4.