Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Уязвимости в АСУ ТП: итоги 2018 года

Уязвимости в АСУ ТП: итоги 2018 года

Дата публикации 11 апреля 2019
  • Промышленные системы/АСУ ТП

Содержание

  • Введение
  • Список сокращений
  • Анализ уязвимостей компонентов АСУ ТП
  • Распространенность компонентов АСУ ТП в интернете
  • Заключение

Введение

2018 год оказался богат на инциденты в сфере АСУ ТП. Были опубликованы подробности атаки с использованием кибероружия Triton, аналога Stuxnet и Industroyer, который нацелен на оборудование АСУ ТП. Кроме того, произошло несколько довольно громких инцидентов в промышленных компаниях, в частности Boeing заявил об атаке WannaCry, а спустя несколько месяцев тот же вирус стал причиной приостановки заводов Taiwan Semiconductor Manufacturing Company. Хотя эти атаки были нацелены на IT-инфраструктуру, их последствия негативно отразились и на производстве. Получается, что злоумышленнику не всегда нужно обладать какими-то специальными знаниями о технологическом процессе, чтобы повлиять на него.

После успешной эксплуатации уязвимостей в IT-инфраструктуре появляется возможность доступа к технологическому сегменту. Согласно нашим исследованиям, 82% промышленных организаций не готовы противостоять внутреннему нарушителю, который стремится проникнуть в технологическую сеть из корпоративной. А после получения доступа к технологическому сегменту сети у злоумышленника появляются широкие возможности по злонамеренному влиянию на компоненты АСУ ТП, и самый распространенный путь — это эксплуатация известных уязвимостей. Поэтому так важно знать об уязвимостях, имеющихся в оборудовании АСУ ТП: это позволяет владельцу вовремя оценивать возможные риски и принимать адекватные защитные меры.

Данное исследование содержит информацию об известных уязвимостях в компонентах АСУ ТП и их распространенности в интернете и позволяет оценить ситуацию в динамике за последние несколько лет.

Список сокращений

SCADA—supervisory control and data acquisition (диспетчерское управление и сбор данных)

АРМ—автоматизированное рабочее место

АСУ ТП—автоматизированная система управления технологическим процессом

ПЛК—программируемый логический контроллер

ТУД—терминал удаленного доступа

ПО—программное обеспечение

РСУ—распределенные системы управления

ЧМИ—человеко-машинный интерфейс

Анализ уязвимостей компонентов АСУ ТП

Методика исследования уязвимостей

В качестве основы для исследования была использована информация из общедоступных источников, таких как базы знаний уязвимостей, уведомления производителей, доклады на конференциях, публикации на специализированных сайтах и в блогах.

В качестве базы знаний уязвимостей использовались следующие ресурсы:

  • ICS-CERT ( ics-cert.us-cert.gov);
  • NVD ( nvd.nist.gov), CVE ( cve.mitre.org);
  • Исследовательский центр Positive Research ( securitylab.ru/lab).

Степень риска уязвимостей компонентов АСУ ТП определяется на основе значения Common Vulnerability Scoring System (CVSS) третьей версии ( first.org/cvss).

В данное исследование попадают уязвимости, информация о которых была опубликована в 2018 году; также в нем содержатся дополнительные сведения об уязвимостях, найденных нашими экспертами в 2018 году, информация о которых была опубликована уже в 2019-м.

При анализе информации об опубликованных уязвимостях рассматривались уязвимости, найденные в оборудовании наиболее известных производителей компонентов для АСУ ТП.

Динамика обнаружения уязвимостей

По сравнению с 2017 годом количество новых уязвимостей в компонентах АСУ ТП выросло на 30%: на момент подготовки исследования опубликована полная информация о 243 уязвимостях, и еще 14 находятся на стадии анализа.

Зачастую в результате детального исследования той или иной системы обнаруживается не одна, а несколько уязвимостей. Например, при анализе системы управления процессами APROL компании B&R Automation1 наши специалисты нашли 12 уязвимостей.

Рисунок 1. Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП
Рисунок 1. Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП

Распределение опубликованных в 2018 году уязвимостей по производителям

В 2018 году лидером по количеству новых уязвимостей все так же остается компания Schneider Electric — даже несмотря на то, что количество вновь обнаруженных уязвимостей в оборудовании производства Siemens возросло почти в два раза. Подобное лидерство этих двух компаний вполне объяснимо: популярные производители имеют широкие линейки продуктов, используемых повсеместно.

Рисунок 2. Распределение опубликованных в 2018 году уязвимостей по основным производителям компонентов АСУ ТП
Рисунок 2. Распределение опубликованных в 2018 году уязвимостей по основным производителям компонентов АСУ ТП

Распределение уязвимостей по компонентам

В 2018 году распределение уязвимостей по компонентам АСУ ТП заметно изменилось. Если в 2017 году большая доля уязвимостей приходилась на такие компоненты, как SCADA/ЧМИ, то в 2018 году распределение уязвимостей между SCADA/ЧМИ, ПЛК/ТУД и промышленным сетевым оборудованием — практически одинаково.

По сравнению с предыдущим годом доля уязвимостей в компонентах ПЛК/ТУД выросла на 7%. Стоит отметить, что наши эксперты обнаружили 10 уязвимостей в модулях ПЛК компаний Siemens и Schneider Electric.

Рисунок 3. Доли уязвимостей, найденных в различных компонентах АСУ ТП
Рисунок 3. Доли уязвимостей, найденных в различных компонентах АСУ ТП

Распределение уязвимостей по типу

Значительная доля уязвимостей связана с некорректной аутентификацией или избыточными правами. При этом больше половины этих уязвимостей (64%) могут эксплуатироваться удаленно.

Рисунок 4. Типы уязвимостей компонентов АСУ ТП
Рисунок 4. Типы уязвимостей компонентов АСУ ТП

Распределение уязвимостей по их воздействию

Около 75% уязвимостей связаны с возможным нарушением доступности (полным или частичным) компонентов АСУ ТП. Эксплуатация таких уязвимостей, к примеру, в сетевом оборудовании может нарушить сетевое взаимодействие и негативно повлиять на технологический процесс; сетевое оборудование — один из ключевых элементов АСУ ТП, поскольку оно обеспечивает передачу команд между компонентами.

Рисунок 5. Значения метрик CVSS (указаны доли уязвимостей)
Рисунок 5. Значения метрик CVSS (указаны доли уязвимостей)

Распределение уязвимостей по степени риска

Больше половины выявленных уязвимостей относятся к критической и высокой степеням риска в соответствии с оценкой CVSS версии 3. При этом доля таких уязвимостей выросла на 17% по сравнению с предыдущим годом.

Если уязвимость имеет высокую степень риска, то в большинстве случаев она ставит под удар сразу три свойства безопасности информации — конфиденциальность, целостность и доступность. В 2018 году такое комплексное воздействие имели 58% уязвимостей. При этом среди них только для 4% сложность атаки была оценена как высокая. Это означает, что в большинстве случаев злоумышленнику не требуется никаких специальных условий, чтобы нарушить защищенность элементов АСУ ТП.

Рисунок 6. Степень риска уязвимостей
Рисунок 6. Степень риска уязвимостей

Краткие сведения об уязвимостях в компонентах АСУ ТП, выявленных специалистами Positive Technologies

За 2018 и начало 2019 года была опубликована информация о 54 уязвимостях, обнаруженных нашими экспертами в компонентах АСУ ТП таких производителей, как ABB, B&R Аutomation, Hirshmann, Moxa, Phoenix Contact, Schneider Electric и Siemens. При этом 14 из них присвоена критическая, а 11 — высокая степень риска.

Например, в коммутаторах Moxa была обнаружена возможность подбора учетных данных с использованием проприетарного протокола на порте 4000/TCP, которая позволяет получить контроль как над коммутатором, так и, возможно, над всей промышленной сетью. Отметим, что для получения актуальной версии прошивки с исправлением данной уязвимости конечный пользователь должен самостоятельно запросить ее у производителя.

Информация о других уязвимостях, найденных нашими экспертами, доступна на сайте Positive Technologies.

Распространенность компонентов АСУ ТП в интернете

Методика исследования

Исследование содержит результаты сканирования портов ресурсов, доступных в интернете. Для сканирования использовались общедоступные поисковые системы — Shodan ( shodan.io), Google, Censys ( censys.io). Сервис Shodan сканирует ограниченное число портов и производит сканирование с определенных IP-адресов, которые вносятся некоторыми администраторами и производителями сетевых экранов в черные списки. Поэтому для расширения области анализа использовались данные, полученные с помощью поисковых систем Google и Censys.

Рисунок 7. Количество компонентов АСУ ТП, доступных в интернете (топ-10 протоколов)
Рисунок 7. Количество компонентов АСУ ТП, доступных в интернете (топ-10 протоколов)

Распространенность

В результате исследования было выявлено 224 017 компонентов АСУ ТП, доступных в интернете. Это на 27% больше, чем в 2017 году.

Как и ранее, самым распространенным протоколом является HTTP. В 2018 году устройств АСУ ТП, поддерживающих протокол HTTP, примерно на 10 тысяч больше, чем в предыдущем.

При этом количество устройств, поддерживающих протокол Ethernet/IP, увеличилось на 25% по сравнению с 2017 годом, в результате чего он стал вторым по распространенности после HTTP. Количество же устройств, доступных по протоколу Fox, уменьшилось на 9%.

Рисунок 8. Количество компонентов АСУ ТП, доступных в интернете (топ-15 стран)
Рисунок 8. Количество компонентов АСУ ТП, доступных в интернете (топ-15 стран)

Территориальное распределение

Распределение по странам по сравнению с 2017 годом практически не изменилось. На первом месте по количеству найденных в интернете компонентов АСУ ТП остаются США, при этом их доля выросла на треть и составляет 42% от общего числа. Стоит отметить, что в топ-15 вошла Россия, которая в 2017 году была только на 28-м месте, а теперь занимает 12-е (3993 устройства).

Распределение по производителям и продуктам

Распределение по производителям за последний год практически не поменялось. На момент исследования было доступно около 30 тысяч устройств компании Honeywell, это ненамного больше, чем в прошлом году (разница около 7%), но стоит отметить, что такая динамика сохраняется из года в год.

Рисунок 9. Количество компонентов АСУ ТП, доступных в интернете (топ-10 производителей)
Рисунок 9. Количество компонентов АСУ ТП, доступных в интернете (топ-10 производителей)
Рисунок 10. Количество компонентов АСУ ТП, доступных
        в интернете (топ-10 продуктов)
Рисунок 10. Количество компонентов АСУ ТП, доступных в интернете (топ-10 продуктов)

Типы компонентов АСУ ТП

Почти треть компонентов, доступных в интернете (27%), относится к системам управления (SCADA, ЧМИ, РСУ). На 6% увеличились доли сетевых устройств и ПЛК (в прошлом году было по 13%).

Рисунок 11. Количество компонентов АСУ ТП, доступных в интернете (распределение по типу)
Рисунок 11. Количество компонентов АСУ ТП, доступных в интернете (распределение по типу)

Заключение

Как показывает наша статистика, количество уязвимостей, выявляемых в оборудовании различных производителей, из года в год растет, а количество доступных в интернете компонентов АСУ ТП не снижается. Количество уязвимостей основных производителей в 2018 году увеличилось на 30% по сравнению с 2017 годом, при этом доля уязвимостей высокой и критической степени риска выросла на 17%.

При этом нужно отметить, что среднее время устранения уязвимостей вендором остается достаточно долгим (более 6 месяцев). Иногда исправление отдельных уязвимостей (от уведомления производителя до выпуска обновлений) занимает более двух лет. Для конечного пользователя тот факт, что обновления не выпускаются оперативно, повышает риски возможной эксплуатации уязвимостей в принадлежащем ему оборудовании.

Количество компонентов сети АСУ ТП, доступных в интернете, с прошлого года выросло на 27% и теперь составляет более 220 тысяч. Большая часть из них относится к различным системам автоматизации. Наибольшее количество таких систем находится в США, Германии, Китае, Франции, Италии и Канаде — даже несмотря на то, что вопрос безопасности подобных устройств и систем уже давно интересует местных законодателей. Например, для оборудования, которое используется на различных промышленных предприятиях, Международная организация по стандартизации недавно выпустила новое руководство, целью которого является снижение риска кибератак.

Наше исследование в очередной раз доказывает, что в настоящее время компоненты АСУ ТП нельзя назвать полностью защищенными. Вопросам их безопасности необходимо уделять пристальное внимание, а при отсутствии адекватной защиты таких компонентов всегда существует риск нарушения штатного режима их работы.

  1. C июля 2017 года входит в состав компании ABB, одного из мировых лидеров по производству промышленного оборудования
Скачать PDF
Статьи по теме
  • 28 февраля 2023 Актуальные киберугрозы для промышленных организаций: итоги 2022 года
  • 24 августа 2021 Риски ИБ в промышленных компаниях
  • 23 апреля 2018 Промышленные компании: векторы атак
Поделиться:
Ссылка скопирована
Статьи по теме
24 августа 2021

Риски ИБ в промышленных компаниях

1 февраля 2018

Безопасность АСУ ТП: итоги 2017 года

23 апреля 2018

Промышленные компании: векторы атак

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта