Реагирование стало опаснее кибератаки. Но только в промышленности

Промышленность стала одной из наиболее атакуемых хакерами отраслей как в мире, так и в России. Руководитель направления безопасности промышленных систем АО "Лаборатория Касперского" Евгений Гончаров в ходе онлайн-мероприятия "Как построить идеальный SOC для промышленного предприятия" заявил, что в России просто не осталось ни одной индустриальной компании, которую бы не атаковали. При этом он оговорился, что далеко не всегда атака приводит к инциденту. Как отметил Евгений Гончаров, злоумышленники пользуются тем, что промышленные компании слабо защищены, особенно их технологические сегменты, при этом там можно найти ликвидные данные, которые нельзя обнаружить в офисной сети.

По оценке Евгения Гончарова, отраслевые различия при хакерских атаках выражены слабо, хотя нефтегазовые компании атакуют реже, а иные промышленные и электроэнергетические - чаще. Также он обратил внимание, что в перечень наиболее часто атакуемых попали системы интеллектуального здания. Основной целью злоумышленников, по оценке Евгения Гончарова, является кража данных, хотя для серьезного вмешательства в работу систем атакующим не хватает знаний о работе технологического сегмента.

"По нашим наблюдениям, в прошлом году в объявлениях на теневых площадках о продаже доступов в сети организаций по всему миру обнаружено больше всего данных именно промышленных компаний - 5,8%", - такие данные приводят эксперты компании F.A.C.C.T. (ООО "ТРАСТ", бывшая Group-IB).

По оценке руководителя Центра кибербезопасности ООО "Уральский центр систем безопасности" (УЦСБ) Виктора Вячеславова, на промышленность приходится каждая пятая кибератака в России. Он также обратил внимание на резкий рост интенсивности атак в 2022 г. и сохранение тенденции к росту в 2023 г. При этом злоумышленники, как заявил Виктор Вячеславов, используют стандартный инструментарий - фишинг, социальную инженерию, вредоносное ПО и эксплуатацию уязвимостей. По его оценке, квалификация атакующих растет, но медленно.

Евгений Гончаров также привел статистику мониторинга "Лаборатории Касперского" за 2023 г., согласно которой в ходе 67 инцидентов ущерб от мер реагирования превышал возможные последствия от инцидента, причем часто многократно. Максимальный урон от таких непродуманных мер составил $220 млн.

Руководитель направления по развитию продуктов промышленной кибер безопасности ПАО "Группа Позитив" (Positive Technologies) Дмитрий Даренский привел данные, что 70% успешных кибератак на промышленные компании проходили через технологический сегмент. Он добавил, что изоляция такого сегмента не является гарантией защищенности, поскольку обмен данными происходит все равно, например, через съемные носители или мобильные устройства, которые подключаются то к локальной, то к технологической сети. Как заявил Дмитрий Даренский, обычно к тяжелым последствиям такие инциденты не приводят, но бизнес все же несет потери из-за простоев. Он согласился, что атакующие, как правило, не обладают глубокими знаниями о технологической инфраструктуре, но и использование "традиционного" инструментария может привести к неприятным последствиям, причем зачастую из-за непродуманных мер реагирования.

"Взлом технологических сегментов, к примеру проприетарных протоколов, прошивок промышленного оборудования, физических реле, - чрезвычайно редкое явление. Атакуя промышленные предприятия, даже серьезные прогосударственные группы (APT) не тратят силы на вход через технологический сегмент, предпочитая развивать нападение через взлом офисной ИT-инфраструктуры, - говорят эксперты F.A.C.C.T. - В 90% случаев атаки на технологический сегмент идут именно через корпоративные сети. Целевые атаки на технологические сети иногда развиваются годами. Зачастую хакеры практикуют заход с внешнего периметра - проникновение в корпоративную сеть через веб-сервисы, "торчащие наружу", - например, корпоративный портал или почтовый сервис. Есть и экзотический сценарий атаки - с использованием подхода air-gap, то есть поиск "воздушного зазора" для проникновения в физически изолированные критические сегменты сети. В этом случае вредоносная программа может попасть в технологическую сеть, например, через внешние накопители. Обычно злоумышленники идут более быстрым и менее затратным путем, используя социальную инженерию - например, рассылки вредоносных писем. Или действуют через подрядчика, который сам придет в изолированную сеть, подключит к ней ПК и скомпрометирует ее".

Дмитрий Даренский обратил внимание, что атаку на технологический сегмент сложно обнаружить, при этом средства защиты, ориентированные на офисные сети, в технологических сетях применять нельзя, особенно если речь идет о системах, которые находятся в эксплуатации. Однако, по его мнению, проблем все же не так много и все они решаемы. Главной, как подчеркнул Дмитрий Даренский, является более сложное согласование взаимодействия: к ИТ и ИБ добавляются подразделения, отвечающие за эксплуатацию технологической инфраструктуры, и положение усугубляет то, что им непросто находить между собой общий язык.

"В силу дополнительных рисков, таких как остановка реального производства, проекты по внедрению средств защиты даже на уровне мониторинга сетевого окружения в технологических сегментах без активного реагирования протекают обычно трудно, со множеством дополнительных согласований и работой исключительно во временные окна, предусмотренные службой эксплуатации АСУ ТП для регламентных работ", - предупреждает директор по продуктам ООО "Гарда Технологии" (входит в группу компаний "Гарда") Павел Кузнецов.

Виктор Вячеславов напомнил, что все процедуры по обслуживанию, которые требуют остановки или перезагрузки элементов технологической инфраструктуры, например, для устранения уязвимостей, возможно проводить только во время планового технического обслуживания оборудования, которое может проводиться раз в несколько лет. Даже активное сканирование сети, необходимое для инвентаризации систем, по его словам, проводить нельзя, и приходится применять другие методы, которые более трудоемки, чем применяемые для решения аналогичных задач в офисных сетях.

Евгений Гончаров назвал основной сложностью недостаток у конечных заказчиков ресурсов и кадров. По его оценке, даже крупная компания в состоянии предотвратить не более 98% инцидентов, причем с большой долей вероятности внутренняя команда пропустит наиболее опасные атаки, в том числе целевые, за которыми стоят высокопрофессиональные организованные киберпреступные группировки или проправительственные структуры, а также заражение программами-вымогателями.

Для решения этой задачи, по мнению Евгения Гончарова, необходимо создание единой системы мониторинга и реагирования, для работы которой требуется подключить максимально возможное количество источников данных, как из офисного, так и технологического сегментов. Причем быстро решить данную задачу, по его оценке, можно лишь с привлечением команды из внешнего центра мониторинга и реагирования на угрозы ИБ (SOC, Security Operations Center).

Виктор Вячеславов признал, что в ряде случаев, например, когда речь идет о защите наиболее критичных сегментов, где действуют наиболее жесткие регуляторные ограничения, возможно создание отдельного SOC, однако использование единой структуры снижает затраты. Дмитрий Даренский назвал мониторинг изолированных сегментов внешним SOC решаемой задачей, и в практике Positive Technologies такие примеры есть.

По словам Павла Кузнецова, перед любой компанией встает выбор: "Или начинать длительный проект обеспечения средствами защиты технологического сегмента и поиска специалистов по безопасности, обладающих релевантным набором знаний в производственной кибербезопасности, или ограничиться мониторингом корпоративной сети до границы технологического сегмента, который к тому же часто изолирован от публичного интернета. А значит, злоумышленника возможно поймать и на подходе к сегменту АСУ ТП. При этом SOC в компании при правильной структуре должен быть один, на то он и Center".