Критически опасные уязвимости, топ-3 по количеству атак и… нулевой мониторинг ИБ
С точки зрения противодействия потенциальному киберпреступнику ситуация в данных отраслях удручающая: 95% компаний имеют фрагментарное или нулевое покрытие инфраструктуры производственных систем управления средствами мониторинга безопасности (в случае привлечения коммерческих провайдеров услуг по мониторингу ситуация не меняется — коммерческие SOC также «не видят» IT-инфраструктуры систем технологического управления). Процессы управления кибербезопасностью, такие как управление уязвимостями и обновлениями компонентов технологических сетей, в подавляющем большинстве случаев (93%) тоже отсутствуют. Кроме того, технологические сети компаний имеют ряд проблем, чреватых инцидентами кибербезопасности: например, сети слабо сегментированы (а нередко не сегментированы вовсе), нет контроля периметра и доступа к технологической сети, зато на лицо не закрываемые сетевые сессии в корпоративную сеть и т.д.
С учетом этого даже удивительно, что в целом в 2021 году число атак на промышленные компании незначительно снизилось по сравнению с 2020-м. Тем не менее промышленность входит в топ-3 отраслей по количеству атак. Основными методами атак остались фишинговые рассылки (56%) и хакинг (35%), причем мы вновь отмечаем увеличение доли хакинга по сравнению с прошлым годом.
Вредоносное ПО применялось в 73% случаев, и львиная доля в общем числе случаев пришлась на шифровальщиков: 78% всех атак в первом полугодии и около половины – во втором. По всей вероятности, снижение динамики использования шифровальщиков в атаках на промышленные компании во втором полугодии 2021 года связано с тем, что громкие атаки вымогателей, в том числе атака на Colonial Pipeline, привлекли внимание со стороны правоохранительных органов, и многие операторы вымогателей предпочли направить усилия на менее критичные объекты.
Стабильное увеличение доли хакинга в атаках говорит о том, что эти методы успешны, а значит, свидетельствует о низком уровне защищенности промышленных организаций, наличии большого числа уязвимостей и недостатков защиты как на периметре сети, так и во внутренней инфраструктуре.
Кстати, именно в программных и аппаратных продуктах, предназначенных для сферы промышленности, в этом году были обнаружены и исправлены уязвимости наиболее критичного уровня — максимальные 10 баллов по системе CVSSv3 были присвоены уязвимостям в ПО CODESYS.
Такой же вывод следует из проектов по верификации недопустимых событий, которые проводились специалистами Positive Technologies. В сфере промышленности и топливной энергетики в рамках проектов по верификации было подтверждено 87% недопустимых событий. Возможность довести атаку до завершающего этапа отчасти связана с недостаточным контролем за соблюдением принятых политик информационной безопасности. К примеру, у 9 из 10 инженеров на компьютере в открытом виде хранится документ с перечнем используемых систем и их кратким описанием, IP-адресами и учетными данными для входа.
Прогнозы на 2022: роботизация и киберучения
Сегодня все промышленные компании без исключения испытывают кадровый голод в части специалистов по информационной безопасности: на предприятиях не хватает или совсем отсутствуют как специалисты управленческого уровня, так и инженеры, которые могут администрировать средства защиты или обеспечивать работу SOC. С учетом того, что общая кадровая ситуация в ИБ-отрасли не меняется долгие годы (и пока нет оснований ожидать, что изменится в ближайшем будущем), ключевую роль начнут играть технологии, позволяющие автоматизировать и роботизировать рутинные операции инженеров безопасности, а также так называемые humanless-технологии защиты, которые позволят реализовать эффективную защиту при наличии минимального числа ИБ-экспертов на борту.
Предприятия промышленности, энергетики и производства, с одной стороны, осознают, что доступ киберпреступников к АСУ ТП может привести к таким последствиям, как остановка производства, выход промышленного оборудования из строя, порча продукции или даже авария. С другой стороны, специфика отрасли не позволяет проверить достижимость рисков на реальной инфраструктуре из-за того, что это может негативно сказаться на технологических процессах. Поэтому закономерным является интерес таких организаций к киберполигонам, которые позволяют без какого бы то ни было нарушения реальных бизнес-процессов корректно определить перечень недопустимых событий и последствия их реализации, а также оценить возможный ущерб, узнать условия, при которых хакер сможет атаковать, и к чему это приведет. С этим связан второй тренд, который начал формироваться в последний год-полтора и сохранится в ближайшем будущем — расширение деятельности коммерческих киберполигонов. Отметим, что несмотря на общий низкий уровень защищенности компаний, само наличие интереса к киберполигонам говорит о том, что проблематика кибербезопасности в отрасли осознана, и отрасль ищет способы решить задачу защиты.
И еще один тренд, который становится все более явным, связан с включением проблематики защиты технологических сетей в общий скоуп ИБ любого предприятия. Иными словами, когда предприятие руководствуется идеей результативной кибербезопасности и нацелено на то, чтобы предотвратить недопустимые для него события, то защита технологических сетей как направление не может рассматриваться в отрыве от остальных направлений деятельности. То есть кибербезопасность уходит в сторону централизации управления защитой всего предприятия с активным включением в них специалистов производственных служб, совершенствования и расширения риск-менеджмента. При этом будут учитываться все аспекты безопасности предприятия — функциональная безопасность систем и оборудования, безопасность труда, кибербезопасность, экономическая безопасность, физическая безопасность сотрудников, объектов и инфраструктуры и т.д. В общем, на предприятиях безопасность начнет трансформироваться в некую единую экспертную и технологическую область, со все более условным делением на прикладные ИБ и не-ИБ сегменты в рамках единых процессов управления безопасностью.
Полная версия обзора — https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-2021-2022-trendy-i-prognozy/