Как защитить промышленную Кибербезопасность от вирусов, подобных WannaCry ?

30.05.2017

WannaCry - самая большая сенсация в сфере кибербезопасности с момента распространения вируса stuxnet, вредоносная программа-вымогатель класса Ransomware, шифрующая данные компьютеров под управлением ОС Windows. 12 мая 2017 WannaCry заблокировал доступ к сетевым и локальным ресурсам используя уязвимость в протоколе SMB (Server Message Block) года

Британскому интернет-блогеру MalwareTech случайно удалось замедлить распространение WannaCry, используя деактиватор в зарегистрированном веб-домене, взятом из кода программы-шифровальщика. Несмотря на то, что блокиратор может перехватывать интернет-трафик, генерируемый программой-шифровальщиком, он не останавливает самораспространение вредоносного кода по локальной сети.

Специалисты компании Claroty и PAS, специализирующихся на кибербезопасности в промышленности, предупреждают: несмотря на то, что целью разработчиков WannaCry было не промышленное производство, вирус, попавший в производственную сеть, может остановить весь технологический процесс. Тот факт, что технологические сети АСУ ТП отделены от публичного Интернета, не исключает попадания вируса в локальную четь через использование OC Windows и не сможет остановить его распространение в закрытой сети. Как это не парадоксально, но практика изоляции индустриальных сетей увеличивает риск распространение вредоносных программ посредством локальных сетей.

Пока вирус-шифровальщик WannaCry, вторгшийся в в Британскую Национальную службу здравоохранения, пытались нейтрализовать,он успел заразить более 230 000 единиц компьютеров в 150 странах мира. Среди пострадавших такие производственные гиганты, как Nissan, PetroChina и Renault.

Нижний и средний уровни АСУ ТП традиционно защищены применением промышленных протоколов. Риск заражения серьезно увеличивается на верхних уровнях, работающих под управлением серверных MS Windows, баз данных MS-SQL и десктоповых ОС Windows. Эти части систем контроля и управления включают HMI, конструкторские рабочие станции, массивы исторических данных, сервера, статистический контроль (SPC) и могут подвергаться угрозам с разным уровнем воздействия на технологические процессы, которыми они управляют.

Таким образом:

· Промышленные сети между IT-системами и технологическими сетями зачастую не сегментированы, поэтому заражение первых может легко распространиться на вторые.

· Протокол Microsoft Server Message Block встречается внутри работающих под управлением Windows HMI-системах АСУ ТП, конструкторских рабочих станциях, массивах исторических данных, в распределенных системах управления и много где еще. WannaCry-шифровальщики используют эти уязвимости.

· Многие компьютеры, работающие под Windows в системах АСУ ТП, не обновляются регулярно.

Независимо от того, существует ли в реальности новая версия программы-шифровальщика WannaCry без деактиватора, эксперты в скором времени ожидают прихода его клонов: “Создание подобной разновидности компьютерных червей с открытым исходным кодом – тривиальная задача, и прошедший через многократные изменения и циклы инфицирования компьютерный червь conficker служит хорошим напоминанием об этой возможности».

Системы сбора данных и диспетчерского управления (SCADA) и системы управления производством (MES) являются наиболее уязвимыми из-за близости к офисным IT-системам и открытому доступу в Интернет. У обычной СКАДА или MES-системы часто не хватает возможностей для активного мониторинга промышленных сетей для выявления аномальной активности и идентифицировать кибер-угрозы в реальном времени практически невозможно. Насколько SCADA и MES – системы становятся более продвинутыми и облачными, настолько они становятся более уязвимыми для инновационной кибератаки. Ниличие программной поддержи и обновлений не гарантирует своевременных действий оператора. Это означает, что с развитием и внедрением таких явлений, как облачные SCADA-системы и распределенные MES-системы уже невозможно далее полагать, что промышленные сети могут оставаться обособленными и изолированным. SCADA и MES- системы берут на себя первый удар при атаке на производственный процесс, и, следовательно, должны быть объектом пристального внимания в стратегии промышленной кибербезопасности.