PhD 11: Для киберзащиты промышленников не хватает оборудования

PhD 11: Для киберзащиты промышленников не хватает оборудования

PhD 11: Для киберзащиты промышленников не хватает оборудования

Кибератаки на заводы выросли в разы. Сейчас сложно назвать точные цифры, но динамика марта показывает 15% скачок запроса на защиту в промышленной сфере. Зарубежные поставщики ушли и «заморозили» патчинг, этим обязательно воспользуются хакеры. Такую информацию представили на Positive Hack Days 11.

«Количество атак на промышленные предприятия серьезно увеличивается, и компаниям, занимающимся ИБ, еще только предстоит подсчитать, насколько именно», — рассказывает Anti-Malware.ru Роман Краснов, руководитель направления промышленной кибербезопасности Positive Technologies.

По его словам, попыток взлома может быть в сотни раз больше, чем раньше. С такой оценкой согласны и в компании «Ростелеком-Солар».

«Промышленность не следует отделять от других отраслей, — комментирует проблему Виталий Сиянов, менеджер по развитию бизнеса направления «Solar Интеграция».

«Сейчас мы находимся в состоянии кибервойны, и промышленный сектор подвержен ровно таким же атакам кибервойск, как и другие компании», — добавляет Сиянов.

Основная проблема защиты индустриальных объектов — оборудование. Если софт отечественные вендоры уже научились разрабатывать, то «железо» заместить сложнее.

«Уход зарубежных производителей как систем АСУ ТП, так и решений по информационной безопасности сильно ухудшил положение промышленных компаний в области защиты от киберугроз», — признает Сиянов.

Cisco и Fortinet занимали большую долю рынка в межсетевом экранировании. И в краткосрочной перспективе пока нет полной альтернативы их решениям.

Компании уже смотрят в сторону отечественных средств защиты. Спрос на межсетевые экраны вырос в два-три раза, но российские производители файрволов пока не могут удовлетворить его.

«Если в ситуации с программным обеспечением на российском рынке практически везде есть альтернативные решения, то с оборудованием, комплектующими, чипами и всем, на чем ПО должно работать, положение сложнее. Ощущается явный недостаток серверов», — отмечает эксперт.

Другая проблема: сами промышленники всё еще консервативны, боятся нового, а про случившиеся кибератаки предпочитают публично не говорить.

Роман Краснов признался, что «с точки зрения безопасности, промышленность — это все еще черный ящик. Большинство кибератак не предается огласке из-за репутационных рисков. Поэтому точно определить, как обстоят дела в конкретной отрасли промышленности фактически не представляется возможным пока даже на уровне государства».

«Обелением» черного ящика сейчас занимается НКЦКИ — государственный центр по борьбе с киберпреступностью. Туда стекаются инциденты со всех тринадцати отраслей промышленности. Предприятиям отправляют бюллетени безопасности, в которых описан конкретный сценарий атаки и перечислены субъекты, подверженные угрозам.

Эксперты жалуются, что предприятия не всегда воспринимают рекомендации всерьез и не принимают необходимые меры защиты.

Любое решение априори «дырявое», и эти «бреши» находят постоянно. Основная проблема ухода иностранных производителей в том, что они предоставляли сервис для своих продуктов.

«В сегодняшних реалиях вендоры уже не доставляют патчинг, то есть через год у предприятий будет не средство защиты, а решето», — поясняет Сиянов.

Сообщество хакеров отслеживает информацию об уязвимостях и активно эксплуатирует их в атаках, поэтому вопрос патчинга стоит чрезвычайно остро. Когда патчинг уязвимостей недоступен, критически повышается роль мониторинга: 

Мониторинг всегда подразумевает применение профессиональных продуктов ИБ. Например, SIEM- и NTR/NDR-системы отлично подходят для использования в индустриальной сети.

Если предприятия не могут «патчиться», им необходимо внимательно мониторить, что происходит с известными им уязвимостями, предупреждают эксперты. Без полноценного мониторинга технологической сети нельзя качественно и существенно повысить защищенность промышленного предприятия.

По прогнозам специалистов, промышленная кибербезопасность выйдет на новый уровень уже в этом году. Защита промышленного предприятия — это не задача частного применения отдельного класса продуктов, а комплексная история. На технологическом объекте множество систем, которые необходимо защищать разными средствами ИБ. Эксперты предсказывают лавинообразный рост продаж всех классов решений для защиты промышленной индустрии.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru