Kaspersky Lab опубликовала отчет об угрозах информационной безопасности промышленных предприятий

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации»

Исследователи Kaspersky Lab ICS CERT провели анализ уязвимостей информационных систем промышленных предприятий за вторую половину 2017 года и опубликовали подробный отчет, включая сравнительную статистику по двум полугодиям.

Хайлайты обзора

  • 55 % брешей автоматизированных систем приходится на отрасль энергетики.
  • Все самые опасные уязвимости характеризуются проблемами аутентификации, удаленным исполнением кода и простотой эксплуатации.
  • Самые распространенные типы брешей — переполнение буфера и неправильная аутентификация.
  • Обнаружены серьезные уязвимости в программных платформах и сетевых протоколах, которые можно использовать для атаки на системы автоматизации многих промышленных предприятий.
  • Возросло количество брешей в IoT-устройствах, за ним увеличилось число ботнетов.

В разделе обзора исследователи принимали в расчет уязвимости, полученные из трех источников: открытые базы, уведомления производителей, анализ Kaspersky Lab ICS CERT.

Уязвимости, обнаруженные Kaspersky Lab

За 2017 год специалисты выявили 63 уязвимости в различных компонентах автоматизированных систем.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 1

52 % брешей в безопасности позволяли провести DoS-атаку, 8 % — удаленно запустить код в уязвимой системе. Большинство уязвимостей получили оценку критичности от 7 и выше по метрике CVSS v3.0 (Common Vulnerability Scoring System).

Исследователи обращали внимание не только на решения конкретных промышленных систем, но и на компоненты, используемые разными производителями. В программно-аппаратном комплексе SafeNet Sentinel специалисты обнаружили 15 уязвимостей, которые открывали для атак огромное количество производителей ПО, включая решения General Electric, HP и Zemax.

Авторы отчета отмечают, что разработчикам стоит обратить внимание на вопрос оповещения клиентов о выходе версии продукта, в которой устранена проблема с безопасностью. Некоторые пользователи остаются в неведении и задействуют уязвимое ПО.

Вредоносные программы

За второе полугодие 2017 года защитные механизмы Kaspersky Lab зафиксировали 17,9 тыс. модификаций зловредных программ из 2,4 тыс. различных семейств. Исследователи отметили, что в большинстве случаев компьютеры заражались случайно, а не в результате целевой атаки.

В отчете приводится разбор случаев заражения WannaCry компьютеров в технологической сети, а также атаки различных майнеров на системы промышленной автоматизации. Первую половину 2017 года процент компьютеров, зараженных майнерами, не превышал 1 %, но в сентябре показатель подскочил до 1,29 %, в октябре — до 2,07 % и так и не восстановился до прежних значений.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 2

Вряд ли компьютеры технологической сети подвергаются целевой атаке майнеров: у специалистов нет этому достоверных подтверждений. В основном, системы цепляют майнеры из Интернета, вчетверо реже — со съемных носителей.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 3

Атаки ботнет-агентов случались чаще: им подверглись 10,8 % всех систем промышленной автоматизации.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 4

Несмотря на преимущественно случайный характер заражения, в 2017 году зарегистрированы две целевые атаки — Industroyer и Trisis/Triton. Кроме того, промышленные организации подвергались фишинговым атакам, из них самая известная — шпион Formbook, который эксплуатирует уязвимость CVE-2017-8759 или использует макросы.

Статистика угроз

Во второй половине 2017 года безуспешно атакованы 37,8 % компьютеров промышленных сетей, защищаемых продуктами Kaspersky Lab. Статистика показывает спад активности вредоносов к середине лета:

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 5

Специалисты проследили различие в статистике атак, распределенной по индустриям, между двумя полугодиями 2017 года.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 6

Основные источники те же — Интернет, съемные носители, а также почтовые клиенты.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 7

Во второй половине 2017 года 26,6 % атак исходили от вредоносных программ, принадлежащих классу Trojan.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 8

Самой популярной целью остается Windows x86, хотя к концу года количество атак, рассчитанных на JavaScript, заметно увеличилось, что подвинуло платформу на третью строку списка. Исследователи связывают этот факт с распространением фишинговых писем, содержащих Trojan-Ransom.Win32.Locky.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 9

Специалисты Kaspersky Lab составили карту, отражающую процент атакованных компьютеров в стране. Самый высокий уровень во Вьетнаме — 69,6 %. Россия с 21 места поднялась до 13, ее показатель составляет 46,8 %.

Меньше всего атак зарегистрировано в Израиле (8,6 %), Дании (13,6 %) и Великобритании (14,5 %).

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 10

Об отборе данных исследователи рассказали в разделе «Методология».

В заключение специалисты составили списки рекомендаций для промышленных организаций, включающие меры по защите от случайных и целевых атак, а также от конкретных угроз, выявленных в исследовании.

Источник: Kaspersky Lab ICS CERT