NSS Labs’ Vulnerability Threat Report по безопасности SCADA

Почитав работы Паганини (не тот который скрипач ;-) , а тот который безопасник), пришел к выводу, что западные специалисты по безопасности уже давно перешли в активную работу в направлении безопасности АСУ ТП. Причем для “них” точкой отсчета является Stuxnet, т.е. 2010 год.

За без малого 3 года и мероприятий много прошло, и исследований много сделали.

Что касается мероприятий, то у нас пока только планируется первое профильное мероприятие по безопасности АСУ ТП (14 марта).

Что касается исследований, то тут у нас уже есть первые результаты (Digital Security и Positive Technologies). При этом на результаты международных исследователей мы внимания обращаем мало, да и тема пока только набирает обороты (окончательно наберет, только после выделения государственных бюджетов).

Однако, масштаб пока не соответствует западным аналогам. В частности отчету NSS Labs.

По данным отчета NSS Labs’ Vulnerability Threat Report, уязвимость таких инфраструктур, как система энергоснабжения, водоснабжения, телекоммуникации или транспортной инфраструктуры с 2010 года выросла на 600%.

paganini

В отчете говорится о существенном росте уязвимости оборудования и системного обеспечения в промышленности. К тому же исследование показало, что многие SCADA-системы слишком несовременны или устарели вовсе.

Ключевые данные из отчета:

  • Количество обнаруженных слабых мест снижалось на протяжении пяти лет, пока не выросло на 12% в 2012 году;
  • Более чем 90% выявленных уязвимостей имеют средний либо высокий уровень опасности. Соответственно 9% всех найденных в 2012 году – это уязвимости с чрезвычайно высоким уровнем опасности (с показателем CVSS выше 9,9), к тому же не являются сложными для исследования или взлома;
  • В среднем 1 процент производителей несут ответственность за 31% выявленных уязвимостей в год;
  • Только один из 10 главных производителей уменьшил количество выявленных уязвимостей в 2012 году по сравнению со средним показателям десяти предыдущих лет;
  • Количество найденных уязвимостей в операционных системах от Microsoft и Apple существенно понизилось с 2011 до 2012 года, на 56% и 53% соответственно.
  • Количество найденных уязвимостей в системах промышленного контроля (ICS/SCADA) возросло в шесть раз с 2010 по 2012 год.

Исследование показало, что выявленные в 2012 уязвимости повлияли на количество производителей: более чем 2600 продуктов от 1330 разных производителей имеет известные уязвимости. Но интересно то, что 73% из них это новые в этом списке производители, от которых не было уведомлений об уязвимостях на протяжении последних нескольких лет. Из исследования видно, что общая картина продолжает меняться, в зоне риска оказываются новые производители, так как все время появляются новые технологии, а с ними ─ и новые опасности.

paganini1

Другое важное обстоятельство вытекает из интересных результатов по измерению уровня сложности произведения успешной атаки на промышленные системы, когда злоумышленник уже получил к ним доступ. Результат показал, что отношение уязвимостей с низким уровнем сложности атаки снизилось с 90% в 2000 до 48% в 2012 году. Тем временем в этот период количество слабых мест со средним уровнем сложности атаки выросло до 2431, с 5% до 47% в 2012 году. Количество уязвимостей с высоким уровнем сложности атаки в последние десять лет оставалось стабильным, со средним показателем в 4%.

paganini2

Ну и основное заключение таково, что главной проблемой SCADA-систем является то, что они не были приспособлены для подключения к Интернету. Принципиальные вопросы в системах защиты не были продуманы при самой разработке.

По материалам Пьерлуиджи Паганини.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах