Как показало исследование Positive Technologies, уровень кибербезопасности промышленных систем в России опустился до очень низких показателей. В 75% промышленных компаний злоумышленник может проникнуть в технологический сегмент сети. В 99% случаев службы эксплуатации не владеют информацией, что на самом деле происходит внутри технологических сетей.


© ComNews
21.04.2022

При этом, как отмечают эксперты Positive Technologies, на фоне сложной геополитической обстановки наблюдается рост числа атак, что требует перехода от типовых процессов ИБ к принципам результативной безопасности.

Основной угрозой для кибербезопасности промышленных компаний является деятельность APT-группировок и хактивистов. При этом в своей деятельности злоумышленники все чаще пользуются тем, что технологический сегмент сети, в отличие от корпоративного, защищен очень слабо. "Бóльшая часть усилий промышленных предприятий по повышению своей защищенности фокусируется на корпоративных инфраструктурах. В то же время регулярно появляющиеся в СМИ истории про кибератаки на АСУ ТП говорят о низкой защищенности технологических систем, а также о том, что именно их безопасность во многом определяет уровень общей ИБ предприятий", - рассказывает руководитель направления промышленной кибербезопасности Positive Technologies Роман Краснов.

При этом, как отмечает Роман Краснов, службы эксплуатации продолжают полагаться на так называемый воздушный зазор, который изолирует технологический сегмент от корпоративного. Также, по его мнению, до сих пор существует опасный предрассудок, согласно которому хакер не разберется в промышленной инфраструктуре и не нанесет большого вреда. И наконец многие боятся использовать в технологическом сегменте современные активные средства защиты, которые купируют угрозы в автоматическом режиме.

Как показывает исследование Positive Technologies "Актуальные киберугрозы: итоги 2021 г.", промышленные компании, наряду с государственными и медицинскими учреждениями, стали наиболее частой целью для кибератак. На них пришлось 10% от общего числа выявленных инцидентов. При этом в связи с обострением геополитической ситуации авторы исследования прогнозируют рост количества киберугроз, что требует перехода от типовых процессов ИБ к принципам результативной безопасности. При этом жертвой кибератаки может стать любая компания, вне зависимости от ее отраслевой принадлежности.

Специалист отдела экспертных сервисов и развития SOC Positive Technologies Дмитрий Федосов на вебинаре, посвященном запуску платформы PT ICS, подробно рассказал, каким образом возможно проникновение в технологический сегмент. Тут возможно несколько сценариев. Например, связанных с проникновением через смежные сети. В ходе такой атаки злоумышленник ведет тщательную разведку и повышает свои привилегии. Также атакующие пользуются тем, что персонал может подключать рабочие станции к публичному интернету с помощью личных модемов. В ряде атак для заражения АРМ-систем диспетчерского управления применялись внешние накопители. Проникнув в технологическую сеть, атакующие могут вмешиваться в производственный процесс, выводить из строя промышленное оборудование или просто заразить инфраструктуру вредоносным ПО, например шифровальщиком. Отмечались случаи кражи данных. Так, в одной из промышленных компаний в ходе внедрения системы мониторинга сетевого трафика был обнаружен факт передачи в облачное хранилище нескольких гигабайт данных из промышленной подсети.

Платформу PT Industrial Cybersecurity Suite (ICS) участникам вебинара представил руководитель направления по развитию продуктов промышленной безопасности Positive Technologies Дмитрий Даренский. Она объединяет продукты, сервисы и консалтинг, ориентированные на защиту как корпоративного, так и технологического сегментов. Набор технических средств включает MaxPatrol SIEM, MaxPatrol VM, PT Sandbox, PT XDR, а также набор сенсоров PT ISIM. При этом компании, которые уже используют продукты от Positive Technologies для защиты корпоративной сети, могут распространить их и на технологический сегмент. Для этого, как подчеркнул Дмитрий Даренский, достаточно установить соответствующие сенсоры в технологическом сегменте и агенты на АРМ, а также приобрести дополнительные лицензии, если это необходимо. При этом поддерживаются устаревшие операционные системы, которые применяются в диспетчерских системах. PT ICS может интегрироваться и со сторонними средствами защиты, включая антивирусное ПО, межсетевые экраны и прочие средства сетевой безопасности.

Руководитель направления по развитию решений для управления уязвимостями и мониторинга ИБ Positive Technologies Илья Егоркин подробно остановился на решении такой задачи, как управление уязвимости. Для технологического сегмента данная задача не менее актуальна, чем для корпоративного. Даже если сеть остается в статичном состоянии, уязвимости постоянно накапливаются, что упрощает для злоумышленников проникновение. При этом в нынешних условиях актуальной задачей является приоретизация устранения наиболее серьезных и опасных уязвимостей, что уже нашло отражение в рекомендациях регуляторов.

"Обеспечение безопасности производственных предприятий требует единого, сквозного подхода. Необходимо организовать защиту, от периметра корпоративной сети и до конечных устройств систем автоматизации, а также применить единый арсенал современных средств защиты и мониторинга", - резюмирует Роман Краснов.

Новости из связанных рубрик