IT NewsНовости рынкаБезопасность

Об уязвимостях в АСУ ТП

| 24.12.2019

Об уязвимостях в АСУ ТП

«Лаборатория кибербезопасности АСУ ТП» компании «Ростелеком-Солар» представила отчет об уязвимостях, выявленных в компонентах автоматизированных систем управления технологическими процессами (АСУ ТП). 72% выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса имеет сетевой вектор, то есть для их эксплуатации нужен только сетевой доступ к атакуемой системе.

Специалисты проанализировали более 170 новых уязвимостей, выявленных в ПО и программно-аппаратных комплексах, которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации.

20% уязвимостей по всему миру приходятся именно на промышленное сетевое оборудование, однако многие организации делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT. Компании не спешат закрывать бреши в инфраструктуре, объясняя это сложностью установления обновлений на оборудование. А тем временем 72% из них могут парализовать работу предприятия.

Из трех наиболее часто встречающихся уязвимостей на первом месте находятся те, что связаны с управлением доступом. В 28% случаев обнаруживаются проблемы с аутентификацией и авторизацией, позволяющие в итоге повысить пользовательские привилегии, а в ряде случаев — полностью обойти механизмы авторизации.

На втором месте - проблемы с разглашением информации. 22% случаев такого рода произошли потому, что в ряде решений данные учетных записей хранятся в открытом виде, либо их защиты недостаточно. Таким образом злоумышленники могут не только выдавать себя за легитимных пользователей, но и анализировать внутреннюю работу устройств для поиска слабых мест в защите.

Третье место занимает подверженность исследуемого ПО различным инъекциям, от XSS-инъекций в веб-интерфейсах до инъекций исполняемого кода с повышенными привилегиями.

АСУ ТП

Журнал: Журнал IT-News, Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Развитие технологий нейронных сетей может начать частично вытеснять из-за руля людей уже в ближайшие годы, а если прогресс будет идти хотя бы с той же скоростью, что и сейчас, то через 10 лет встанет вопрос, а нужен ли вообще водитель или уже нет?
Документацию писать мы предлагали — нам сказали — «займитесь чем-нибудь более срочным и полезным». Код комментировать — лишние трудозатраты. Людей учить смежным специальностям — бюджета нет.
«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.

Компании сообщают

Мероприятия