Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Безопасность АСУ ТП: итоги 2017 года

Безопасность АСУ ТП: итоги 2017 года

Дата публикации 1 февраля 2018
  • Промышленные системы/АСУ ТП

СОДЕРЖАНИЕ

  • Введение
  • Список сокращений
  • Анализ уязвимостей компонентов АСУ ТП
  • Распространенность компонентов АСУ ТП в сети Интернет
  • Заключение

ВВЕДЕНИЕ

В последние годы хакеры все чаще атакуют промышленность, энергетику, транспорт. Крупные финансовые потери судоходной компании Maersk, остановка заводов Renault Nissan, взлом системы общественного транспорта Сан-Франциско, диверсии в отношении энергетических предприятий с использованием ПО BlackEnergy и Industroyer/CrashOverride — вот лишь несколько недавних печальных примеров.

Информационная безопасность критически важных объектов неразрывно связана с защищенностью АСУ ТП (ICS). Казалось бы, в этой области проделана немалая работа — государственные органы в разных странах совершенствует законодательную базу, центры реагирования на компьютерные инциденты (CERT) выпускают бюллетени и все больше вендоров АСУ ТП понимают, что уязвимости их продуктов могут стать причиной срыва крупного контракта1 или даже привести к человеческим жертвам.

Однако несмотря на ощутимые финансовые потери в ходе многочисленных инцидентов и растущий интерес к практической безопасности состояние защищенности большинства объектов промышленности со времен атаки Stuxnet (с 2010 года) почти не изменилось, что и подтверждается данным отчетом.

Проблема может усугубиться повсеместным подключением АСУ ТП к глобальным сетям, которое ожидается с приходом четвертой индустриальной революции. В таких условиях вполне возможен перехват управлением технологическим процессом из любой точки земного шара без непосредственного физического доступа.

Cегодня практически любой продвинутый пользователь интернета с помощью общедоступных поисковых систем может обнаружить в сети IP-адреса компонентов промышленного сетевого оборудования (коммутаторов, конвертеров интерфейсов, шлюзов и т. п.). И если злоумышленники получат контроль над такими устройствами, это может нарушить функционирование инженерных систем зданий или производственной инфраструктуры. В 2017 году мы зафиксировали увеличение доли уязвимостей такого оборудования2.

Данное исследование, уже четвертое по счету, содержит результаты анализа уязвимостей компонентов АСУ ТП и их распространенности в сети Интернет и позволяет оценить ситуацию в динамике за последние несколько лет.

СПИСОК СОКРАЩЕНИЙ

RTU — remote terminal unit

SCADA — supervisory control and data acquisition

АСУ ТП — автоматизированная система управления технологическим процессом

ЛВС — локальная вычислительная сеть

ПЛК — программируемый логический контроллер

ПО — программное обеспечение

РСУ — распределенные системы управления

ТУД — терминал удаленного доступа и управления

ЧМИ — человеко-машинный интерфейс

АНАЛИЗ УЯЗВИМОСТЕЙ КОМПОНЕНТОВ АСУ ТП

Методика исследования уязвимостей

В качестве основы для исследования была использована информация из общедоступных источников, таких как базы знаний уязвимостей, уведомления производителей, сборники эксплойтов, доклады научных конференций, публикации на специализированных сайтах и в блогах3.

В качестве базы знаний уязвимостей использовались следующие ресурсы:

  • ICS-CERT (ics-cert.us-cert.gov);
  • NVD (nvd.nist.gov), CVE (cve.mitre.org);
  • Positive Research Center (securitylab.ru/lab);
  • Siemens Product CERT (siemens.com/cert);
  • Schneider Electric Cybersecurity Support Portal4

Степень риска уязвимостей компонентов АСУ ТП определяется на основе значения Common Vulnerability Scoring System (CVSS) третьей версии (first.org/cvss).

Динамика обнаружения уязвимостей

При анализе опубликованных уязвимостей был использован ограниченный список, в который вошли крупные и наиболее известные производители оборудования, используемого в промышленной автоматизации.

По сравнению с 2016 годом количество новых опубликованных уязвимостей выросло: на момент подготовки исследования была обнародована информация о 197 уязвимостях основных производителей. Следует отметить, что данные по некоторым уязвимостям могут быть опубликованы позже, после их устранения: это определяется политикой ответственного разглашения. Например, 30 уязвимостей оборудования компании Moxa, обнаруженные в 2016 году, были опубликованы только в 2017 году.

Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП
Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП

Количество опубликованных в 2017 году уязвимостей по производителям

По сравнению с 2016 годом лидеры поменялись. Первую позицию вместо компании Siemens теперь занимает Schneider Electric. В 2017 году было опубликовано почти в десять раз больше уязвимостей (47), связанных с компонентами этого вендора, нежели годом ранее (5). Также следует обратить внимание на количество новых недостатков безопасности в промышленном сетевом оборудовании Moxa — их было опубликовано вдвое больше (36), чем в прошлом году (18).

Количество опубликованных в 2017 году уязвимостей по основным производителям компонентов АСУ ТП
Количество опубликованных в 2017 году уязвимостей по основным производителям компонентов АСУ ТП

Уязвимости по компонентам

Основной тренд — рост числа новых уязвимостей в промышленном сетевом оборудовании. Недостатки безопасности были выявлены в продукции Moxa (36), Hirschmann (4) и Phoenix Contact (4). Если в 2016 году в сетевых устройствах было разглашено в полтора раза меньше уязвимостей, чем в компонентах SCADA/ЧМИ/РСУ5 , то по итогам минувших 12 месяцев разрыв сократился до минимума.

Доля новых уязвимостей в различных компонентах АСУ ТП
Доля новых уязвимостей в различных компонентах АСУ ТП

К наиболее распространенным типами уязвимостей относятся «Раскрытие информации», «Удаленное выполнение кода» и «Переполнение буфера». В 2016 году два лидера были теми же, а на третьем месте находились уязвимости типа «Отказ в обслуживании».

Распространенные типы уязвимостей компонентов АСУ ТП
Распространенные типы уязвимостей компонентов АСУ ТП

Распределение по метрикам CVSS версии 3 по сравнению с 2016 годом практически не изменилось. Большинство обнаруженных в этом году уязвимостей могут эксплуатироваться удаленно без необходимости предварительного получения каких-либо привилегий.

Распределение уязвимостей в соответствии со значениями метрик CVSS
Распределение уязвимостей в соответствии со значениями метрик CVSS

Степень риска выявленных уязвимостей

Больше половины выявленных уязвимостей относятся к критической и высокой степени риска в соответствии с оценкой CVSS версии 3. При этом доля уязвимостей критической степени риска выросла на 3% по сравнению с предыдущим годом.

Распределение уязимостей по степеням риска
Распределение уязимостей по степеням риска

РАСПРОСТРАНЕННОСТЬ КОМПОНЕНТОВ АСУ ТП В СЕТИ ИНТЕРНЕТ

Методика исследования

Сбор данных о доступности компонентов АСУ ТП в сети Интернет осуществлялся исключительно пассивными методами. Использовались результаты сканирования портов ресурсов, доступных в сети Интернет, которые были получены с помощью общедоступных поисковых систем — Google, Shodan (shodan.io), Censys (censys.io).

При использовании пассивных методов сбора данных о доступности компонентов АСУ ТП в сети Интернет были выявлены некоторые ограничения:

  • Сервис Shodan сканирует ограниченное число портов и производит сканирование сети Интернет с определенных IP-адресов, которые вносятся некоторыми администраторами и производителями сетевых экранов в черные списки. Поэтому для расширения области анализа использовались данные, полученные с помощью поисковых систем Google и Censys.
  • Определение версий используемых продуктов зачастую не представлялось возможным по причине отсутствия данных о них в баннерах (т. е. в текстах, отображаемых исследуемыми хост-серверами).

После получения информации из общедоступных источников был проведен ее дополнительный анализ на предмет взаимосвязи с АСУ ТП. Специалисты Positive Technologies составили базу данных идентификаторов АСУ ТП, которая позволяет на основе баннера сделать заключение об используемом продукте и его производителе.

Распространенность

В результате исследования всего было выявлено 175 632 компонента АСУ ТП, доступных в сети Интернет.

Если рассматривать доступные компоненты в зависимости от используемого ими протокола, то наибольшее количество компонентов АСУ ТП, как и в прошлые годы, доступно по протоколу HTTP. Также широко распространен протокол Fox, используемый в продуктах Niagara Framework: он предназначен преимущественно для автоматизации зданий, сооружений, дата-центров. Подобные системы управляют кондиционированием, энергоснабжением, телекоммуникациями, сигнализацией, освещением, камерами видеонаблюдения и другими ключевыми инженерными элементами, часто содержат уязвимости6 и уже подвергались взлому7.

Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по используемым протоколам)
Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по используемым протоколам)

Территориальное распределение

Лидером по количеству найденных компонентов с большим отрывом уже не первый год является США, при этом их доля возросла почти на 10% и теперь составляет примерно 42% от общего числа найденных компонентов. Второе место, как и в прошлом году, занимает Германия (6%). Далее расположилась Франция (5%), а Китай с третьего места переместился на шестое.

Интересный факт

Россия в этом году поднялась на три позиции и занимает 28-е место. В 2016 году в России был обнаружен 591 компонент АСУ ТП, а в 2017 году — 892. Можно говорить о растущей угрозе, связанной с увеличением доступных из интернета компонентов АСУ ТП, расположенных в России.

Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по странам)
Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по странам)

Распространенность по производителям и продуктам

На первом месте — компания Honeywell, которая является владельцем компании Tridium и продукта Niagara Framework. Следует отметить, что часть других продуктов серии Niagara остались под старой маркой, поэтому Tridium отдельно присутствует в отчете.

Второе место в этом году заняла Lantronix. Это калифорнийская компания — производитель устройств для удаленного доступа к оборудованию через интернет.

Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по производителям)
Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по производителям)

Согласно недавнему исследованию8, в интернете доступно несколько тысяч конвертеров интерфейсов производства Lantronix, и почти половина этих устройств раскрывает свои пароли для подключения по протоколу Telnet. Это подтверждаются и нашим исследованием: мы обнаружили в общей сложности 12 120 доступных устройств Lantronix, в том числе и уязвимых.

Доступность таких устройств, несмотря на их вспомогательную роль, представляет большую опасность для технологического процесса. Конвертеры интерфейсов необходимы для связи компонентов АСУ ТП друг с другом и нарушение их работы может вызвать потерю удаленного контроля и управления. Например, в ходе кибератаки на энергосистему Украины9 злоумышленники удаленно вывели из строя конвертеры компании Moxa, в результате чего была потеряна связь с полевыми устройствами на электроподстанциях. Это привело к потере возможности удаленного управления коммутационным оборудованием подстанций.

Программный продукт Niagara Framework по-прежнему лидирует по количеству доступного в интернете оборудования. Помимо конвертеров сетевых интерфейсов компании Lantronix, которые в этом году вышли на второе место, лидирующие позиции также заняли конвертеры компании Moxa.

Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по продуктам)
Количество компонентов АСУ ТП, доступных в сети Интернет (распределение по продуктам)

Типы компонентов АСУ ТП

Распределение доступных в интернете компонентов по типам в этом году практически не изменилось. Единственное отличие по сравнению с предыдущим годом — значительное увеличение доли сетевых устройств.10

Соотношение типов компонентов АСУ ТП, доступных в сети Интернет
Соотношение типов компонентов АСУ ТП, доступных в сети Интернет

ЗАКЛЮЧЕНИЕ

По итогам 2017 года отмечается увеличение количества уязвимостей, опубликованных основными производителями компонентов АСУ ТП. При этом больше половины уязвимостей имеют критическую и высокую степень риска.

Количество компонентов АСУ ТП, доступных в сети Интернет, увеличивается с каждым годом. Наибольшее их число обнаружено в странах, в которых системы автоматизации развиты лучше всего (США, Германия, Франция, Канада, Италия, Китай).

Рост количества известных уязвимостей, а также доступных в интернете компонентов АСУ ТП дает злоумышленникам все больше возможностей для проведения атак, что может привести к серьезным последствиям. Для реагирования на сложные атаки в сфере АСУ ТП необходима большая заблаговременная подготовительная работа. Еще на этапе проектирования АСУ ТП разработчики должны предусматривать механизмы безопасности, предназначенные для защиты компонентов АСУ ТП от нарушителей.

Для выявления потенциальных векторов атак и создания эффективной системы защиты промышленные предприятия должны проводить регулярный анализ защищенности АСУ ТП, а также использовать специализированные системы управления инцидентами кибербезопасности АСУ ТП.

Также необходимо применять базовые принципы обеспечения информационной безопасности:

  • отделять технологическую сеть АСУ ТП от корпоративной ЛВС и внешних сетей;
  • ограничивать физический доступ к сетям и компонентам АСУ ТП;
  • использовать строгую парольную политику;
  • контролировать параметры сетевого оборудования и правила фильтрации трафика на межсетевых экранах;
  • защищать привилегированные учетные записи;
  • минимизировать привилегии пользователей и служб;
  • использовать антивирусное программное обеспечение;
  • регулярно обновлять ПО, устанавливать обновления безопасности ОС.
  1. В декабре 2017 года «Транснефть» объявила, что больше не будет использовать оборудование производства Schneider Electric из-за многочисленных уязвимостей, ставящих под угрозу кибербезопасность компании.
  2. Примеры атак с использованием сетевого оборудования будут описаны в нашем отдельном исследовании; следите за новостями на сайте ptsecurity.com.
  3. digitalbond.com, scadahacker.com, immunityinc.com/products/canvas, exploit-db.com, rapid7.com/db
  4. schneider-electric.com/b2b/en/support/cybersecurity/report-an-incident.jsp
  5. Компоненты АСУ ТП для диспетчеризации и мониторинга.
  6. ics-cert.us-cert.gov/advisories/ICSA-12-228-01A
  7. info.publicintelligence.net/FBI-AntisecICS.pdf
  8. bleepingcomputer.com/news/security/thousands-of-serial-to-ethernet-devices-leak-telnet-passwords/
  9. boozallen.com/content/dam/boozallen/documents/2016/09/ukraine-report-when-the-lights-went-out.pdf
  10. В эту группу вошли элементы, которые нельзя однозначно отнести к определенному типу. Например, такие многофункциональные продукты, как Niagara Framework.
Скачать PDF
Статьи по теме
  • 24 августа 2021 Риски ИБ в промышленных компаниях
  • 11 апреля 2019 Уязвимости в АСУ ТП: итоги 2018 года
  • 28 февраля 2023 Актуальные киберугрозы для промышленных организаций: итоги 2022 года
Поделиться:
Ссылка скопирована
Статьи по теме
11 апреля 2019

Уязвимости в АСУ ТП: итоги 2018 года

23 апреля 2018

Промышленные компании: векторы атак

24 августа 2021

Риски ИБ в промышленных компаниях

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта