Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Infowatch: выявлено более 4000 открытых устройств АСУ ТП в Интернет

15/09/21

Инфовотч-3Эксперты компании InfoWatch ARMA провели исследование уязвимостей в АСУ ТП с помощью поисковых систем Shodan, Censys и Google с целью анализа, имеющихся в открытой сети отечественных промышленных систем, таких как SCADA, ПЛК, серверов АСУ ТП и других элементов систем управления. Во избежание нанесения ущерба и огласки утечки в промышленных организациях, сбор данных осуществлялся только пассивным методом через доступную в поисковых системах информацию. В результате исследования на промышленных предприятиях в России было выявлено более 4000 устройств АСУ ТП, открытых для доступа из сети Интернет.

В качестве основного инструмента для выявления нелегитимных точек онлайн-входа для работы со сторонними АСУ ТП использовалась поисковая система Shodan. Специализированный поисковик целенаправленно индексирует все подключенные к Интернету вычислительные устройства, доступные в адресном пространстве IPv4, и позволяет находить их с помощью различных поисковых запросов и фильтров. В исследовательской деятельности этот инструмент используется в том числе для оценки доступности собственных систем из сети Интернет. «При работе с данным инструментом нужно учитывать, что среди результатов поиска нередко встречаются ловушки (honeypot) - устройства с намеренно оставленными уязвимостями, используемые в качестве приманки для злоумышленников. В процессе исследования данные ловушки были отфильтрованы нашими специалистами. В целом, такое исследование требует технических знаний для анализа информации. Если вы хотите провести анализ доступности устройств вашей сети или полноценный аудит своей системы – лучше обратиться к специалистам. Особо хочу отметить, что сотрудничество с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) позволило оповестить затронутые субъекты КИИ о результатах исследования с целью устранения обнаруженных уязвимостей», - рассказал технический директор InfoWatch ARMA Игорь Душа.

В результате исследования эксперты InfoWatch ARMA получили список открытых в сети Интернет элементов промышленных систем управления в России. Более 700 устройств из найденных имеют критические уязвимости. Компания InfoWatch ARMA направила владельцам объектов КИИ, рекомендации по выявлению и устранению уязвимостей. Исследование показало, что доступ к АСУ ТП и промышленной сети злоумышленник может получить через сетевые сервисы без аутентификации и устаревшие версии служб, имеющие уязвимости, позволяющие произвести удаленный доступ. Из-за того, что на открытых портах не настроена аутентификация, киберпреступники могут получить неограниченный доступ уязвимому устройству. В ряде случаев это дает возможность доступа к сети предприятия, включая SCADA и другие критически важные компоненты АСУ ТП. Из более 4000 найденных устройств, 2000 – коммутационное оборудование, на 500 из которых не настроена авторизация. Оборудование найденных производителей часто используются в критической инфраструктуре, включая электростанции, очистные сооружения и химические заводы.

«Применяемые для исследования инструменты достаточно примитивны для точного выявления компании-собственника оборудования, расположения уязвимого объекта или сферы деятельности владельца. Однако их достаточно для проведения массированной кибератаки или для сбора информации о возможностях проникновения. Уже не раз публиковалась информация о потенциале использования данных инструментов (Shodan, Censys) злоумышленниками. И пусть среди найденных устройств немало ловушек (honeypot) и оборудования физлиц, предупреждение владельцев даже малого количества реальных объектов КИИ – существенный вклад в повышение уровня их защищенности. Во избежание неприятных последствий промышленным организациям нужно уделять больше времени вопросам сетевой безопасности, что в частности требует 187-ФЗ», - резюмирует Игорь Душа.

Темы:Пресс-релизInfowatchОтрасльАСУ ТП
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?
  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию
  • Dr.Web Industrial: защита серверов и рабочих станций в промышленных системах управления
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    Dr.Web Industrial обнаруживает подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса
  • Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor
    Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
    Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...