Навигация по меняющемуся ландшафту киберугроз

2021 год выдался напряжённым для экспертов по кибербезопасности, а IT-специалисты и предприятия столкнулись со шквалом кибератак. Согласно отраслевому отчёту, в прошлом году средняя общая стоимость утечки данных увеличилась с $3,86 млн до $4,24 млн.

Хотя кибератаки почти ежедневно попадают в заголовки газет, большинство дискуссий о кибербезопасности сосредоточено на информационных технологиях (ИТ). Обычно компании тратят больше всего времени и усилий на обеспечение безопасности таких ресурсов, как облачные решения и центры обработки данных. Однако в недавнем прошлом основной целью киберпреступников стали операционные технологии (ОТ) — аппаратное и программное обеспечение, которое отслеживает или контролирует оборудование, активы и процессы в промышленных средах.

В отличие от ИТ-атак, которые направлены на кражу данных и нарушение работы служб, атаки OT обычно сосредоточены на промышленных системах управления (ICS), поэтому преступники могут оказывать физическое воздействие на их работу. В тревожном прогнозе Gartner говорится, что к 2025 году кибер-злоумышленники научатся вооружать среды OT, чтобы причинить вред или убить людей.

За прошедшие годы крупные инциденты в области кибербезопасности произошли в промышленных организациях из различных секторов, что вызвало дискуссию о безопасности OT и готовности к кибератакам в средах ICS.

«Одним из самых больших изменений, которые мы наблюдаем за последние пять лет, является растущее признание того, что промышленные среды имеют проблемы с безопасностью, — говорит Серджио Кальтаджироне, вице-президент по анализу угроз, автор отчёта. – Состоялось великое осознание того, что существуют уязвимости и атаки на организации в промышленном секторе. Как говорится, принятие — это первый этап выздоровления, и теперь мы наблюдаем рост вовлечённости государственных и частных компаний в поиск решений этой проблемы».

Традиционно OT не представляли серьёзной проблемы по части кибербезопасности, поскольку эти машины часто работали независимо от других систем и, как правило, не имели цифровых точек входа. Но с появлением промышленного Интернета вещей (IIoT) всё, от производства до логистических сетей и электросетей, становится всё более цифровым, что увеличивает потенциальные поверхности для атак в этих средах.

В отчёте компании представлены основанные на данных аналитические данные и доказательства того, как промышленные организации продвигаются в своей готовности к кибербезопасности, и где им необходимо продолжать свою работу для обеспечения безопасных и надёжных операций в 2022 году и далее.

В прошлом году было совершено несколько кибератак на критически важные цели АСУ ТП и ОТ. Основным примером этого является атака программы-вымогателя на Colonial Pipeline, которая привела к нехватке газа и паническим покупкам среди потребителей. Ещё одним инцидентом, который попал в заголовки, стала атака на JBS Foods, одного из крупнейших поставщиков говядины в мире. Запущенная печально известной хакерской группой REvil, атака побудила фирму закрыть многие из своих операций и заплатить выкуп в размере $11 млн в биткойнах.

Наблюдая за различными группами активности угроз, нацеленными на ICS и OT, в компании обнаружили три новые группы активности с предполагаемой мотивацией нацеливания на ICS/OT.

Первая группа активности угроз называется Kostovite. Эта группа достигла 2-го этапа цепочки уничтожения ICS. Это означает, что они достаточно узнали о средах ICS, на которые они нацелены, и, возможно, захотят действовать в соответствии с ними. Однако, насколько нам известно, они ещё ничего не сделали для воздействия на промышленную среду. Kostovite используют выделенную операционную ретрансляционную инфраструктуру против своей цели, чтобы скрыть происхождение своих действий, а затем воруют и используют законные учётные данные для своего вторжения. Они нацелены на энергетическую отрасль, включая традиционные нефтегазовые компании, а также компании, работающие с возобновляемыми источниками энергии. Это большое дело для стран с сильным нефтегазовым сектором, но также заинтересованных в диверсификации своих источников энергии, таких как ОАЭ.

Следующая группа угроз — Petrovite, демонстрирующая возможности Stage 1 сети ICS Kill Chain и нацеленная на добычу полезных ископаемых и энергетику в Казахстане. Petrovite в настоящее время сосредоточены на общей разведке и сборе информации о системе и не связаны с какими-либо известными деструктивными событиями.

Наконец, что не менее важно, это Erythrite. Эта группа нацелена на организации в США и Канаде и проводит повторяющиеся кампании по распространению вредоносного ПО. Эта группа нацелилась на среды OT компании из списка Fortune 500, а также на крупные электроэнергетические компании, компании по производству продуктов питания и напитков, производителей автомобилей, поставщиков ИТ-услуг и несколько сервисных компаний, работающих с нефтью и природным газом (ONG).

Исследователи не могут ответить на вопрос о мотивах, которые движут этими опасными группами. Ясно, что наблюдается значительная активность преступных группировок программ-вымогателей, также видно, что им выплачиваются огромные суммы денег. Таким образом, по-прежнему существует много атак, связанных с финансовой мотивацией.

Как и в случае любой стратегии безопасности, защита промышленных сред требует от организаций полного контроля над своими инструментами ICS и сетями OT. Это остаётся серьёзной проблемой для многих организаций в этом секторе. 86% клиентов компании не имели информации об окружении их ICS. Это делает обнаружение, сортировку и реагирование невероятно сложными для этих компаний.

Хотя эта цифра кажется тревожно высокой, исследователь объясняет, что в ближайшее время она значительно не уменьшится. Сейчас становится заметным принятие и признание проблем безопасности, а это означает, что для многих компаний получение одобрения инвестиций может занять некоторое время.

Кроме того, когда дело доходит до развёртывания систем безопасности, ИТ и ОТ сильно различаются. В ИТ-среде у вас есть возможность развернуть решения по обеспечению безопасности на предприятии одним щелчком мыши. Однако большинство сетей OT сильно настраиваются и различаются в зависимости от рынка. Предприятие по производству шоколада на Филиппинах может использовать инструменты и системы, отличные от предприятия в Чикаго. Хотя они могут производить очень похожие продукты или даже один и тот же продукт, они могут использовать разные наборы технологий от разных поставщиков. Это делает покупку и развёртывание инструментов безопасности гораздо более сложной задачей.

Исследователь подчеркивает, что, хотя на устранение этих проблем могут уйти годы, существуют шаги, которые промышленные организации могут предпринять для защиты своих сред АСУ ТП от современных киберугроз.

«Самое большое краткосрочное влияние, которое они могут оказать на улучшение своей системы безопасности, — это разработка эффективного плана реагирования на инциденты. Признание того, что произойдет атака, нравится это или нет, — лучший первый шаг в подготовке к хорошей киберзащите. Затем необходимо провести всестороннюю оценку рисков их сред и возможностей.

Организации могут начать внедрять несколько мер, таких как двухфакторная аутентификация. Кроме того, они также могут ограничивать «движения с востока на запад» по сети. Это влечёт за собой мониторинг боковых смещений по периметру сети для выявления и блокировки известных и неизвестных угроз, а также несанкционированного доступа.

Что они могут сделать прямо сейчас, когда они начинают создавать и инвестировать в полномасштабную программу кибербезопасности для промышленных систем. Если они вступят на этот путь сегодня, они будут лучше подготовлены, чем 50% других промышленных организаций.

Для защиты сред ICS решающее значение имеют не только инвестиции в инструменты и разработку надёжных стратегий безопасности, но и наличие правильных данных и получение действенной аналитики.

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал