Всем привет! Сегодня делимся статьей переведенной специально для студентов курса «Реверс-инжиниринг». Поехали.
Мы живем в мире, где все больше и больше производственных процессов контролируются компьютерами, которые управляют роботами. Возможно, это звучит как безопасный и эффективный способ работы, поскольку исключает из производства человеческий фактор, однако, что произойдет, если злоумышленник решит скомпрометировать производственные серверы?
Рассмотрим другие сценарии остановки рабочих процессов: может ли вымогательство застопорить производство? Может ли ботнет взять под контроль производственные процессы и поручить роботам конструировать что-то иное? Учитывают ли планы действий при аварийных ситуациях, что несколько систем могут находиться под атакой одновременно?
В любом случае каждый из этих сценариев наносит ущерб только бизнесу. Что происходит, когда киберугроза превращается в реальную физическую угрозу? В производственном секторе повышается вероятность того, что вредоносное ПО повредит не только данным и системе, но и рабочим мощностям.
В одном из своих высказываний о промышленном секторе Deloitte в марте 2019 года заявили, что во время анализа безопасности, они часто слышали следующее:
Излишне говорить, что безопасность через затворничество больше не является действенной стратегией, но я с удовольствием скажу об этом еще раз. К счастью, Deloitte также отметила, что безопасность Операционных Технологических (OT) систем наконец привлекла к себе столь необходимое внимание.
В конце концов, атака не должна быть целенаправленной, чтобы нанести большой урон. Да и угрозы могут исходить из внутренней сети; они не всегда зависят от доступа в интернет.
Недавним примером, который, должно быть, напугал сотрудников безопасности крупных промышленных предприятий, было покушение вируса-вымогателя LockerGoga, которому подвергся норвежский производитель алюминия Norsk Hydro. В итоге некоторые из заводов компании были вынуждены перейти на ручное управление.
Если вредоносное ПО нарушает организацию производства и получает контроль над определенными процессами, существуют некоторые непосредственные угрозы физической безопасности изнутри и снаружи промышленного предприятия. Они включают в себя:
Вышеприведенные примеры лишь крайности, до которых может дойти ситуация. Если вы хотите получить представление о том, насколько плохо все может быть на самом деле, вы можете взглянуть на эту статью об аварии с опасными химическими веществами. В результате этой аварии в Китае образовался целый кратер.
В прошлом было много аварийных случаев, произошедших по вине человека, который некорректно использовал интерфейсы, подключенные к интернету. Было ли это архитектурной ошибкой или просто ошибкой скучающего оператора постфактум уже значения не имеет. Однако мы должны принять во внимание риски и попытаться их избежать.
Чтобы не усложнять ситуацию еще больше, необходимо запретить приносить свои собственные устройства. Независимо от того, используют ли люди свои собственные устройства для подключения к сети компании или нет, их личные устройства будут находиться внутри здания и потенциально могут использоваться в качестве точки входа для получения доступа к другим системам.
Другим вопросом, на который стоит обратить внимание, может быть использование подключенных устройств в рамках промышленного Интернета вещей (IIoT) для существующих промышленных систем управления. IIoT представляет собой сеть, состоящую из множества промышленных устройств, соединенных коммуникационными технологиями. Таким образом строятся системы, которые могут контролировать, собирать, обмениваться, анализировать и предоставлять ценную информацию. Звучит как отличная цель для злоумышленника, который хочет получить прибыль от организации или просто уничтожить завод.
Вредоносное ПО, которое может нарушить процесс производства, не должно быть коммерческим, подобно примеру с вирусами-вымогателями, о котором мы упоминали выше. Есть много причин предполагать, что вредоносные программы, которые были разработаны по аналогии со Stuxnet, возможно, находятся «в спячке» на заводах и фабриках в ожидании сигнала к атаке.
Вредоносное ПО такого типа могло быть скрыто с помощью скомпрометированной цепочки доставки или другими более распространенными методами. Пока вредоносная программа не активирована, она может оставаться незамеченной в течение длительного времени. Однако киберпреступники убедились, что они могут активировать ее по своему желанию.
Теперь, когда мы познакомились с семейством вирусов-вымогателей, которое нацелено на промышленные предприятия, настало время перейти к всевозможным сценариям, которые могут произойти, если злоумышленник скомпрометирует автоматизированные элементы управления вашего завода или фабрики.
Наличие резервной системы — хорошая идея, на случай если вдруг система управления оказывается неисправна, но когда происходит крупномасштабная атака на все ваши компьютеры, резервная машина может быть столь же бесполезна, как и основная. На каждом этапе процесса, который при некорректной работе может оказаться физически опасным, должен присутствовать отказоустойчивый механизм, откатывающий его до состояния, при котором никакое внешнее воздействие не сможет повлиять на этот процесс.
Там, где это возможно, было бы проще или разумнее создать перехват управления важными процессами в ручную, чтобы не останавливать производство, когда компьютерные системы оказываются скомпрометированными.
И лучший вариант — предотвратить проникновение вредоносных программ и захват средств управления соответственно. Внедрите мощное решение в области кибербезопасности, которое сможет блокировать самые новые угрозы и быстро обезвреживать уже проникнувшие в систему, тогда ваш завод будет иметь больше шансов избежать опасных сценариев, инициированных злоумышленниками.
Даже если у вас нет 100-процентной гарантии обеспечения надлежащего уровня кибербезопасности, оставаться на шаг впереди злоумышленников – это лучшая стратегия, которая сможет уберечь вас от многих проблем.
Оставайтесь в безопасности!
Ждем ваши комментарии, а также сообщаем о том, что традиционный бесплатный вебинар состоится уже 13 июня.
Мы живем в мире, где все больше и больше производственных процессов контролируются компьютерами, которые управляют роботами. Возможно, это звучит как безопасный и эффективный способ работы, поскольку исключает из производства человеческий фактор, однако, что произойдет, если злоумышленник решит скомпрометировать производственные серверы?
Рассмотрим другие сценарии остановки рабочих процессов: может ли вымогательство застопорить производство? Может ли ботнет взять под контроль производственные процессы и поручить роботам конструировать что-то иное? Учитывают ли планы действий при аварийных ситуациях, что несколько систем могут находиться под атакой одновременно?
В любом случае каждый из этих сценариев наносит ущерб только бизнесу. Что происходит, когда киберугроза превращается в реальную физическую угрозу? В производственном секторе повышается вероятность того, что вредоносное ПО повредит не только данным и системе, но и рабочим мощностям.
Как к этому относится промышленность?
В одном из своих высказываний о промышленном секторе Deloitte в марте 2019 года заявили, что во время анализа безопасности, они часто слышали следующее:
- Зачем кому-то нас взламывать? Мы же не атомная электростанция.
- Наши операционные системы даже не подключены к интернету, о чем беспокоиться?
Излишне говорить, что безопасность через затворничество больше не является действенной стратегией, но я с удовольствием скажу об этом еще раз. К счастью, Deloitte также отметила, что безопасность Операционных Технологических (OT) систем наконец привлекла к себе столь необходимое внимание.
В конце концов, атака не должна быть целенаправленной, чтобы нанести большой урон. Да и угрозы могут исходить из внутренней сети; они не всегда зависят от доступа в интернет.
Недавним примером, который, должно быть, напугал сотрудников безопасности крупных промышленных предприятий, было покушение вируса-вымогателя LockerGoga, которому подвергся норвежский производитель алюминия Norsk Hydro. В итоге некоторые из заводов компании были вынуждены перейти на ручное управление.
В чем заключается опасность?
Если вредоносное ПО нарушает организацию производства и получает контроль над определенными процессами, существуют некоторые непосредственные угрозы физической безопасности изнутри и снаружи промышленного предприятия. Они включают в себя:
- Экстремально высокие температуры. Высокие температуры могут быть непосредственным условием производственного процесса или его побочным эффектом. В обоих случаях тепло необходимо контролировать, поскольку повышенная температура может поддерживаться только в тех помещениях, которые для этого предназначены. Если средства управления выходят из строя или высокая температура оказывается за пределами специально оборудованного помещения, могут произойти пожары, оплавления или появиться другие серьезные последствия.
- Радиоактивность. Нас постоянно убеждают в том, что атомные электростанции находятся в безопасности, но расскажите об этом людям, которые жили вблизи Фукусимы и Чернобыля. В июне 2017 года Laka Foundation опубликовал список с сообщениями о почти 1000 инцидентах и авариях (или ситуациях близких к аварийным) (https://www.laka.org/nieuws/2017/laka-releases-iaea-list-with-near-accidents-in-nuclear-power-stations-7144) на атомных электростанциях и других ядерных объектах. Такие сообщения собираются Международным агентством по атомной энергии (МАГАТЭ) с 1990 года.
- Опасные химические вещества. Химикаты используются во многих производственных процессах. Они должны применяться в точном количестве или соотношении для правильной работы. Применение неверного количества того или иного компонента может привести к неконтролируемым реакциям. Опасности, обычно связанные с химическими веществами, — это взрывы, пожары, токсические выбросы, кислоты и коррозионная активность. Следует также учитывать опасность удушья, которое может наступить в случае, когда присутствие другого газа не оставляет достаточного количества кислорода в воздухе. Кроме того, окисляющие химические вещества в принципе могут разрушать жизненно важные части производства.
Вышеприведенные примеры лишь крайности, до которых может дойти ситуация. Если вы хотите получить представление о том, насколько плохо все может быть на самом деле, вы можете взглянуть на эту статью об аварии с опасными химическими веществами. В результате этой аварии в Китае образовался целый кратер.
Соединение с сетью интернет
В прошлом было много аварийных случаев, произошедших по вине человека, который некорректно использовал интерфейсы, подключенные к интернету. Было ли это архитектурной ошибкой или просто ошибкой скучающего оператора постфактум уже значения не имеет. Однако мы должны принять во внимание риски и попытаться их избежать.
Чтобы не усложнять ситуацию еще больше, необходимо запретить приносить свои собственные устройства. Независимо от того, используют ли люди свои собственные устройства для подключения к сети компании или нет, их личные устройства будут находиться внутри здания и потенциально могут использоваться в качестве точки входа для получения доступа к другим системам.
Другим вопросом, на который стоит обратить внимание, может быть использование подключенных устройств в рамках промышленного Интернета вещей (IIoT) для существующих промышленных систем управления. IIoT представляет собой сеть, состоящую из множества промышленных устройств, соединенных коммуникационными технологиями. Таким образом строятся системы, которые могут контролировать, собирать, обмениваться, анализировать и предоставлять ценную информацию. Звучит как отличная цель для злоумышленника, который хочет получить прибыль от организации или просто уничтожить завод.
Другие вирусы
Вредоносное ПО, которое может нарушить процесс производства, не должно быть коммерческим, подобно примеру с вирусами-вымогателями, о котором мы упоминали выше. Есть много причин предполагать, что вредоносные программы, которые были разработаны по аналогии со Stuxnet, возможно, находятся «в спячке» на заводах и фабриках в ожидании сигнала к атаке.
Вредоносное ПО такого типа могло быть скрыто с помощью скомпрометированной цепочки доставки или другими более распространенными методами. Пока вредоносная программа не активирована, она может оставаться незамеченной в течение длительного времени. Однако киберпреступники убедились, что они могут активировать ее по своему желанию.
Настало время
Теперь, когда мы познакомились с семейством вирусов-вымогателей, которое нацелено на промышленные предприятия, настало время перейти к всевозможным сценариям, которые могут произойти, если злоумышленник скомпрометирует автоматизированные элементы управления вашего завода или фабрики.
Наличие резервной системы — хорошая идея, на случай если вдруг система управления оказывается неисправна, но когда происходит крупномасштабная атака на все ваши компьютеры, резервная машина может быть столь же бесполезна, как и основная. На каждом этапе процесса, который при некорректной работе может оказаться физически опасным, должен присутствовать отказоустойчивый механизм, откатывающий его до состояния, при котором никакое внешнее воздействие не сможет повлиять на этот процесс.
Там, где это возможно, было бы проще или разумнее создать перехват управления важными процессами в ручную, чтобы не останавливать производство, когда компьютерные системы оказываются скомпрометированными.
И лучший вариант — предотвратить проникновение вредоносных программ и захват средств управления соответственно. Внедрите мощное решение в области кибербезопасности, которое сможет блокировать самые новые угрозы и быстро обезвреживать уже проникнувшие в систему, тогда ваш завод будет иметь больше шансов избежать опасных сценариев, инициированных злоумышленниками.
Даже если у вас нет 100-процентной гарантии обеспечения надлежащего уровня кибербезопасности, оставаться на шаг впереди злоумышленников – это лучшая стратегия, которая сможет уберечь вас от многих проблем.
Оставайтесь в безопасности!
Ждем ваши комментарии, а также сообщаем о том, что традиционный бесплатный вебинар состоится уже 13 июня.
