Вышло новое исследование InfoWatch. Его тема — «Тенденции развития киберинцидентов АСУ ТП за 2024 год». В нем собран массив данных о самых атакуемых промышленных отраслях, способах атак, распределении киберпреступных группировок. Особое внимание уделено методам, с помощью которых хакерам удается достигать своих целей. Давайте разбираться.
Один из основных выводов исследования — за последние несколько лет изменился вектор атак на автоматизированные системы управления техпроцессами (АСУ ТП). В 2020 году злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), банальный фишинг (22%) и устройства удаленного доступа (14%).
По итогам 2024 года самым популярным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и взлом устройств с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся АРМы (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (21%).
Ключевой уязвимостью промышленных предприятий является слабая сегментация сетей и аутентификация домена, охватывающая ИТ и АСУ ТП. Корпоративная и промышленные сети зачастую не разделяются, хотя многим предприятиям в силу специфики работы нужно работать в закрытом контуре. Отмечается плохой мониторинг и видимость устройств АСУ ТП, наличие подключенных неуправляемых устройств.
Как показывает мировая практика, меньше всего на киберустойчивость тестируются устройства, подключенные к сети Интернет, и устройства уровня физических процессов – датчики, приводы, исполнительные механизмы.
Обычно тестируют верхний уровень АСУ ТП – SCADA-системы, ЧМИ, а нижний уровень остается без внимания. Наиболее уязвимы устройства, находящиеся на удаленных площадках. Риск усугубляется в случае их подключения по беспроводной сети. Опасения справедливы также для расположенных на удаленных площадках программируемых логических контроллеров и терминальных блоков.
Растет число атак на виртуальные среды и системы резервного копирования. Используя уязвимости в гипервизорах и решениях для резервного копирования. Вредоносы могут шифровать файлы виртуальных машин и удалять резервные копии.
Значительная опасность исходит от неуправляемых устройств и устройств без установленных агентов. Они часто не имеют даже базовых средств защиты и мониторинга. К неуправляемым устройствам, в частности, относятся многие устройства АСУ ТП, системы кондиционирования и бесперебойного питания. Каждое неуправляемое устройство взаимодействует с несколькими другими устройствами, что увеличивает риск бокового перемещения — постепенного продвижения от взломанной точки входа к остальной части сети в поисках конфиденциальных данных.
Кроме описания способов атак на АСУ ТП в исследовании InfoWatch описываются основные вредоносы, распределение по группировкам злоумышленников, сравнение российской ситуации с мировой. Есть иные небезынтересные подробности.
PDF-документ с итогами исследования доступен на сайте InfoWatch. Чтобы скачать, надо указать e-mail.
Источник: habr.com
Похожие новости:
«Важно, чтобы все стороны рынка сохранили фокус на открытой АСУ ТП»
«Центр расследований InfoWatch»: инновационный подход к защите данных
Обновлено ПО InfoWatch по защите данных
Обзор IT-Weekly: ФНС будет отвечать ведение реестра майнеров, Lexmark выставят на продажу за $2 млрд, «Аквариус» планирует увеличить производство к 2025 году до 2,5 млн устройств