Отчет Nozomi Networks по кибербезопасности АСУ ТП

Nozomi Networks опубликовала отчет по кибербезопасности АСУ ТП и по кибербезопасности промышленного Интернета вещей «OT/IoT Cybersecurity Trends and Insights». В отчете рассматриваются последние данные, опубликованные Агентством по кибербезопасности и инфраструктурной безопасности США (CISA), а также данные телеметрии клиентов. В отчете подробно описываются новые уязвимости в АСУ ТП и промышленном Интернете вещей.

За период с января по май этого года CISA нашла 842 новых уязвимости в устройствах АСУ ТП и промышленного Интернета вещей от 49 производителей.

Наиболее часто встречающиеся слабые места в отмеченных устройствах включают неправильную проверку введенных данных — CWE-20, недопустимую запись — CWE-787, использование после освобождения — CWE-416, недопустимое чтение — CWE-125, отсутствие шифрования конфиденциальных данных — CWE-311, переполнение буфера на основе стека — CWE-121, Разыменование указателя NULL — CWE-476, переполнение целого числа или его обход — CWE-190, неправильное ограничение пути к каталогу с ограниченным доступом ("обход пути") — CWE-22, неконтролируемое потребление ресурсов — CWE-400.

Лидирующими отраслями по количеству уязвимостей оказались критически важные производства — машиностроение возглавило список с большим отрывом: на 479 случаев больше, чем в следующем секторе, энергетике.  На производство и энергетику приходится соответственно 44% и 20% от общего количества зарегистрированных уязвимостей АСУ ТП.  Транспортные компании поднялись с девятого места в предыдущем отчете полугодовой давности на третье. Системы водоснабжения и канализации и коммерческие объекты остались на 4-м и 5-м местах.

В отчете Nozomi Networks говорится о том, что почти 20% предупреждений о вторжении в сети АСУ ТП были вызваны неправильными параметрами. В исследовании определены три основных типа сетевых аномалий и атак — искаженный трафик, TCP-флуд и сканирование сети Четырьмя наиболее часто выполняемыми командами взломщиков были команды “enable”, “system”, “shell” и “sh”.

По полученным предупреждениям о вторжении выделяются следующие отрасли: на первом месте также, как и по уязвимостям — машиностроение, далее следуют производство строительных материалов, химическое и нефтехимическое производства, информационные технологии, электроэнергетика и нефтегаз.

В своих рекомендациях Nozomi Networks рекомендует предприятиям принять целостную стратегию кибербезопасности, которая учитывает специфику АСУ ТП и промышленного интернета вещей, в то же время гармонизирует безопасность корпоративных и промышленных сетей в целом. Это включает автоматизированную инвентаризацию активов, непрерывный мониторинг, обмен информацией об угрозах, разработку плана реагирования на инциденты и постоянное совершенствование информационной безопасности на основе данных телеметрии от клиентов. В отчете подчеркивается важность непрерывного мониторинга критически важных активов, включая отслеживание потенциальных нарушений безопасности с помощью беспроводных соединений, USB-устройств.

Также Nozomi Networks в планировании рекомендует рассматривать наихудший сценарий, в этом случае организации могут обеспечить сохранение работоспособности и безопасности даже в случае успешных кибератак. Этот подход также предусматривает постоянное совершенствование мер безопасности на основе уроков, извлеченных из прошлых нарушений, для повышения общей киберустойчивости.

Nozomi Networks рекомендует проводить регулярные тренинги для сотрудников, чтобы помочь им распознавать подозрительные действия и сообщать о них, а также продвигать культуру обеспечения информационной безопасности в организации, чтобы снизить риск инсайдерских угроз и атак с использованием методов социальной инженерии.

Источник: Nozomi Networks