Armis определила наиболее уязвимые устройства OT и ICS в отраслях критической инфраструктуры

Повышенные риски для промышленности, коммунального хозяйства и транспорта

САН-ФРАНЦИСКО - 12 июня 2023 г.- Компания Armis, ведущий разработчик систем контроля и безопасности активов, сегодня опубликовала новое исследование, в котором определены наиболее уязвимые устройства, представляющие угрозу для критически важных инфраструктурных отраслей: промышленности, коммунального хозяйства и транспорта. Данные, проанализированные с помощью платформы Armis Asset Intelligence and Security Platform, которая отслеживает более трех миллиардов активов, показали, что устройства операционных технологий (OT) и промышленных систем управления (ICS), представляющие наибольший риск для этих отраслей, — это инженерные рабочие станции, серверы SCADA, серверы автоматизации, архиваторы и программируемые логические контроллеры (PLC).

Расстановка приоритетов и управление уязвимостями остается проблемой

Исследование Armis показало, что рабочие станции инженеров являются устройствами ОТ, которые подверглись наибольшему количеству попыток атак в отрасли за последние два месяца, за ними следуют серверы SCADA. Пятьдесят шесть процентов инженерных рабочих станций имеют как минимум одну непропатченную уязвимость критического уровня сложности Common Vulnerabilities and Exposures (CVEs), а 16% подвержены как минимум одной "weaponized CVE", выявленной более 18 месяцев назад.

Источники бесперебойного питания (ИБП, UPS) — третий тип устройств, подвергшийся наибольшему количеству попыток атак за последние два месяца. Несмотря на то, что они имеют решающее значение для бесперебойной работы в случае отключения электроэнергии, данные показали, что 60% устройств ИБП имеют как минимум один непропатченный CVE уровня критической важности, что, как показала программа TLStorm, потенциально может привести к тому, что злоумышленники могут нанести физический ущерб самому устройству или другим подключенным к нему объектам.

Другим примером являются программируемые логические контроллеры (Programmable Logic Controllers, PLCs), 41% которых имеют как минимум один непропатченный CVE уровня критической важности. Эти устаревшие устройства имеют большое значение, так как в случае атаки могут привести к нарушению основных операций, но исследование показало, что они могут быть подвержены факторам высокого риска, таким как аппаратное обеспечение с истекшим сроком поддержки и микропрограммное обеспечение с истекшим сроком поддержки.

Ряд дополнительных устройств представляют риск для производственной, транспортной и коммунальной сред, поскольку они имеют по крайней мере один CVE, выявленный до января 2022 года: 85% считывателей штрих-кодов, 32% промышленных управляемых коммутаторов, 28% IP-камер и 10% принтеров.

Отрасли ОТ характеризуются наличием множества локаций, нескольких производственных линий и сложных линий распределения с огромным количеством как управляемых, так и неуправляемых устройств в сетях. В этом контексте понимание того, откуда исходит риск и где требуется устранение последствий, представляет собой серьезную проблему и может стать препятствием для управления уязвимостями, представляя собой точку входа для злоумышленников.

В среде ИКС довольно часто встречаются уязвимые устройства, поэтому специалистам необходимо видеть, какие активы находятся в их сети, и получать дополнительные сведения о том, что эти устройства делают на самом деле. Контекстные данные позволят командам определить, какой риск представляет каждое устройство для среды OT, чтобы они могли определить приоритетность устранения критических и/или уязвимых мест, чтобы быстро сократить площадь атаки.

Существует необходимость в сотрудничестве между командами ОТ и ИТ

За последние годы отрасли ОТ значительно изменились благодаря сближению ОТ и информационных технологий (IT). Это сближение является движущей силой нового этапа индустриальной эры и обеспечит междоменное сотрудничество, однако на практике единое управление обеими средами еще не реализовано. Поскольку команды ОТ сосредоточены на обслуживании промышленных систем управления, снижении рисков для ОТ и обеспечении общей целостности операционной среды, более важные обязанности, связанные с ИТ, остаются в стороне.

Четыре из пяти самых рискованных устройств работают под управлением операционных систем Windows, что свидетельствует о том, что базовое понимание риска активов и обеспечение безопасности уязвимых активов все еще является проблемой для ИТ- и ОТ-команд.

Компания Armis изучила типы устройств и обнаружила, что многие из них более подвержены вредоносной активности, поскольку используют протокол SMBv.1, операционные системы с истекшим сроком поддержки и множество открытых портов. SMBv.1 — это устаревший, незашифрованный и сложный протокол с уязвимостями, на которые были направлены печально известные атаки Wannacry и NotPetya. Эксперты по безопасности ранее советовали организациям полностью отказаться от его использования, но данные показывают, что он по-прежнему занимает лидирующие позиции в этой области.

С точки зрения организации, подход к управлению уязвимостями, основанный на оценке рисков, должен сочетаться с совместной работой отделов ОТ и ИТ для координации усилий по снижению рисков. Межведомственные проекты помогут упорядочить процессы и управление ресурсами, а также добиться большего соответствия нормативным требованиям и безопасности данных. В целом, чтобы справиться с проблемами новой промышленной эры, специалистам по безопасности необходимо решение по обеспечению безопасности, основанное на конвергенции ИТ и ОТ, которое защищает все активы, подключенные к сети.

Унифицированная платформа Armis Unified Asset Intelligence Platform обнаруживает все подключенные активы, отображает связи и отношения между ними и добавляет контекстную информацию, чтобы помочь понять их состояние и риск, который они могут представлять для бизнеса.

Платформа специально разработана для защиты сред ОТ и ИТ и может принимать значимые сигналы от сотен платформ ИТ и ОТ. Облачный механизм обнаружения угроз Armis использует машинное обучение и искусственный интеллект, чтобы определить, когда устройство работает за пределами своей нормальной базовой линии "известного качества", и запускает автоматическую реакцию для упрощения управления общей поверхностью атаки.

Компания Armis была признана ISG лидером в области OT-безопасности 3-й год подряд в отчете за 2022 год “ISG Provider Manufacturing Security Services: OT Security Solutions”. И 3-й год подряд была названа ведущим поставщиком в отчете Gartner “Market Guide for Operational Technology Security.”

Armis останавливает угрозы и защищает такие глобальные организации, а также помогает коммунальным службам, транспортным предприятиям и ведущим производителям оставаться в режиме онлайн 24 часа в сутки, 7 дней в неделю, 365 дней в году.

Методология

Armis рассчитала риск для устройств, рассмотрев все устройства на платформе Armis Asset Intelligence and Security Platform и определив, какие типы имеют фактор риска наивысшей степени тяжести и/или общие уязвимости и уязвимости (CVE). Кроме того, взвешенное влияние оказывали уровень воздействия на бизнес и средства защиты конечных точек.