IT NewsНовости рынкаБезопасность

«Ростелеком» рассказал об уязвимостях в ИТ на производстве

Анна Савельева | 20.11.2019

«Ростелеком» рассказал об уязвимостях в ИТ на производстве

«Лаборатория кибербезопасности АСУ ТП» компании «Ростелеком-Солар» представила аналитический отчет об уязвимостях, выявленных в популярных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП). Почти три четверти (72%) всех выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса имеет сетевой вектор, то есть для их эксплуатации нужен только сетевой доступ к атакуемой системе.

Специалисты проанализировали более 170 новых уязвимостей, выявленных в программном обеспечении и программно-аппаратных комплексах (ПАК), которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации.

Как отметили в компании, 20% уязвимостей по всему миру приходятся именно на промышленное сетевое оборудование, однако многие организации, в том числе Schneider Electric, делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT. Помимо того, что это снижает общий уровень защищенности участников рынка, компании не спешат закрывать бреши в инфраструктуре, объясняя это сложностью установления обновлений на оборудование. А тем временем, как указывается в отчете, 72% из них могут парализовать работу предприятия.

Из трех наиболее часто встречающихся уязвимостей на первом месте укоренились связанные с управлением доступом. В 28% случаев обнаруживаются проблемы с аутентификацией и авторизацией, позволяющие в итоге повысить пользовательские привилегии, а в ряде случаев — полностью обойти механизмы авторизации.

На втором месте оказались проблемы с разглашением информации. 22% случаев такого рода произошли потому, что в ряде решений данные учетных записей хранятся в открытом виде, либо же защиты недостает VPN, OPC или почтовым сервисам. Таким образом злоумышленники могут не только выдавать себя за легитимного пользователя и долгое время оставаться незамеченными, но и анализировать внутреннюю работу устройств для поиска слабых мест в защите.

Третье, но не менее важное место занимает подверженность исследуемого ПО различным инъекциям, от XSS-инъекций в веб-интерфейсах до инъекций исполняемого кода с повышенными привилегиями. 17% случаев такого рода дают злоумышленникам разнообразные преимущества – от доступа к конфиденциальной информации до полного контроля над системой.

Отдельно стоит отметить частоту проблемы реализации криптографии. По данным экспертов, ненадежные криптоалгоритмы присутствуют в трех четвертях исследованных устройств и ПО, то есть практически везде, где производители применяют криптографические методы защиты данных.

Меньшая доля – не значит менее опасная. На уязвимости, связанные с проблемами работы с памятью, приходится всего 7%, однако они позволяют злоумышленнику выполнять произвольный код и были классифицированы как критические.

Производителям была направлена вся информация о выявленных уязвимостях, в данный момент они находятся на той или иной стадии исправления. Тем не менее стоит понимать, что специфика отрасли вносит свои коррективы. Технологии меняются быстро, ошибки и угрозы возникают постоянно, и не всегда их можно исправить. Так, например, на IIoT (промышленный интернет вещей), поставить необходимое сложное ПО бывает просто невозможно из-за ограничений в памяти. А есть еще случаи, когда для установки софта придется временно остановить оборудование, что практически ровняется «невозможно», так как бесперебойность процесса всегда находится на первом месте.

производство, безопасность

Журнал: Журнал IT-News [№ 11/2019], Подписка на журналы

Rostelecom | Ростелеком


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Слишком сложно добросовестному поставщику строить базу для предоставления конкретных услуг конкретному клиенту. Слишком просто заказчику выйти из отношений. Поэтому процветают только стандартные простые услуги.
Иван Козлов :: 14.07.2020
Назрела острая необходимость вытравить рабскую покорность ИТ-директоров, разогнуть спины и поднять головы
Можно ли, поняв, что половина информации не доходит до серого вещества, отсеиваемая «вратами сортировки», что-нибудь с этим сделать?

Компании сообщают

Мероприятия