Журнал "Information Security/ Информационная безопасность" #2, 2018

Наибольшее число най- денных уязвимостей (29) может позволить злоумыш- леннику удаленно вызвать отказ в обслуживании (DoS). 8% выявленных уязвимо- стей может привести к уда- ленному выполнению про- извольного кода в целевой системе. Статистика угроз Все статистические дан- ные, использованные в отче- те, получены с помощью рас- пределенной антивирусной сети Kaspersky Security Network (KSN). Данные полу- чены от тех пользователей KSN, которые подтвердили свое согласие на их аноним- ную передачу. В силу ограничений продукта и законодательных ограниче- ний мы не идентифицируем конкретную компанию/орга- низацию, от которой KSN получает статистические данные. стрирования, установленные несанкционированно (RAT); l программы типа Wiper (Kill- Disk), выводящие из строя ком- пьютер и затирающие данные на диске. Заражение компьютеров в промышленной сети данным вредоносным ПО может приво- дить к потере контроля или к нарушению технологических процессов. География атак на системы промышленной автоматизации На карте (рис. 12) отражен процент атакованных систем промышленной автоматизации в каждой стране по отношению к общему количеству таких систем в стране. Первая пятерка стран осталась без изменений по сравнению с первым полуго- дием 2017 г. (см. рис. 13). Наиболее благополучные страны в этом рейтинге – Изра- иль (8,6%), Дания (13,6%), Вели- кобритания (14,5%), Нидерланды (14,5%), Швеция (14,8%) и Кувейт (15,3%). В России в течение второго полугодия 2017 г. хотя бы один раз были атакованы 46,8% ком- пьютеров АСУ – на 3,8 п.п. боль- ше, чем в первом полугодии 2017 г. В результате Россия переместилась с 21 на 13 строч- ку рейтинга. Доля атакованных машин АСУ значительно различается в различных регионах мира (см. рис. 14). По проценту атакованных машин АСУ все регионы можно разделить на три группы: 1. Доля атакованных систем АСУ не превышает 30%. В эту группу вошли Северная Америка и Европа, где ситуация выглядит наиболее спокойной. По мнению специалистов Kaspersky Lab ICS CERT, это не обязательно озна- чает, что промышленные пред- приятия в данных регионах реже попадают в число атакуемых злоумышленниками. Можно предположить, что на промыш- ленных предприятиях в данных регионах уделяется большее внимание обеспечению инфор- мационной безопасности, бла- годаря этому атаки достигают систем АСУ значительно реже. 2. Доля атакованных систем АСУ от 30 до 50%. Во второй группе регионов находятся Латинская Америка, Россия и Ближний Восток. 3. Доля атакованных машин АСУ превышает 50%. Наиболее остро ситуация обстоит в Афри- ке и Азиатско-Тихоокеанском регионе. Стоит заметить, что значения для различных стран одного региона могут значительно отли- чаться. Это может быть связано с тем, что в одном регионе могут находиться страны, имеющие различные подходы и практики для обеспечения информацион- ной безопасности систем АСУ ТП (рис. 15 и 16). Рассмотрим также источники угроз, которым подверглись системы АСУ, в разных регионах (рис. 17). Во всех регионах мира основ- ным источником атак является Интернет. Однако в Европе и Северной Америке процент заблокированных угроз из Интернета значительно ниже. Это может объясняться соблю- дением норм информационной безопасности большинством предприятий, работающих в данном регионе, в частности ограничением доступа к Интер- нету с систем, находящихся в технологических сетях пред- приятий. Аналогичная ситуация и с зараженными сменными носителями: наибольшие пока- затели наблюдаются в Африке и Азиатско-Тихоокеанском регионе, а наименьшие – в Евро- пе и Северной Америке. На дан- ный показатель также влияет соблюдение норм ИБ и, в част- ности, запрет на подключение неавторизованных сменных носителей к системам промыш- ленной инфраструктуры. Для стран Ближнего Востока электронная почта стала значи- мым (5%) источником зараже- ния, выведя регион на первое место по этому показателю. Наши рекомендации Для предотвращения случай- ных заражений на технологиче- ские сети мы рекомендуем при- нять ряд мер по обеспечению безопасности внешнего и внут- реннего периметров технологи- ческой сети. В первую очередь речь идет о мерах, необходимых для орга- низации безопасного удаленного доступа к системам автомати- зации и передачи данных между технологической и другими сетя- ми, имеющими различные уров- ни доверия: l системы, имеющие посто- янную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.) необходимо изолировать в отдельный сегмент внутри тех- нологической сети – демилита- ризованную зону (DMZ); l системы в демилитаризован- ной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации); l весь необходимый обмен информацией между промыш- ленной сетью и внешним миром (включая корпоративную офис- ную сеть предприятия) осуществ- лять через DMZ; l при необходимости в DMZ можно развернуть терминаль- ные серверы, позволяющие использовать методы обратного подключения (из технологиче- ской сети в DMZ); l для доступа к технологической сети извне желательно исполь- зовать тонкие клиенты (применяя методы обратного подключения); l не разрешать доступ из деми- литаризованной зоны в техно- логическую сеть; l если бизнес-процессы пред- приятия допускают возможность однонаправленных коммуника- ций, рекомендуем рассмотреть 44 • ИССЛЕДОВАНИЕ Рис. 14. Доля атакованных систем АСУ в различных регионах мира, первое и второе полугодия 2017 г. Рис. 15. Доля атакованных компьютеров АСУ в Азиатско-Тихоокеанском регионе, первое и вто- рое полугодия 2017 г.