Угроза неклассического DDoS растет

Исследователи тестировали систему PXC4.E16 - программируемую систему автоматизации зданий семейства Desigo от Siemens. Выяснилось, что инструмент для ввода систем в эксплуатацию содержит уязвимость, которая при определенных условиях (задание слишком длинного ключа при создании или редактировании учетной записи) может вызвать отказ в обслуживании всей системы. Исследователям удалось сделать систему неработоспособной в течение нескольких дней.

"Возможно, что субъекты угроз могут атаковать системы автоматизации бизнес-процессов, одновременно начиная атаку на другие промышленные системы управления (ICS) внутри объекта. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку. В прошлом субъекты угроз нацеливались на источник бесперебойного питания (UPS), при запуске многоуровневой атаки. Участники угроз, похоже, оценивают промышленные системы как привлекательную цель", - предупреждают в Nozomi.

Данная уязвимость, наряду еще с шестью, уже устранена Siemens. Однако проблема DDoS-атак на промышленные системы серьезно недооценивается. "Из-за напряженной геополитической обстановки и увеличенного количества атак на информационную инфраструктуру различных компаний в новостных сводках можно отметить случаи DDoS-атак на промышленную инфраструктуру", - предупреждает генеральный директор "БСС-Безопасность" Виктор Гулевич.

"В современной ситуации абсолютно закрытые выделенные сети совершенно нерентабельны, поэтому часто в промышленных системах датчики общаются друг с другом через интернет, и угроза DDoS-атак для них - реальный ежедневный риск, - считает основатель и генеральный директор Qrator Labs Александр Лямин. - В результате таких нападений может стать недоступной вся сетевая инфраструктура. Последние три недели наблюдались DDoS-атаки на различных операторов фискальных данных, а также на автоматы платежных систем".

Сдерживает такие атаки лишь то, что, как напомнил эксперт по кибербезопасности "Лаборатории Касперского" Александр Гутников, DDoS-атаки на непубличную инфраструктуру гораздо более редки, чем атаки на публичные сервисы. Это происходит просто потому, что про непубличные сетевые сервисы мало кто знает. Однако такого рода инциденты имеют место.

Также такого рода атаки сложнее для исполнителя. "Как правило, организация атак на промышленную сетевую инфраструктуру в разы сложнее. За счет использования в ней проприетарных протоколов и скрытой архитектуры проведение нападений требует от атакующих изрядной подготовки: для начала им нужно разобраться в специфике объекта, который они собираются атаковать", - считает Александр Лямин.

"Сложность любой DDoS-атаки зависит от технической подготовки исполнителя и особенностей работы атакуемого сервиса. Например, на атаку уровня L3/L4 уйдут примерно те же затраты, а вот подняться выше будет уже сложнее. Если сервис использует еще и какой-то свой нестандартный прикладной протокол, то атакующему как минимум придется узнать где-то об особенностях его работы и уязвимых местах, то есть подготовить таргетированную атаку. Это кропотливая и дорогая работа", - уверен Александр Гутников.

При этом ущерб от атак на промышленную инфраструктуру, по мнению Виктора Гулевича, может быть как прямым финансовым, вследствие того что пораженные системы окажутся неработоспособными, так и косвенным имиджевым, который может быть не меньшим вследствие оттока клиентов. При этом, как предупреждает Александр Гутников, пределов для размера ущерба нет: "Все зависит от атакованного сервиса и важности функций, которые он выполняет. В свое время червь Stuxnet показал, что атакованы могут быть любые, даже критически важные объекты. Какого-то предела для размера ущерба нет".

Положение осложняется тем, что защита от таких атак имеет свою специфику. "Все очень сильно зависит, от чего защищаться. L3/L4 не будет отличаться, а выше все уже зависит от особенностей сервиса и желаний заказчика. Теоретически под конкретный атакуемый сервис могут быть разработаны кастомные решения", - так охарактеризовал ситуацию с защитой от DDoS промышленных систем Александр Гутников.

"Защита от DDoS-атак промышленных сетей отличается тем, что протоколы в них используются кастомные, и, к сожалению, создавая эти протоколы, люди часто не задумываются о вероятности организации на них DDoS-атак, и технически не всегда бывает возможно их защитить. Поэтому лучше всего задуматься о рисках атак еще на этапе проектирования протоколов и обратиться к специалистам для организации проактивной защиты", - предупреждает Александр Лямин.