Агентство национальной безопасности (США) и Агентство кибербезопасности и безопасности инфраструктуры (США) опубликовали рекомендации по защите от киберрисков объектов критической инфраструктуры, включающих технологии промышленной автоматизации и системы управления с возможностью удаленного доступа через интернет (ТПА).
«Субъекты криминального мира продемонстрировали свою готовность проводить кибератаки на системы промышленной автоматизации объектов критически важной инфраструктуры. Вследствие расширения возможностей и роста активности противника, уязвимость промышленных систем и гражданской инфраструктуры, критически важных с позиции обеспечения национальной безопасности и защиты американского образа жизни, делает их привлекательным объектом для иностранных держав, пытающихся нанести ущерб интересам США или нанести ответный удар за воспринимаемую агрессию США», - говорится в пресс-релизе, опубликованном на сайте АНБ.
Обзор содержит техническое описание тактик недавно наблюдаемых атак, используемых злоумышленниками методов и процедур, а также последствий этих атак для подвергшихся нападениям компаний. Основная часть документа посвящена рекомендациям по предотвращению инцидентов и смягчению ущерба. Так, авторы указывают на необходимость разработки плана устойчивости для технологий промышленной автоматизации и плана реагирования на инциденты, укрепления защиты сети, включающего ее маппирование, а также оценки киберриска, возникающего в процессе использования ТПА, и непрерывного мониторинга промышленных систем.
Технологии промышленной автоматизации используются на предприятиях 16 секторов экономики США, подпадающих под регулирование критической инфраструктуры. Последнее время эти компании активно внедряют дистанционное управление промышленными системами, организуют удаленный доступ сотрудников и расширяют аутсорсинг в ключевых областях, таких как контроль и управление системами промышленной автоматизации, технологические операции и техническое обслуживание. Использование систем и технологий, создававшихся без учета современных требований по защите от кибератак и утечек информации, в этих условиях представляют повышенную опасность для их владельцев, операторов и процессов.
Устаревшие ТПА создают возможность «идеального шторма», отмечают авторы обзора. Имеющиеся уязвимости включают легкий доступ к незащищенным ресурсам, возможность использования общей информации об устройствах с открытым исходным кодом и широкий список эксплойтов, развертываемых с помощью общих структур (например, Metasploit, Core Impact, и Immunity CANVAS). В целом наблюдаемые угрозы сопоставимы с классификацией MITRE Adversarial Tactics, Techniques и Common Knowledge (ATT & CK) для систем промышленного контроля (ICS).
В АНБ подчеркивают, что сегодня серьезную угрозу представляют даже технически простые атаки – в силу их потенциального воздействия на критически важные, но по факту недостаточно защищенные активы.