Тенденции безопасности в области промышленных сетей в 2019 году

Тенденции безопасности в области промышленных сетей в 2019 году

Компания Fortinet представила исследование Fortinet Operational Technology Security Trends Report, посвященное угрозам в области промышленных сетей (OT-системы). Эксперты компании проанализировали сводные данные FortiGuard Labs, чтобы оценить степень защищенности программного пакета для диспетчерского управления и сбора данных (SCADA), а также других систем управления производством (ICS).

 

 

 

  1. Введение
  2. Отчет об операционных технологиях и роли ИТ-безопасности
    1. 2.1. Краткий обзор
    2. 2.2. Ключевые выводы о кибербезопасности в ОТ
    3. 2.3. Методология исследования
    4. 2.4. Выводы из анализа ИТ-безопасности OT
  3. Передовые практики в компаниях-лидерах по уровню ОТ безопасности
  4. Выводы

 

Введение

Проанализировав данные за 2018 год, исследователи выявили множество атак с использованием IT-сетей (IT-based), направленных в первую очередь на промышленные сети, программное обеспечение которых давно не обновлялось. С другой стороны, подобные действия в отношении IT-систем более не являются эффективными. Кроме того, наблюдается рост количества атак, направленных на SCADA и ICS.

Такие угрозы зачастую нацелены на самые уязвимые части OT-сетей и используют сложности, вызванные отсутствием стандартизации протоколов. Примечательно также, что подобные атаки не дифференцируются по географическому или отраслевому признаку — в 2018 наблюдался рост по всем направлениям и во всех регионах мира.

Эксперты Fortinet также выявили тревожную тенденцию увеличения распространенности эксплойтов практически для каждого поставщика ICS/SCADA. В дополнение к атакам на необновленные OT-системы, 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus. Кроме того, киберпреступники также используют в своих интересах широкий спектр OT-протоколов, не имеющих единого стандарта и отличающихся в зависимости от функциональности системы, географии и индустрии. Это создает сложности в разработке решений по безопасности OT-систем для вендоров по всему миру.

В целом исследование показало, что риски, связанные с конвергенцией IT/OT, вполне реальны и должны серьезно восприниматься любой организацией, которая начала подключать свои промышленные системы к ИТ-сетям. Злоумышленники продолжат использовать более медленные циклы замены и обновления технологии на предприятиях. Такая тенденция, вероятно, будет сохраняться на протяжении многих лет. Лучший способ противостоять новым угрозам — принять и внедрить комплексный стратегический подход, который упростит функционирование OT-систем и задействует всех имеющихся в организации экспертов в области IT и ОТ.

 

Отчет об операционных технологиях и роли ИТ-безопасности

Краткий обзор

Операционные технологии (ОТ) играют жизненно важную роль в обеспечении общественной безопасности и экономического благосостояния и используются для управления оборудованием, которое работает на производственных предприятиях, в электросетях, системах водоснабжения, судоходных линиях и во многих других сферах по всему миру.

Развитие операционных технологий пришлось на первые десятилетия 20 века, когда электрические машины и устройства управления пришли на смену оборудованию, работающему на пару, а также ручным инструментам. Операционные технологии появились за много десятилетий до информационных технологий, и традиционно инфраструктура ОТ была изолирована от ИТ-инфраструктуры. Однако в последние годы ИТ-технологии, в том числе всевозможные датчики, технологии машинного обучения и большие данные постепенно интегрируются с ОТ-сетями, что позволяет добиться дополнительной эффективности и обеспечивает новые конкурентные преимущества. В то же время все это приводит к увеличению поверхности цифровых атак и рисков вторжений.

Чтобы оценить текущий уровень кибербезопасности в средах OT, компания Fortinet опросила руководителей предприятий по эксплуатации и директоров производств в крупных производственных, энергетических и коммунальных компаниях, организациях отрасли здравоохранения и транспорта. Результаты опроса привели в числе прочего к следующим выводам:

  1. Кибератаки оказывают весьма сильное влияние на ОТ-окружение. Около 74% всех ОТ-организаций сталкивались за минувший год с инцидентами, связанными с проникновением вредоносного кода, которые приводили к снижению доходов и продуктивности, негативно сказывались на доверии к бренду, интеллектуальной собственности и физической безопасности. 
  2. Нехватка инструментов ИТ-безопасности способствует увеличению рисков. 78% организаций имеют лишь частичное представление об уровне ИТ-безопасности в своих средах ОТ. В 65% организаций отсутствуют механизмы разграничения доступа на основе ролей, и более чем в половине организаций не применяются инструменты многофакторной аутентификации и не реализована внутренняя сегментация сети.
  3. Улучшение безопасности ОТ ограничено необходимостью соответствовать быстрым изменениям, а также нехваткой сотрудников. Около двух третей (64%) руководителей ОТ считают своей основной сложностью необходимость идти в ногу с изменениями, и почти половина (45%) испытывают нехватку квалифицированных кадров.
  4. В ОТ-организациях все больше внимания уделяется кибербезопасности. 70% организаций намерены реализовать в течение следующего года стратегию кибербезопасности ОТ, которая будет находиться в ведении директора по информационной безопасности (в настоящее время только 9% директоров по информационной безопасности курируют безопасность ОТ), и 62% организаций отмечают увеличение своих бюджетов на кибербезопасность.

В данном отчете представлен анализ результатов опроса, в том числе обсуждаются следующие аспекты:

  • проблемы, которые встают перед руководителями по эксплуатации при защите своих ОТ-окружений;
  • типы вторжений и атак, с которыми сталкиваются организации, а также их влияние;
  • различные подходы к управлению кибербезопасностью;
  • различные пробелы в безопасности, с которыми им приходится иметь дело;
  • как они измеряют и оценивают свои успех.

Ключевые выводы о кибербезопасности в ОТ

  1. 74% опрошенных организаций сталкивались за последние 12 месяцев с проникновениями, приводившими к утечкам или потерям данных, сбоям и нарушениям в работе и/или репутационному ущербу.
  2. 64% компаний прикладывают немало усилий, чтобы идти в ногу с изменениями. 3)
  3. 78% сообщают о весьма ограниченных средствах централизованного мониторинга кибербезопасности.
  4. 62% увеличивают свои бюджеты на кибербезопасность. 

Утечки и инциденты негативно сказываются на: 

  • продуктивности (43%);
  • выручке (36%);
  • репутации бренда (30%);
  • критически важных для бизнеса данных (28%);
  • ставят под угрозу безопасность (23%).

70% респондентов намерены в следующем году реализовать стратегию кибербезопасности, которая будет находиться в ведении директора по информационной безопасности.

При этом в настоящее время лишь 9% директоров по информационной безопасности курируют вопросы кибербезопасности ОТ.

В отличие от организаций, лидирующих по числу вторжений (более 6 проникновений за 12 месяцев), для наиболее защищенных ОТ-организаций (не имевшим вторжений за последний год) характерно следующее:

  • на 100% чаще используют многофакторную аутентификацию;
  • на 94% чаще используют управление доступом на основе ролей;
  • на 68% чаще управляют и отслеживают события безопасности и осуществляют анализ этих событий;
  • на 51% чаще используют сегментацию сети;
  • на 46% чаще осуществляют проверку соблюдения требованиям безопасности.

Методология исследования

Отчет об операционных технологиях и кибербезопасности основан на результатах опроса сотрудников в январе 2019 года, которые:

  • работают в компаниях со штатом свыше 2500 человек из производственного сектора, энергетики, коммунальной отрасли, отрасли здравоохранении и транспорта;
  • в качестве основной зоны ответственности для которых являются операционные технологии;
  • отвечают за операции;
  • участвуют в решениях о приобретении технологий кибербезопасности. 

Выводы из анализа ИТ-безопасности OT

Вывод 1: Кибератаки оказывают сильное влияние на ОТ-организации

 

Рисунок 1. Типы атак на ОТ

Типы атак на ОТ

Вредоносный код 77%

Фишинг  45%

Шпионские программы 38%

Бреши в системе мобильной безопасности 28%

Программы-вымогатели 23%

DDoS-атаки 15%

Внедрение кода SQL 15%

MITM-атаки 13%

Внутренние утечки (неблагонадежные сотрудники) 9%

Атаки нулевого дня 4%

 

Рисунок 2. Влияние утечек на ОТ-организации

Влияние утечек на ОТ-организации

Перебои в работе, повлиявшие на продуктивность  43%

Перебои в работе, повлиявшие на выручку  36%

Снижение узнаваемости бренда  30%

Потеря критически важных данных  28%

Перебои в работе, создавшие риск физической безопасности  23%

Ничего из вышеперечисленного 15%

 

Вывод 2: Нехватка инструментов мониторинга безопасности способствует увеличению рисков

78% организаций имеют весьма ограниченные средства централизованного мониторинга кибербезопасности ОТ-операций, как показано на рисунке 3.

 

Рисунок 3. Полнота отслеживания безопасности ОТ-операций

Полнота отслеживания безопасности ОТ-операций

 

Вывод 3: Нехватка инструментов мониторинга безопасности способствует увеличению рисков

 

78% организаций имеют весьма ограниченные средства централизованного мониторинга кибербезопасности ОТ-операций, как показано на Рисунке 4.

Примерно три четверти (74%) OT-организаций сталкивались за последние 12 месяцев как минимум с одним проникновением, связанным с использованием вредоносного кода, а для половины (50%) количество таких проникновений было от 3 до 10 и более.

Согласно рисунку 1, использование вредоносного кода является одним из наиболее распространенных источников проникновений, после которого идут фишинговые атаки (45%), шпионское ПО (38%) и бреши в мобильной безопасности (28%). Как показано на Рисунке 3, кибератаки оказывают сильное влияние на ОТ-организации.

Вывод 4: Нехватка квалифицированных кадров является самым значительным сдерживающим фактором для улучшения кибербезопасности

Около двух третей руководителей ОТ (64%) считают своей основной сложностью необходимость идти в ногу с изменениями. Среди других сложностей отмечаются:

  • взаимоотношения с профсоюзами (Union relations) (45%);
  • нехватка квалифицированных специалистов (45%);
  • регуляторные изменения (44%);
  • доступность и возможность обучения (42%);
  • бюджетные ограничения (42%).

Более того, нехватка квалифицированных сотрудников является одним из четырех наиболее серьезных опасений для руководителей ОТ при рассмотрении возможности приобретения дополнительных решений кибербезопасности:

  • создание дополнительных сложностей (53%);
  • необходимость внедрения стандартов безопасности (45);
  • необходимость расширения штата сотрудников, занимающихся ОТ (45%);
  • ухудшение операционной гибкости (44%).

Тем не менее, согласно дополнительно полученным данным, несмотря на нехватку кадровых ресурсов, ОТ-организации полны решимости улучшить уровень безопасности. На рисунке 4 представлены основные соображения, которые вынуждают руководителей по эксплуатации повышать кибербезопасность. 

 

Рисунок 4. Основные аспекты, вынуждающие руководителей повышать уровень кибербезопасности

Основные аспекты, вынуждающие руководителей повышать уровень кибербезопасности

 

Безопасность данных, искусственный интеллект, нехватка квалифицированных сотрудников, цифровая трансформация, кражи личности, рост, дефицит, действия хакеров, нехватка времени, DDoS-атаки, угрозы изнутри, безопасность бренда, безопасность, вредоносный код, мошеннические действия, простои производства, издержки, продуктивность, фишинг, соблюдение нормативных требований и стандартов, обновления.

При составлении рисунка 4 основной вопрос звучал следующим образом: «Какие три основные проблемы побуждают вас улучшать или изменять свою политику в области кибербезопасности?» Чем чаще звучал тот или иной ответ, тем более жирным шрифтом он отображен на рисунке выше.

Среди наиболее распространенных ответов о проблемах с безопасностью назывались стремление помешать хакерам, защитить растущую поверхность атаки, обусловленную цифровой трансформацией, обеспечить безопасность данных и сохранить безопасность, продуктивность, экономичность окружений, соблюдая при этом нормативные требования, даже в условиях нехватки квалифицированных кадров.

Вывод 5: ОТ-организации уделяют все больше внимания вопросам кибербезопасности

70% опрошенных организаций намерены реализовать в течение следующего года стратегию кибербезопасности ОТ, которая будет находиться в ведении директора по информационной безопасности. Любопытно, что в настоящее время только 9% директоров по информационной безопасности курируют безопасность ОТ. Сегодня в 50% организаций за кибербезопасность отвечает директор по ОТ / менеджер по кибербезопасности, при этом еще в 24% организаций вопросы кибербезопасности находятся в ведении вице-президента / директора по развитию и эксплуатации сетей (Networking Engineering and Operations).

Повышенное внимание вопросам кибербезопасности заметно не только по изменению зон ответственности в рамках организации. 62% респондентов заявляют о значительном увеличении своих бюджетов на ИБ в этом году, при этом 38% сохраняют текущий уровень финансирования для обеспечения кибербезопасности. ОТ-организации уделяют все больше внимания рискам безопасности: 94% участников опроса заявляют о том, что их стратегия безопасности ОТ является важным или весьма важным фактором на общей шкале рисков, которую директор по информационной безопасности показывает руководству и совету директоров компании.

 

Рисунок 5. Количество ОТ-устройств в эксплуатации

 Количество ОТ-устройств в эксплуатации

 

Вывод 6: ОТ-окружения являются весьма сложными с точки зрения обеспечения защиты

ОТ-окружения, над обеспечением безопасности которых работают респонденты, весьма сложные и включают в себя большое число различных ОТ-устройств (парк оборудования может превосходить 500 устройств, как показано на рисунке 5). 

 

Рисунок 6. Количество производителей используемых ОТ-устройств

 Количество производителей используемых ОТ-устройств

 

Как показано на рисунке 6, большинство организаций работает с устройствами от 2-4 различных производителей.

 

Рисунок 7. Производители ОТ-устройств

 Производители ОТ-устройств

 

Как показано на рисунке 7, респонденты в этом опросе чаще всего работают с устройствами от Honeywell, Siemens и Emerson.

Вывод 7: Директора по эксплуатации способны влиять на улучшение кибербезопасности

По мере того как OT-организации укрепляют кибербезопасность своих окружений, директора по эксплуатации активно участвуют в принятии решений. Более трех четвертей (76%) сообщают, что они регулярно включаются в принятие решений по кибербезопасности, и почти половина (45%) имеют решающий голос при принятии решений по OT. Почти все регулярно (56%) или иногда (39%) участвуют в разработке стратегии ИТ-кибербезопасности своей организации.

Любопытно, что безопасное и стабильное окружение имеет важное значение для трех основных показателей успеха, по которым оценивается работа руководителей по эксплуатации: максимизация продуктивности (55%), минимизация затрат (53%) и сокращение времени реагирования на уязвимости безопасности (44% ).

Может показаться удивительным, что «уменьшение времени реагирования на уязвимости безопасности» является третьим наиболее важным показателем успешности. Но представьте, как быстро кибератака способна привести к остановке таких объектов, как фабрика, коммунальное предприятие или железная дорога, негативно влияя на производительность, доходы и безопасность. Стабильная и отказоустойчивая среда также имеет решающее значение для трех основных рабочих обязанностей руководителей по эксплуатации: управление производственной эффективностью (77%), контроль за работой эксплуатационной группы (77%) и управление контролем качества и производственными процессами (76%).

Учитывая акцент руководства на стабильности и отказоустойчивости, становится более очевидным, почему 76% руководителей по эксплуатации активно участвуют в принятии решений по кибербезопасности OT. Эта задача будет занимать еще больше времени, поскольку, согласно прогнозам, к 2023 году расходы на кибербезопасность OT вырастут на 50% до 18,05 млрд долларов по сравнению с 12,22 млрд долларов в 2017 году.

Сегодня в области кибербезопасности существует ряд проблем, которыми должны заниматься группы ОТ, как указано в следующем разделе.

Вывод 8: В области безопасности OT существуют определенные пробелы в управлении доступом, аутентификации, сегментации сетей и многом другом

На рисунке 8 показан процент организаций OT, не имеющих следующих ключевых возможностей.

 

Рисунок 8. Процент организаций ОТ, не имеющих ключевых возможностей обеспечения кибербезопасности

Процент организаций ОТ, не имеющих ключевых возможностей обеспечения кибербезопасности

Управление доступом на основе ролей  65%

Технический операционный центр  58%

Многофакторная аутентификация  56%

Центр управления сетью (NOC)  55%

Сегментация внутренней сети  53%

Запланированный аудит безопасности  47%

Центр обеспечения безопасности (SOC)  44%

Дистанционное управление физической безопасностью  41%

Управление и мониторинг событий безопасности / анализ  39%

Обучение правилам безопасности  33%

То, что компании не используют указанные на рисунке 8 инструменты, создает ряд пробелов в безопасности:

  • Около двух третей (65%) опрошенных ОТ-компаний не используют управление доступом на основе ролей, что дает злоумышленникам дополнительные возможности для маневра в их ОТ-окружениях. 
  • Почти 6 из 10 (56%) ОТ-организаций не используют многофакторную аутентификацию. Согласно недавнему отчету Verizon, в 81% случаев проникновения начинались с потери или кражи учетных данных2. Многие вторжения в ОТ-окружения состоялись после направленных фишинг-атак с целью получения учетных данных (согласно данным Wall Street Journal, за последние два года ориентировочно два десятка американских энергетических компаний пострадали от вторжений, для организации которых использовались адресные фишинг-атаки и украденные учетные данные, при этом злоумышленники оставляли в их ОТ-окружении вредоносный код, который мог использоваться для будущих диверсий3). Многофакторная аутентификация затрудняет успешное использование похищенных учетных данных.

Более половины организаций (53%) не используют внутреннюю сегментацию сетей.

В Рекомендациях по кибербезопасности Национального института стандартизации и технологий сегментирование названо «одним из наиболее эффективных концепций при создании архитектуры, которую может реализовать организация» для защиты своего ОТ-окружения. Отраслевые эксперты указывают, что многие из недавних атак на ОТ с использованием вредоносного кода можно было предотвратить за счет сегментирования, так как это ограничивает свободу перехода из одной ОТ производственной сети в другую, и даже внутри самой производственной сети.

Почти половина (44%) организаций не имеет Центра обеспечения безопасности (SOC), а более половины (55%) не имеют Центра управления сетью (NOC), что ухудшает контроль и повышает риски. Центр обеспечения безопасности позволяет быстрее выявлять, предотвращать или минимизировать последствия атаки. Центр управления сетью позволяет увеличить пропускную способность сети и повышает ее доступность. В целях повышения эффективности центры SOC и NOC могут быть интегрированы друг с другом. 

Почти в четырех из десяти организаций (39%) отсутствует система управления, мониторинга и анализа событий безопасности, в результате чего организациям становится сложнее выявлять утечки и проникновения. Поскольку большинство организаций сегодня признает, что утечки так или иначе неизбежны, обеспечение киберустойчивости (cyber resiliency), или способность реагировать на инциденты и управлять событиями безопасности, имеет решающее значение для минимизации последствий вторжений.

Внедрение даже основных методов обеспечения безопасности по-прежнему представляет проблему для значительного числа организаций, при этом треть из них (33%) признает, что у них нет собственных программ обучения или повышения осведомленности сотрудников о проблемах безопасности. Поскольку на внутренние угрозы приходится 30% всех проникновений, подобные программы являются обязательными для любой организации, как для ИТ, так и для ОТ.

 

Передовые практики в компаниях-лидерах по уровню ОТ-безопасности

26% наших респондентов (из числа лидеров по уровню ОТ-безопасности) заявляют об отсутствии вторжений за последние 12 месяцев. С другой стороны, 17% респондентов (уже из числа аутсайдеров) сообщают о том, что за последний год зафиксировали 6 и более вторжений, а некоторые из респондентов даже не располагают информацией о количестве проникновений. Любопытно отметить разницу между этими двумя группами:

  • Организации из числа лидеров на 100% чаще используют многофакторную аутентификацию, чем организации-аутсайдеры, что затрудняет для злоумышленников использование похищенных учетных записей.  
  • Организации-лидеры на 94% чаще используют контроль доступа на основе ролей, чем организации-аутсайдеры, что ограничивает возможности потенциальных злоумышленников.
  • Организации-лидеры на 68% чаще управляют и отслеживают события безопасности и осуществляют анализ инцидентов, чем организации-аутсайдеры, что снижает риск утечек за счет уменьшения времени, необходимого для их обнаружения.
  • Организации-лидеры на 51% чаще используют сегментирование сетей, чем организации-аутсайдеры, что ограничивает возможности потенциальных злоумышленников.
  • Организации-лидеры на 46% чаще проводят регулярные аудиты безопасности, чем организации-аутсайдеры, что способствует улучшению их уровня безопасности.

 

Выводы

Риски киберугроз в ОТ-окружениях весьма высоки: почти у 8 из каждых 10 респондентов за последний год были зафиксированы вторжения, при этом у половины участников было подтверждено от 3 до 10 и более утечек. Как сообщается, эти вторжения негативным образом сказались на продуктивности, выручке, доверии к бренду, интеллектуальной собственности и физической безопасности. В данном исследовании перечислены факторы, которые необходимо учесть, чтобы минимизировать риски — например, тот факт, что в 78% организаций отсутствует полноценный централизованный мониторинг кибербезопасности, 56% не используют многофакторную аутентификацию, а в 53% компаний не применяется внутреннее сегментирование сети, что является одним из наиболее эффективных методов обеспечения безопасности в ОТ-окружении.

Руководители по эксплуатации сообщают, что они играют важную роль в оценке решений для кибербезопасности. Они находятся в поисках решений, которые бы соответствовали их основным целям в отношении увеличения продуктивности и минимизации издержек.

Чтобы решить проблему с отсутствием централизованного мониторинга и нехваткой квалифицированных кадров, ОТ-организациям необходимо придерживаться следующих рекомендаций:

  • Стараться внедрять решения безопасности, которые способны работать вместе для обеспечения более полной прозрачности всей поверхности цифровых атак, как в ОТ-, так и в ИТ-окружениях.
  • Использовать платформенный подход к обеспечению безопасности (security fabric), который предусматривает интегрированную защиту всех устройств, сетей и приложений.
  • Пользоваться автоматизированными функциями безопасности, в том числе решениями для координации реагирования на угрозы, а также применять новые технологии, такие как машинное обучение.
  • Сводить к минимуму возможные риски за счет использования передовых практик обеспечения кибербезопасности в ОТ, таких как сегментирование сетей, многофакторная аутентификация и управление доступом на основе ролей.

Все эти подходы к кибербезопасности помогут организациям повысить уровень безопасности и компенсировать нехватку квалифицированных кадров.

С полной версией исследования на английском языке можно ознакомиться на сайте Fortinet.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru