Kaspersky Lab опубликовала отчет об угрозах информационной безопасности промышленных предприятий

Исследователи Kaspersky Lab ICS CERT провели анализ уязвимостей информационных систем промышленных предприятий за вторую половину 2017 года и опубликовали подробный отчет, включая сравнительную статистику по двум полугодиям.

Хайлайты обзора

  • 55 % брешей автоматизированных систем приходится на отрасль энергетики.
  • Все самые опасные уязвимости характеризуются проблемами аутентификации, удаленным исполнением кода и простотой эксплуатации.
  • Самые распространенные типы брешей — переполнение буфера и неправильная аутентификация.
  • Обнаружены серьезные уязвимости в программных платформах и сетевых протоколах, которые можно использовать для атаки на системы автоматизации многих промышленных предприятий.
  • Возросло количество брешей в IoT-устройствах, за ним увеличилось число ботнетов.

В разделе обзора исследователи принимали в расчет уязвимости, полученные из трех источников: открытые базы, уведомления производителей, анализ Kaspersky Lab ICS CERT.

Уязвимости, обнаруженные Kaspersky Lab

За 2017 год специалисты выявили 63 уязвимости в различных компонентах автоматизированных систем.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 1

52 % брешей в безопасности позволяли провести DoS-атаку, 8 % — удаленно запустить код в уязвимой системе. Большинство уязвимостей получили оценку критичности от 7 и выше по метрике CVSS v3.0 (Common Vulnerability Scoring System).

Исследователи обращали внимание не только на решения конкретных промышленных систем, но и на компоненты, используемые разными производителями. В программно-аппаратном комплексе SafeNet Sentinel специалисты обнаружили 15 уязвимостей, которые открывали для атак огромное количество производителей ПО, включая решения General Electric, HP и Zemax.

Авторы отчета отмечают, что разработчикам стоит обратить внимание на вопрос оповещения клиентов о выходе версии продукта, в которой устранена проблема с безопасностью. Некоторые пользователи остаются в неведении и задействуют уязвимое ПО.

Вредоносные программы

За второе полугодие 2017 года защитные механизмы Kaspersky Lab зафиксировали 17,9 тыс. модификаций зловредных программ из 2,4 тыс. различных семейств. Исследователи отметили, что в большинстве случаев компьютеры заражались случайно, а не в результате целевой атаки.

В отчете приводится разбор случаев заражения WannaCry компьютеров в технологической сети, а также атаки различных майнеров на системы промышленной автоматизации. Первую половину 2017 года процент компьютеров, зараженных майнерами, не превышал 1 %, но в сентябре показатель подскочил до 1,29 %, в октябре — до 2,07 % и так и не восстановился до прежних значений.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 2

Вряд ли компьютеры технологической сети подвергаются целевой атаке майнеров: у специалистов нет этому достоверных подтверждений. В основном, системы цепляют майнеры из Интернета, вчетверо реже — со съемных носителей.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 3

Атаки ботнет-агентов случались чаще: им подверглись 10,8 % всех систем промышленной автоматизации.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 4

Несмотря на преимущественно случайный характер заражения, в 2017 году зарегистрированы две целевые атаки — Industroyer и Trisis/Triton. Кроме того, промышленные организации подвергались фишинговым атакам, из них самая известная — шпион Formbook, который эксплуатирует уязвимость CVE-2017-8759 или использует макросы.

Статистика угроз

Во второй половине 2017 года безуспешно атакованы 37,8 % компьютеров промышленных сетей, защищаемых продуктами Kaspersky Lab. Статистика показывает спад активности вредоносов к середине лета:

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 5

Специалисты проследили различие в статистике атак, распределенной по индустриям, между двумя полугодиями 2017 года.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 6

Основные источники те же — Интернет, съемные носители, а также почтовые клиенты.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 7

Во второй половине 2017 года 26,6 % атак исходили от вредоносных программ, принадлежащих классу Trojan.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 8

Самой популярной целью остается Windows x86, хотя к концу года количество атак, рассчитанных на JavaScript, заметно увеличилось, что подвинуло платформу на третью строку списка. Исследователи связывают этот факт с распространением фишинговых писем, содержащих Trojan-Ransom.Win32.Locky.

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 9

Специалисты Kaspersky Lab составили карту, отражающую процент атакованных компьютеров в стране. Самый высокий уровень во Вьетнаме — 69,6 %. Россия с 21 места поднялась до 13, ее показатель составляет 46,8 %.

Меньше всего атак зарегистрировано в Израиле (8,6 %), Дании (13,6 %) и Великобритании (14,5 %).

Отчет Kaspersky Lab «Ландшафт угроз для систем промышленной автоматизации» — диаграмма 10

Об отборе данных исследователи рассказали в разделе «Методология».

В заключение специалисты составили списки рекомендаций для промышленных организаций, включающие меры по защите от случайных и целевых атак, а также от конкретных угроз, выявленных в исследовании.

Источник: Kaspersky Lab ICS CERT