Статистика инцидентов, угроз и уязвимостей информационной безопасности в КВО и АСУ ТП

Не так давно ICS-CERT США выпустил ноту «Incident response/vulnerability coordination in 2014» на тему статистики инцидентов информационной безопасности в критически важных объектах (КВО) и автоматизированных системах управления технологическими процессами (АСУ ТП). Выпущенная нота полезна по части общего взгляда на состояние ИБ в КВО и АСУ ТП. В России пока такой возможности не представляется, хотя в будущем планируется собственный CERT.

Industry 282403 1280

Итак, в прошедшем финансовом 2014 году ICS-CERT получил от владельцев КВО и отраслевых партнеров сведения о 245 инцидентах. По количеству выявленных инцидентов, как и ранее, лидирует энергетический сектор. Однако, тесное сотрудничество CERT и энергетического сектора предоставляет множество возможностей для эффективного реагирования на инциденты.

Также стоит отметить, что в 2014 году было сообщено об инцидентах в критически важных секторах промышленности, в том числе в АСУ ТП производителей оборудования. Поставщики промышленного оборудования АСУ ТП являются мишенью для экономического шпионажа и разведки.

Из общего числа выявленных инцидентов, примерно 55% занимают направленные атаки (APT) и действия квалифицированных злоумышленников. В другие виды нарушителей включены: хактивисты, внутренние нарушители преступные элементы. В многих случаях злоумышленники остались неизвестными из-за отсутствия дополнительной информации.

Распределение инцидентов информационной безопасности по секторам промышленности (всего 245):

  • Энергетический сектор — 79,32%
  • Критически важные инфраструктуры — 65,72%
  • Здравоохранение — 15,6%
  • Коммуникации — 14,6%
  • Водоснабжение — 14,6%
  • Правительственные организации — 13,5%
  • Коммерческие организации — 7,3%
  • Ядерная отрасль — 6,2%
  • Неизвестные сектора — 6,2%
  • Информационные технологии — 5,2%
  • Химическая промышленность — 4,2%
  • Финансовая отрасль — 3,1%
  • Продовольственный сектор и сельское хозяйство — 2,1%

Область негативного воздействия инцидентов охватывает широкий спектр угроз и методов воздействия с целью получения несанкционированного доступа к инфраструктуре бизнес систем и АСУ ТП, но не ограничивается следующим:

  • Неавторизованный доступ и эксплуатация внешнего web client-side АСУ ТП или SCADA.
  • Эксплуатация уязвимостей нулевого дня в контролирующих устройствах и программном обеспечении.
  • Распространение инфекций в беспроводных сетях систем управления.
  • SQL инъекции через эксплуатацию уязвимостей веб-приложений.
  • Сканирование и зондирование сети.
  • Перемещение между сегментами сети.
  • Таргетированные атаки посредством социальной инженерии в электронной почте.
  • Атаки на веб-сайты (watering hole).

Вектор атаки большинства произошедших инцидентов ИБ в КВО и АСУ ТП неизвестен. То есть, организация подтверждала инцидент, однако данные расследования не указывали на метод используемый для проникновения в АСУ ТП, в силу отсутствия обнаружения и мониторинга в скомпрометированной сети.

Распределение инцидентов в КВО и АСУ ТП по векторам атак. (всего 245)

  • Неизвестные атаки — 94,38%
  • Сканирование сети/зондирование — 53,22%
  • Фишинг по e-mail — 42,17%
  • Смешанные типы — 21,9%
  • Слабые механизм аутентификации — 13,5%
  • Съемные носители — 5,2%
  • SQL инъекции — 5,2%
  • «Грубые» вторжения — 3,1%

Выявленные 245 инцидентов это только те инциденты о которых сообщили ICS CERT владельцы инфраструктуры или третьи лица. В КВО и АСУ ТП продолжают возникать инциденты ИБ о которых ничего не известно. ICS CERT продолжает поощрять владельцев АСУ ТП и КВО сообщать об выявленных инцидентах ИБ и гарантирует конфиденциальность полученной информации.

Что касается выявленных уязвимостей, то в 2014 году CERT получил 159 отчетов о выявленных уязвимостях в АСУ ТП и КВО. Наиболее распространенны уязвимости, связанные с аутентификацией, переполнением буфера и отказ в обслуживании.

Количество выявленных уязвимостей немного снизилось по сравнению с 2013 годом:

  • 2014 — 159
  • 2013 — 187
  • 2012 — 137
  • 2011 — 138

Что касается России, то тема CERT пока только на стадии обсуждения. А вот суммарные годовые результаты отчетности Банка России по форме 203 из 2831-У «Ежемесячная отчетность об инцидентах», я ни разу не видел. А кто-то говорит, что суслик существует.

Полностью ознакомиться с документом можно на сайте CERT.

Реклама
Статистика инцидентов, угроз и уязвимостей информационной безопасности в КВО и АСУ ТП

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s