Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Krajobraz zagrożeń dla systemów automatyzacji przemysłowej, II polowa 2016 r.

Tagi:

Zespół reagowania na cyberincydenty w systemach kontroli przemysłowej Kaspersky Lab (Kaspersky Lab ICS CERT) rozpoczyna serię regularnych publikacji dotyczących prowadzonych przez siebie badań poświęconych krajobrazowi zagrożeń dla organizacji przemysłowych.

Wszystkie wykorzystane w raporcie dane statystyczne zostały uzyskane przy pomocy Kaspersky Security Network (KSN) – rozproszonej sieci antywirusowej. Dane te pochodzą od użytkowników systemu KSN, którzy wyrazili zgodę na gromadzenie swoich danych w formie anonimowej. 

Badanie to, przeprowadzone przez ekspertów Kaspersky Lab ICS CERT w drugiej połowie 2016 roku, wyraźnie wskazuje kilka trendów w ewolucji bezpieczeństwa przedsiębiorstw przemysłowych.  

  1. W drugiej połowie 2016 r. produkty firmy Kaspersky Lab na całym świecie zablokowały próby ataków na średnio 39,2% chronionych komputerów, które zespół Kaspersky Lab ICS CERT zaklasyfikował jako część infrastruktury technologicznej przedsiębiorstw przemysłowych.     

W grupie tej znalazły się komputery, które działają pod kontrolą systemu Windows i pełnią jedną lub więcej następujących funkcji:

    • Serwery SCADA (Supervisory Control and Data Acquisition),
    • Serwery magazynowania danych
    • Bramy danych (OPC),
    • Stacjonarne stacje robocze inżynierów i operatorów
    • Mobilne stacje robocze inżynierów i operatorów,
    • Interfejsy człowiek-maszyna (HMI, Human Machine Interface).

Grupa ta obejmowała również komputery wykonawców zewnętrznych, dostawców SCADA oraz integratorów systemów, jak również wewnętrznych administratorów SCADA.

  1. Każdego miesiąca średnio jeden komputer przemysłowy na pięć (20,1%) zostaje zaatakowany przez szkodliwe oprogramowanie. Od początku naszych obserwacji odnotowujemy stały wzrost odsetka zaatakowanych komputerów przemysłowych, co pokazuje, jak istotne jest cyberbezpieczeństwo. 

ics_cert_en_1_auto.png

Odsetek atakowanych komputerów przemysłowych według miesiąca (druga połowa 2016 roku)

 

  1. Izolacja sieci przemysłowych nie stanowi już skutecznego środka bezpieczeństwa. Odsetek prób infekcji przy pomocy szkodliwego oprogramowania za pośrednictwem urządzeń przenośnych, infekowanie kopii zapasowych, wykorzystywanie wyrafinowanych scenariuszy w celu wyprowadzania danych z odizolowanych sieci w ramach złożonych ataków – wszystko to świadczy o tym, że nie da się uniknąć ryzyka poprzez samo odłączenie systemu od internetu.   

ics_cert_en_2_auto.png

Źródła zagrożeń zablokowanych na komputerach przemysłowych (druga połowa 2016 roku)

  1. Co ciekawe, zestawienia szkodliwych programów wykrytych na komputerach przemysłowych niewiele różnią się od zestawień dotyczących komputerów korporacyjnych. Uważamy, że świadczy to o braku istotnych różnic pod względem ryzyka potencjalnej infekcji między komputerami w sieciach korporacyjnych a tymi znajdującymi się w sieciach przemysłowych. Nie ma jednak wątpliwości, że nawet przypadkowa infekcja w sieci przemysłowej może mieć groźne skutki. 

ics_cert_en_3_auto.png

Rozkład zaatakowanych komputerów przemysłowych według klas szkodliwego oprogramowania wykorzystywanego w atakach (druga połowa 2016 roku)

  1. Z naszych danych wynika, że ataki ukierunkowane na firmy z różnych sektorów przemysłowych stają się coraz powszechniejsze. Są to ataki zorganizowane, których celem może być jedno przedsiębiorstwo, kilka przedsiębiorstw, firmy z jednego sektora przemysłowego lub różnych. 

Zespół Kaspersky Lab ICS CERT wykrył serię ataków phishingowych, które rozpoczęły się już w czerwcu 2016 roku i nadal są aktywne. Ataki te uderzają głównie w firmy przemysłowe – z branży metalurgicznej, energetycznej, budowlanej, konstrukcyjnej oraz innych. Według naszych szacunków, zaatakowanych zostało ponad 500 firm w ponad 50 krajach na całym świecie.

Żaden z wykorzystanych w atakach szkodliwych programów – trojanów szpiegujących oraz backdoorów z różnych rodzin, takich jak ZeuS, Pony/FareIT, Luminosity RAT, NetWire RAT, HawkEye czy ISR Stealer – nie jest powiązany tylko z tą kampanią. Wszystkie są bardzo popularne wśród cyberprzestępców, ale zostały spakowane przy użyciu unikatowych modyfikacji narzędzi pakujących VB oraz MSIL, które zostały wykorzystane tylko w tym ataku. Z naszego doświadczenia w badaniu ataków ukierunkowanych wynika, że cyberszpiegostwo jest często wykorzystywane do przygotowywania kolejnych etapów ataku.   

  1. Jedna czwarta wszystkich ataków ukierunkowanych wykrytych przez Kaspersky Lab w 2016 roku była wymierzona w różne branże – budowy maszyn, energetyczną, chemiczną, transport i inne.
  2. W 2016 roku Kaspersky Lab przeprowadził ocenę aktualnego stanu komponentów bezpieczeństwa IT w systemach kontroli przemysłowej różnych producentów. Podczas tego badania zidentyfikowano 75 luk w zabezpieczeniach komponentów ICS. 58 z nich zostało oznaczonych jako maksymalnie krytyczne luki w zabezpieczeniach (CVSS v3.0 poziom krytyczności 7.0 lub wyższy)

ics_cert_en_4_auto.png

Rozkład luk w zabezpieczeniach wykrytych przez Kaspersky Lab w 2016 roku według sposobów ich wykorzystania
Spośród 75 luk w zabezpieczeniach zidentyfikowanych przez Kaspersky Lab do połowy marca 2017 roku, producenci oprogramowania przemysłowego usunęli 30.

Podejście producentów oprogramowania przemysłowego do usuwania luk w zabezpieczeniach oraz sytuacja w zakresie łatania znanych luk w zabezpieczeniach w przedsiębiorstwach nie napawają optymizmem. Podejście do łatania luk w ramach cyklu rozwoju oprogramowania nie może być jeszcze ocenione jako zadawalające: dostawcy nie usuwają zidentyfikowanych luk według poziomu ich krytyczności, wolą załatać je w kolejnym wydaniu swojego produktu niż wypuszczać poprawkę lub łatę, która jest krytyczna z punktu widzenia bezpieczeństwa IT.   

Kolejną kwestią jest instalacja aktualizacji i łat bezpieczeństwa w przedsiębiorstwach. Na podstawie naszego badania oraz audytów bezpieczeństwa IT systemów kontroli przemysłowej uważamy, że właściciele systemów kontroli przemysłowej albo postrzegają proces instalowania krytycznych aktualizacji jako zbyt pracochłonny, albo nie stanowi on dla nich zadania o wysokim priorytecie w ogólnym cyklu życia systemu. W efekcie, w niektórych przedsiębiorstwach krytyczne aktualizacje różnych komponentów systemów przemysłowych nie są instalowane przez wiele lat, co naraża takie przedsiębiorstwa na zagrożenia w razie cyberataków. 

Sieć przemysłowa coraz bardziej przypomina tą korporacyjną – zarówno pod względem scenariuszy użycia jak i wykorzystanych technologii. Wykorzystywane są nowe technologie, które zwiększają przejrzystość i wydajność procesu na każdym poziomie przedsiębiorstwa, jak również zapewniają elastyczność i odporność na błędy funkcji realizowanych na średnim i niższym poziomie automatyzacji przemysłowej. W efekcie krajobraz cyberzagrożeń dla systemów przemysłowych coraz bardziej przypomina krajobraz zagrożeń dla sieci korporacyjnych. Dlatego należy spodziewać się nie tylko powstania nowych zagrożeń ukierunkowanych na przedsiębiorstwa przemysłowe, ale również ewolucji aktualnych, tradycyjnych zagrożeń IT, która będzie polegała na dostosowaniu ich do ataków na przedsiębiorstwa przemysłowe oraz obiekty w świecie fizycznym.   

Pojawienie się przeprowadzanych na dużą skalę kampanii z udziałem szkodliwego oprogramowania wymierzonych przeciwko przedsiębiorstwom przemysłowym świadczy o tym, że tzw. czarne kapelusze postrzegają ten obszar jako obiecujący. Jest to poważne wyzwanie dla całej społeczności twórców systemów automatyzacji przemysłowej, właścicieli i operatorów takich systemów oraz producentów rozwiązań bezpieczeństwa.    

Pełny raport (w wersji angielskiej) jest dostępny na stronie Kaspersky Lab ICS CERT