Журнал "Information Security/ Информационная безопасность" #5, 2018

Основная проблема, свя- занная с работой вредонос- ных программ-майнеров, заключается в увеличении нагрузки на промышленные информационные системы, что может оказаться непри- емлемым для систем про- мышленной автоматизации – угрожать стабильности их функционирования и сни- жать уровень контроля за технологическим процессом предприятия. Интернету, также могут быть одним из каналов проникнове- ния вредоносного ПО в техно- логические сети. Кроме того, такой канал соз- дают подключения к Интернету компьютеров из технологиче- ской сети через сети мобильных операторов (с помощью мобиль- ных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддерж- кой 3G/LTE). Второе и третье места среди наиболее распро- страненных источников зара- жения промышленных сетей заняли съемные носители информации и почтовые кли- енты соответственно. Показа- тели по этим источникам зара- жений за полугодие изменились незначительно. Показатели по остальным источникам заражений не пре- вышают 1% и остались на уров- не прошлого полугодия. Рекомендации Для противодействия угро- зам, описанным в данном отче- те, мы рекомендуем принять ряд мер по обеспечению инфор- мационной безопасности. Предлагаемый список мер приведен в порядке, который, по опыту наших специалистов, соответствует убыванию соот- ношения их важности и слож- ности реализации. Список не следует считать исчерпывающим. При его составлении мы ориентирова- лись на проблемы информа- ционной безопасности промыш- ленных предприятий и систем промышленной автоматизации, обнаруженные и проанализи- рованные нами в ходе исследо- ваний, проделанных в течение отчетного периода. Так, он не включает такие меры, как конфигурация меж- сетевого экрана для запрета обращения извне технологи- ческой сети по протоколам, используемым для автомати- зации технологического про- цесса, и запрет прямого обра- щения к узлам технологиче- ской сети из Интернета. Осно- вываясь на результатах про- деланных нами аудитов и тестирования технологических сетей промышленных пред- приятий на проникновение, мы считаем, что подавляющее большинство организаций подобные меры уже применяют на практике. Меры, не требующие организационных изменений, дополнительного персонала, корректировки бизнес- и производственных процессов, существенных изменений информационных систем Эти меры помогают сделать первый шаг на пути к защите технологических объектов пред- приятия. По нашему мнению, эти меры применимы для боль- шинства организаций, вне зави- симости от уровня зрелости их процессов обеспечения инфор- мационной безопасности. 1. Защитить все узлы про- мышленной сети от вредонос- ных атак при помощи средств антивирусной защиты: l убедиться, что все основ- ные компоненты защиты включены и функционируют; l из области защиты не исклю- чать каталоги ПО АСУ ТП, системные каталоги ОС, про- фили пользователей; l по возможности не использо- вать исключения из проверки вообще; l добиться частоты обновления антивирусных баз не реже одно- го раза в день. Желательно обновлять базы в соответствии с рекомендациями производи- теля средств защиты; l убедиться, что настроена автоматическая проверка съем- ных носителей при их подключе- нии; l при возможности настроить оперативное получение акту- альных вердиктов из антиви- русного облака производителя. 2. Настроить правила сетевых экранов на границе технологи- ческой сети: l запретить обращения к служ- бам предоставления удаленного доступа к объектам файловой системы, таким как SMB/CIFS и/или NFS (актуально в случае атак на системы под управле- нием ОС Linux); l настроить правила контроля использования средств удален- ного администрирования. Соз- дать белый список адресов, с которых возможен удаленный доступ к системам в технологи- ческой сети. Убедиться, что в этот список входят только адреса доверенных ресурсов и исклю- чены облачные инфраструктуры производителей средств адми- нистрирования, прочие недове- ренные и неизвестные адреса; l запретить использование внешних почтовых сервисов внутри технологической сети; l запретить использование внешних почтовых сервисов HTTP/HTTPS; l запретить использование социальных сетей; l запретить использование облачных файловых хранилищ; l запретить использование тор- рентов. 3. Настроить защиту от спа- мовых и фишинговых рассылок на границе и внутри корпора- тивной сети: l добиться частоты обновления антиспамовых и антифишинго- вых средств с частотой, реко- мендованной производителем; l при возможности настроить подключение к облачному сер- вису оперативной передачи вер- диктов производителя. 4. Настроить антивирусную защиту на периметре сети орга- низации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсам. 5. Провести аудит использо- вания почты внутри технологи- ческой сети: l запретить использование внешних почтовых сервисов на компьютерах технологической сети средствами антивирусной защиты; l по возможности запретить использование корпоративной почты внутри технологической сети, удалить установленные почтовые клиенты либо запре- тить их запуск средствами конт- роля запуска приложений; 16 • СПЕЦРАЗДЕЛ Рис. 7. Основные источники угроз, заблокирован- ных на компьютерах АСУ (процент атакованных компьютеров АСУ по полугодиям) Рис. 8. Классы вредоносного ПО, процент атакован- ных компьютеров АСУ, первое полугодие 2018 г.