Новости: Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите
22.05.2020

Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите

Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите Атаки на производственные системы и IIoT: основные векторы и рекомендации по защите

Сектор промышленности на текущий момент находится в стремительном развитии и цифровизации. А подступающая Четвертая промышленная революция – Industry 4.0 – видоизменит сферу промышленности еще сильнее. На фоне прогрессирующей цифровизации вопрос анализа рисков становится как никогда острым, особенно в такой чувствительной сфере.

Эксперты компании Trend Micro, в объединении с Миланским техническим университетом (Politecnico di Milano) и на базе его технологической лаборатории с производственным оборудованием лидеров отрасли, проанализировали и продемонстрировали системные уязвимости в Промышленном Интернете вещей (Industrial IoT, IIoT) и производственных системах. 

Целями злоумышленников могут быть как промышленный шпионаж и финансовая выгода, так и попытки саботировать производственный и другие процессы. Точки вхождения: АРМ операторов и инженеров поддержки и разработки, системы управления производством (MES), интерфейсы управления «человек-машина» (HMI), базы данных и внешние подключаемые библиотеки.

Векторы обнаруженных атак:

• Компрометация инженерного АРМ через вредоносный add-in или уязвимости программного окружения для разработки функций автоматизации. Злоумышленник может как собрать и украсть конфиденциальную информацию, так и закрепиться в системе и использовать ее для управления другими производственными частями предприятия, вплоть до остановки промышленных процессов.

• Заражение трояном устройств IIoT. Для разработки прошивок для таких устройств используются открытые библиотеки и репозитории, где не всегда реализован контроль целостности ПО и возможно заражение ПО вредоносным кодом. 

• Уязвимости в ПО мобильного интерфейса управления «человек-машина» – mobile HMI. 

• Искажение данных на системах управления производством (MES) для вызова сбоя в производственном процессе, например, путем изменения параметров на индикаторы дефектности или ввода параметров вне ожидаемого списка (out-of-bound), что приведет к отказу в обслуживании и заблокирует производство.

• Использование уязвимой или вредоносной логики автоматизации в сложной производственной машине. Введенные в логику ошибки программирования сложные системы могут использоваться злоумышленниками для нарушения производственного процесса, если они уже получили доступ к промышленной сети.

Исследователи Trend Micro показали, что системы являются достаточно уязвимыми перед действиями злоумышленников, а также подвержены как ошибкам и сбоям, так и утечкам различных конфиденциальных данных, в том числе телеметрии. Несмотря на то, что промышленные системы используют проприетарные протоколы и специфичные шины данных.

Таким образом, охрана периметра и точек входа в промышленные системы становится критичной задачей. Для промышленного оборудования и пограничных систем, точек входа в промышленную сеть необходимо обеспечить:

1. контроль целостности среды функционирования как для АРМ, так и для сетевой среды на отсутствие неучтенных сетевых устройств,

2. фильтрацию сетевого трафика в режиме «Белого листа», если возможно – с поддержкой анализа параметров для промышленных протоколов,

3. глубокий анализ трафика на наличие попыток сетевых атак (deep packet inspection) и аномалий, желательно с поддержкой анализа промышленных протоколов,

4. для устройств IIoT осуществлять контроль целостности прошивки и антивирусную проверку используемого ПО и библиотек, использование подписи исполняемого кода, включая зависимые объекты и библиотеки,

5. использование цепочек сертификатов в производственных средах,

6. использование «песочниц» и инструментов для обнаружения и распознавания уязвимостей и программных закладок,

7. разделение привилегий для ПО промышленного оборудования,

8. анализ рисков физических и информационных систем, использование доступного мониторинга событий систем средствами SIEM. 

Напомним, что для защиты промышленных систем существует ряд эффективных решений, с производителями которых тесно сотрудничает группа компаний Angara:

• Kaspersky Industrial CyberSecurity – это набор технологий и сервисов, созданных для защиты различных уровней промышленной инфраструктуры и других элементов предприятия, в том числе серверов SCADA, операторских панелей, инженерных рабочих станций, ПЛК, сетевых соединений и даже самих инженеров. 

• PT Industrial Security Incident Manager – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, выявление кибератак и неавторизованные действия персонала на ранней стадии.

• Решения Trend Micro, которые можно использовать для защиты промышленной среды:

  • TippingPoint IPS, Deep Discovery и TippingPoint Advanced Threat Protection используются для анализа и защиты сети на наличие сетевых атак и сетевых аномалий,

  • Deep Security позволяет выполнять виртуальный патчинг для ОС функционирования систем управления и известных компонент и библиотек приложений, контроль установленных приложений обеспечит целостность среды функционирования, 

  • OfficeScan включает в себя антивирусную защиту платформ и фильтрацию вредоносных URL, в топ числе command-and-control соединения, а также контроль USB устройств,

  • Trend Micro Vulnerability Protection поддерживает детектирование сложного вредоносного ПО, направленного на ОС и известные компоненты приложений SCADa систем,

  • Trend Micro Endpoint Application Control выполняет контроль целостности среды для систем управления производством через запрет установки нелегитимного ПО и компонент ОС.

Кроме того, большинство ИБ-решений других производителей поддерживают анализ промышленных протоколов (например, Check Point Industrial FW), а также базовый анализ прикладного ПО (контроль аномалий, контроль целостности и т.д.).

По вопросам проектирования и реализации решений по защите промышленных систем вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие новости

Присоединиться к #AngaraTeam!