2-го февраля в сети произошла утечка самой большой за всю историю компиляции взломанных имен пользователей и паролей. Известный как COMB, он содержал 3,2 миллиарда уникальных пар электронной почты и паролей, включая учетные данные водоочистной станции в Олдсмаре (штат Флорида).
Три дня спустя неизвестный злоумышленник проник в компьютерные системы Олдсмар и попытался довести pH (меру кислотности) городской воды до опасно высокого кислотного уровня, увеличив гидроксид натрия (щелочь) в 100 раз. Хотя атака была предотвращена и уровень щелочи вернулся к норме, инцидент продемонстрировал легкость, с которой киберпреступники все чаще могут атаковать критически важную национальную инфраструктуру (CNI).
В данном конкретном случае считалось, что злоумышленнику удалось проникнуть в системы Oldsmar через заводское программное обеспечение TeamViewer, которое позволяет супервайзерам получить удаленный доступ к системе.
«Не далее как в августе 2020 года наши аналитики выявили несколько уязвимостей, публично связанных с TeamViewer», - утверждает Эван Кольманн, директор по инновациям платформы анализа угроз Flashpoint."Сюда входит пример, позволяющий вредоносному сайту запускать TeamViewer с произвольными параметрами, перехватывая хэш-пароль жертвы для взлома пароля в автономном режиме".
Однако проблема не является уникальной для TeamViewer. Еще в 2013 году Министерство национальной безопасности (DHS) подтвердило, что иранская хакерская группа, известная как "SOBH Cyber Jihad", как минимум шесть раз получала доступ к компьютерным системам, контролирующим плотину на Боумэн-авеню в Нью-Йорке, получая доступ к секретным файлам, содержащим имена пользователей и пароли.
Аналогичным образом, в 2015 и 2016 годах Украина пострадала от серии атак на ее энергосистемы, которые оставили 225 000 украинцев в режиме продолжительных отключений электричества на несколько часов подряд.
Крайне уязвимый
В июле 2020 года расследование, проведенное CyberNews, показало, насколько легко злоумышленнику будет проникнуть в критически важную инфраструктуру США через незащищенные промышленные системы управления (ICS). Это, как утверждается, может быть сделано злоумышленниками, использующими поисковые системы и инструменты, предназначенные для сканирования всех открытых портов и удаленного управления. Старший научный сотрудник CyberNews Эдвардас Микалаускас (Edvardas Mikalauskas) поясняет: "Наше исследование ранее показало, что многие панели ICS в США являются критически незащищенными и легкодоступными для злоумышленников. Наиболее уязвимая инфраструктура, по-видимому, относится к энергетическому и водному сектору".
Но насколько мы должны беспокоиться о возможных атаках на нашу CNI? По словам Джозефа Карсона, главного специалиста по безопасности компании Thycotic, которая несколько лет назад взломала электростанцию в рамках этической операции, «такие атаки крайне редки по сравнению с постоянным потоком стандартных действий киберпреступников». Он считает, что для большинства киберпреступников риск слишком велик, а потенциальное вознаграждение слишком мало. «Во-первых, для атаки на активы CNI обычно требуются гораздо более специализированные знания и инструменты по сравнению со стандартным коммерческим бизнесом. Что еще более важно, большинство злоумышленников мотивированы простой прибылью, а прямая финансовая выгода от подрыва CNI невелика». Однако есть признаки того, что это начинает меняться. "К сожалению, я вижу рост числа атак CNI не только в США, но и по всей Великобритании и остальной Европе", - говорит Скотт Николсон (Scott Nicholson), директор по кибербезопасности и конфиденциальности данных компании Bridewell Consulting и консультант британского Национального центра кибербезопасности (National Cyber Security Centre, NCSC).
Дилемма безопасности и надёжности
Действительно, в недавно опубликованном отчете CNI Cyber Report: Risk and Resilience (Риск и стойкость), Bridewell заявил, что существует огромный разрыв между предполагаемой угрозой кибератаки и реальной угрозой CNI. В то время как 78% организаций "уверены" в том, что их OT (операционная технология) защищена от киберугроз, а 28% из них "очень уверены" в этом, кажется, что CNI сталкивается с "кибербезопасностью". Согласно исследованию, проведенному компанией Bridewell среди 250 лиц, принимающих решения в области ИТ и безопасности в пяти ключевых секторах CNI (авиация, химическая промышленность, энергетика, транспорт и водоснабжение), 86% организаций за последние 12 месяцев обнаружили кибератаки в своих средах OT/ICS, причем почти четверть из них (24%) столкнулись с успешными атаками в количестве от одной до пяти. Наиболее успешными атаками были атаки на водные ресурсы и транспорт. Аналогичным образом, в 2019 году компания IBM сообщила о 2000% увеличении числа инцидентов в области кибербезопасности, направленных на OT, большинство из которых были связаны с вредоносными программами Echobot IoT (загрузить ежегодный X-Force Threat Intelligence Index от IBM можно здесь).
Для Терри Олаеса (Terry Olaes), технического директора компании Skybox Security, занимающейся компьютерной безопасностью в Северной Америке, последние атаки свидетельствуют об изменении намерений киберпреступников, а также поднимают вопросы об увеличении количества критических уязвимостей инфраструктуры.
Управление критически важной инфраструктурой сопряжено с рядом проблем", - говорит он. Оно влечет за собой массовые среды, которые не могут испытывать простоев и в которых надежности часто отдается предпочтение перед безопасностью". В результате, обнаружение и устранение уязвимостей на устройствах, которые влияют на технологические процессы происходит примерно "раз или два в год, оставляя лазейку для злоумышленников в нашей критически важной инфраструктуре".
Скотт Николсон (Scott Nicholson) из Bridewell согласен: "В рамках промышленного контроля ключевым моментом является согласованность и доступность сервиса, в то время как обновление программного обеспечения считается рискованным". Исправление систем и их обновление может быть очень сложным делом для организаций", - добавляет он.
Еще одна проблема - это спрос на подключение к Интернету, который частично ускорила пандемия COVID-19. До пандемии традиционно многие организации в секторах CNI управляли промышленными системами контроля (ICS) и критически важными приложениями в своей закрытой частной сети. Это начинает меняться. Рост IoT выдвинуло на первый план преимущества подключения. Также растёт потребность в обеспечении конвергенции между критически важными операционными технологиями, IT-сетями и Интернетом для удаленного управления. Однако это неизбежно увеличивает потенциальную поверхность атак, а также приводит к появлению более широкого спектра угроз.
«Для многих объектов критически важной инфраструктуры COVID-19 вынудил резко переключиться на сотрудников, работающих из дома, а это означало, что службы безопасности должны были сделать сети управления производством доступными удаленно, чтобы системы оставались работоспособными», - объясняет Андреа Каркано, соучредитель Nozomi Networks. «Однако, к сожалению, удаленный доступ часто является самым простым путем для злоумышленников проникнуть в сеть».
Скотт Николсон добавляет: "Их сети должны быть максимально сегментированы из Интернета". Это можно сделать с помощью модели Purdue - иерархической структуры для промышленных коммуникаций, которая была впервые разработана в 1990-х годах.
Впечатляющей физической безопасности недостаточно
По словам Джозефа Карсона из Thycotic, физическая безопасность критически важной национальной инфраструктуры, такой как электростанции, обычно очень впечатляет. К сожалению, этого нельзя сказать об их кибербезопасности. «У вас есть ворота, вооруженная охрана, все эти датчики и системы обнаружения периметра, но когда вы смотрите на аспекты кибербезопасности, это действительно вызывает беспокойство», - говорит он.
«Не только использование решений для удаленного рабочего стола представляет собой угрозу, я видел установленное программное обеспечение для потоковой передачи звука, которое подразумевает, что операторы могут устанавливать собственное программное обеспечение для прослушивания музыки при одновременном мониторинге критически важной инфраструктуры». И проблемы просто так не исчезнут. Рост Интернета вещей - в частности, рост четвёртой промышленной революции с её растущей потребностью беспилотных летательных аппаратах и автономных транспортных средствах - означает, что потенциал атаки будет только расти. В то же время сохраняющийся спрос на дистанционную работу в результате пандемии создает дополнительный риск, как показала недавняя атака TeamViewer на водоочистное сооружение во Флориде. Более того, борьба с COVID сама по себе является мишенью для кибератак.
Андреа Каркано из Nozomi Networks заключает: «Мы продолжаем наблюдать рост угроз критически важной инфраструктуре в течение последних нескольких лет, и мы не ожидаем, что эта тенденция закончится в ближайшее время. Недавние атаки на медицинские организации и на тех, кто борется с COVID, являются убедительным напоминанием о том, что системы, на которые мы отвечаем, представляют собой ценные объекты, уязвимые и подверженные постоянному риску атак».
Несколько шагов, которые помогут защитить критически важную национальную инфраструктуру от атак
Безопасный удаленный доступ - Часто это самый простой путь проникновения злоумышленников в сеть. Менеджерам необходимо обеспечить безопасность удаленного доступа с помощью защиты конечных точек, надёжной защитой паролей и сетевых брандмауэров.
Создание инвентаризации активов - Если вы не можете увидеть все устройства в сети, то невозможно защитить или сегментировать сеть для большей устойчивости. Поддерживая инвентаризацию всех сетевых активов в режиме реального времени, сотрудники IT безопасности могут достичь точной видимости своих устройств, соединений, коммуникаций и протоколов.
Выявление и устранение уязвимостей. Промышленные сети содержат тысячи устройств OT и IoT-устройств различных производителей. К сожалению, большинство из них не рассчитаны на уровень безопасности, необходимый для критически важной инфраструктуры. Инструменты, которые идентифицируют уязвимости системы, используя Национальную базу данных уязвимостей (NVD), могут помочь определить, какие устройства подвержены риску, расставить приоритеты и рекомендовать обновления прошивки.
Мониторинг аномалий - Решения по автоматическому обнаружению сетевых аномалий используют искусственный интеллект для выполнения обнаружения аномалий по фактическим параметрам, которые используются для управления промышленным процессом.
С уважением, команда СП "Унибелус" ООО!