Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
(800) 350-59-04 |
|
Новости
Крысы в промышленных сетяхСредства удаленного администрирования (RAT) в промышленных средах — это дополнительный фактор риска, далеко не всегда оправданный.Средства удаленного администрирования (RAT) всегда были палкой о двух концах. Да, они позволяют сотрудникам обходиться без физического доступа к оборудованию, однако они же ставят под угрозу всю инфраструктуру, открывая удаленный доступ, который в промышленной среде особенно опасен. Наши коллеги из Kaspersky Lab ICS CERT провели специальное исследование и выяснили, как часто RAT-инструменты можно обнаружить на производстве и какой вред они могут причинить. ![]() Согласно статистике из Kaspersky Security Network, в первой половине 2018 г. легитимные средства удаленного администрирования были установлены в каждой третьей промышленной системе на базе ОС Windows. Промышленными системами мы называем серверы SCADA, серверы хранения данных (Historian), шлюзы передачи данных, рабочие станции инженеров и операторов промышленного оборудования, а также компьютеры с поддержкой человеко-машинного интерфейса. Иногда локальные администраторы и инженеры используют RAT-инструменты в повседневной работе. В некоторых случаях третьим лицам, например системным интеграторам или разработчикам ПО для АСУ ТП, требуется удаленный доступ для диагностики, техобслуживания и устранения неполадок. То есть удаленное администрирование порой используется не для производственных нужд, а для снижения расходов на обслуживание. И даже если инструменты RAT необходимы в нормальных технологических процессах, стоит оценить потенциальные риски и, возможно, даже реструктурировать эти процессы, чтобы уменьшить поверхность атаки. Нельзя исключать и другой сценарий: злоумышленники могут использовать легитимные средства удаленного администрирования во время атаки для того, чтобы обмануть защитное ПО. В чем главная проблема?Судя по всему, далеко не все специалисты до конца понимают опасность применения средств удаленного управления в промышленных сетях. Наши коллеги исследовали ряд систем АСУ ТП, и вот какие особенности установленных в них RAT им удалось обнаружить:
В некоторых случаях специалисты по безопасности даже не знают, что RAT-инструменты применяются в их компании, и не учитывают такой вектор атаки. Но главная проблема в том, что атаки с помощью RAT очень трудно отличить от нормальных действий пользователей. Расследуя инциденты, связанные с АСУ ТП, специалисты из нашего CERT много раз выявляли случаи проникновения в промышленную сеть именно через системы удаленного администрирования. Как минимизировать рискиKaspersky Lab ICS CERT рекомендует предпринять следующие шаги для снижения вероятности киберинцидентов:
Полный отчет о нашем исследовании вы можете прочесть в блоге Securelist. Дополнительные исследования, уведомления и советы, связанные с промышленными системами, можно найти на веб-сайте Kaspersky Lab ICS CERT. Источник: Лаборатория Касперского 23.11.2018
|