В наши дни кибер-преступность затрагивает все виды предприятий. В этом году мы уже видели кибер-атаки, направленные против муниципалитетов, производителей алюминия, а также против хорошо известных компаний, таких как Amazon. Все эти инциденты имеют для жертв тяжелые последствия: от ущерба для репутации компании и простоев в производственной цепочке до парализации работы всего предприятия и крупных штрафов.
Без сомнения, существует один сектор, который особенно уязвим: критическая инфраструктура. Кибер-атака, которая направлена на государственные системы водоснабжения или способна затруднить работу больниц, может привести даже к гибели людей.
XENOTIME: угроза для промышленных систем контроля и управления
В прошлом году мы говорили, что может случиться, если атака нарушит работу систем электроснабжения целой страны. Кажется, сейчас такая ситуация может стать реальностью.
XENOTIME – это постоянная угроза повышенной сложности (APT, Advanced Persistent Threat), которая якобы связана с Россией. Эта угроза стала очень известной, когда ее использовали для атаки на промышленные системы контроля и управления одной ближневосточной нефтяной компании – в результате этого, данная угроза смогла вмешаться в работу автоматической системы функциональной безопасности (SIS). На сегодняшний день эта угроза по-прежнему остается одним из нескольких вариантов вредоносного ПО, способного повлиять на физический процесс промышленной системы управления (ICS).
После данного инцидента XENOTIME начал атаковать компании за пределами Ближнего Востока, и он даже сумел скомпрометировать ряд ICS- производителей, потенциально позволяя атаковать цепочку поставок.
Сейчас исследователи из одной компании в сфере промышленной информационной безопасности увидели, что XENOTIME начал исследовать сети электроэнергетических компаний в США и Азиатско-тихоокеанском регионе, осуществляя поиск информации и перебирая сетевые ресурсы, связанные с этими компаниями.
Исследователи объясняют, что такое поведение может указывать на то, что группа злоумышленников готовит еще одну кибер-атаку или, по крайней мере, готовит предпосылки для проникновения в ICS-системы в ближайшем будущем. Такие действия согласуются с первой фазой Cyber Kill Chain для ICS, включая попытки аутентификации с помощью определенных регистрационных данных.
Смена тактики
Такое изменение цели достаточно необычно для угроз типа APT, которые атакуют ICS-системы. Такие атаки являются сложными и дорогими, а это означает, что кибер-группы стремятся сосредоточить свои усилия на одной отрасли или одном географическом районе – например, нефтяные компании на Ближнем Востоке. Тот факт, что XENOTIME решила диверсифицировать свои действия и географический район, может стать предвестником того, что в будущем APT-угрозы будут иметь гораздо более широкие диапазоны использования.
Критическая инфраструктура уязвима
В 2018 году количество уязвимостей в объектах критической инфраструктуры увеличилось на 14% по сравнению с годом ранее, при этом, как ожидается, количество предупреждений об уязвимостях продолжит свой рост и в 2019 году. Фактически за последние два года 90% объектов критической инфраструктуры столкнулись хотя бы с одной кибер-атакой.
Министерство энергетики США знает о том, насколько их системы могут быть уязвимы. Именно по этой причине в 2016 году была осуществлена так называемая “Liberty Eclipse” («Затмение свободы») – симуляция кибер-атаки, которая вызвала отключения электроэнергии в восьми штатах. С помощью нее Министерство хотело проверить системы реагирования на подобного рода инциденты, а также привлечь всех заинтересованных лиц к обсуждениям вопросов подготовки к кибер-инцидентам.
Как обуздать кибер-атаки на объекты критической инфраструктуры
Такого рода симуляция – это очень хороший способ понять, каким образом компания сможет реагировать на кибер-атаку такого масштаба. Чтобы обеспечить надежную защиту, таким компаниям следует выполнять следующие рекомендации:
1. Анализ слабых мест. Очень важно, чтобы компании выполняли глубокий анализ своих систем для того, чтобы знать их досконально. Таким образом, они будут способны обнаруживать любые уязвимости или слабые места. Помимо защиты этих мест, руководители направлений по ИТ-безопасности должны назначить им самые высокие уровни приоритетности в своих планах безопасности, и даже рассматривать возможность их изоляции, если они будут представлять серьезный риск.
2. Автоматическая реакция. Когда появляется кибер-угроза, время имеет критическое значение. Хотя предотвращение проникновения кибер-атаки в систему имеет важный приоритет, также важно иметь планы действий и автоматического реагирования для решения любых проблем в том случае, если такая атака становится неизбежной.
3. Непрерывный мониторинг. Лучший способ остановить негативное воздействие любой угрозы на системы – это в любой момент времени точно знать, что происходит на самом деле. Решение ИТ-безопасности с опциями расширенной защиты Panda Adaptive Defense осуществляет мониторинг всех процессов, запущенных в системе, в режиме реального времени. Решение обнаруживает любую необычную активность и останавливает запуск неизвестных процессов. Таким образом, оно способно остановить любую угрозу прежде, чем она станет реальной опасностью.
Кибер-атака на инфраструктуру целого государства может иметь очень разрушительные последствия. Вот почему мы подготовили белую книгу об информационной безопасности для такого рода инфраструктуры. В этом документе вы сможете узнать об угрозах, которые могут угрожать объектам критической инфраструктуры, и способах, как можно их избежать.