SANS Institute о методах противодействия кибератакам на АСУ ТП

SANS Institute опубликовал отчет по предотвращению кибератак в сетях АСУ ТП. Отмечается, что видимость сети улучшает реагирование на кибератаки и их устранения. Видимость сети необходима для идентификации активов АСУ ТП, уязвимостей и угроз.

Кибератаки на цепочки поставок нацелены на программное обеспечение, используемое в системах АСУ ТП, таких как SCADA, распределенные системы управления (DCS), программные компоненты человеко-машинного интерфейса (HMI). Вредоносный код или уязвимости, внедренные в ходе жизненного цикла разработки программного или аппаратного обеспечения и даже в процессе обновления, могут дать злоумышленникам возможность закрепиться в сетях АСУ ТП. По данным Всемирного Экономического Форума, в среднем устранение последствий атаки на промышленные объекты в рамках цепочки поставок обходится в 4,73 миллиона долларов.

Помимо проникновения в цепочку поставок, злоумышленники могут также скомпрометировать системы или сети сторонних производителей, поставщиков, или сервис-провайдеров, которые имеют удаленный доступ к системам АСУ ТП. Злоумышленники могут воздействовать на сети АСУ ТП небольших промышленных компаний, чтобы изучить тонкости проведения успешной атаки на АСУ ТП, а затем использовать эти знания в более уязвимых средах критической инфраструктуры. Многие небольшие, неподготовленные к атакам предприятия не осознают, что находятся в поле зрения хакеров, часто в качестве «подопытных кроликов».  Это может позволить киберпреступникам проникать незамеченными в сети АСУ ТП, в течение длительного периода времени, чтобы совершенствовать свои навыки атаки.

В наставлениях отмечается, что в центре внимания должна находиться правильная сетевая архитектура АСУ ТП со строгой сегментацией. Такой подход не только защищает критически важные активы, но и повышает эффективность возможности локализации в сценариях реагирования на промышленные инциденты.

SANS Institute отмечает, что от 60 до 95% наиболее известных и используемых систем безопасности сосредоточены на предотвращении, но не имеют достаточных возможностей для обнаружения и реагирования.

Учитывая быстро растущий объем, скорость и изощренность атак, связанных с АСУ ТП, организации должны быть готовы не к тому, что произойдет компрометация системы управления, а к тому, когда она произойдет.

Эта подготовка предполагает внедрение системы безопасности АСУ ТП, которая включает в себя следующие пять критических элементов управления:

1. Разработка и регулярное тестирование плана реагирования на инциденты, который фокусируется на целостности системы и технических возможностях восстановления во время атаки.
2. Разработка сетевой архитектуры АСУ ТП, которая поддерживает эффективную сегментацию сети, видимость трафика, сбор журналов, идентификацию активов, и обеспечение целостности и надежности взаимодействия процессов.
3. Постоянный мониторинг среды АСУ ТП с использованием наборов инструментов, поддерживающих протоколы, и возможностей анализа межсистемного взаимодействия для информирования инженеров и сотрудников безопасности АСУ ТП о потенциальных рисках для эксплуатационной безопасности.
4. Определение и инвентаризация всех путей удаленного доступа, обеспечивая доступ по требованию и многофакторную аутентификацию.
5. Определение рисков, приоритетности устранения уязвимостей, внедрение инженерных решений и мер по устранению последствий с учетом требований безопасности.

Помимо этого, в наставлениях говорится о растущей роли применения искусственного интеллекта. Интеграция искусственного интеллекта в среды кибербезопасности АСУ ТП могут значительно повысить эффективность обнаружения угроз, расширить возможности реагирования на промышленные инциденты, расставить приоритеты в управлении уязвимостями, повысить инженерную устойчивость к возникающим киберугрозам.

Источник: www.sans.org