Исследование InfoWatch ARMA: в России более 4000 открытых устройств АСУ ТП в Интернет

Дата: 15.09.2021. Автор: InfoWatch. Категории: Новости по информационной безопасности
Исследование InfoWatch ARMA: в России более 4000 открытых устройств АСУ ТП в Интернет

Эксперты компании InfoWatch ARMA провели исследование уязвимостей в АСУ ТП с помощью поисковых систем Shodan, Censys и Google с целью анализа, имеющихся в открытой сети отечественных промышленных систем, таких как SCADA, ПЛК, серверов АСУ ТП и других элементов систем управления. Во избежание нанесения ущерба и огласки утечки в промышленных организациях, сбор данных осуществлялся только пассивным методом через доступную в поисковых системах информацию. В результате исследования на промышленных предприятиях в России было выявлено более 4000 устройств АСУ ТП, открытых для доступа из сети Интернет. 

В качестве основного инструмента для выявления нелегитимных точек онлайн-входа для работы со сторонними АСУ ТП использовалась поисковая система Shodan. Специализированный поисковик целенаправленно индексирует все подключенные к Интернету вычислительные устройства, доступные в адресном пространстве IPv4, и позволяет находить их с помощью различных поисковых запросов и фильтров. В исследовательской деятельности этот инструмент используется в том числе для оценки доступности собственных систем из сети Интернет.

«При работе с данным инструментом нужно учитывать, что среди результатов поиска нередко встречаются ловушки (honeypot) — устройства с намеренно оставленными уязвимостями, используемые в качестве приманки для злоумышленников. В процессе исследования данные ловушки были отфильтрованы нашими специалистами. В целом, такое исследование требует технических знаний для анализа информации. Если вы хотите провести анализ доступности устройств вашей сети или полноценный аудит своей системы – лучше обратиться к специалистам. Особо хочу отметить, что сотрудничество с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) позволило оповестить затронутые субъекты КИИ о результатах исследования с целью устранения обнаруженных уязвимостей», — рассказал технический директор InfoWatch ARMA Игорь Душа.

В результате исследования эксперты InfoWatch ARMA получили список открытых в сети Интернет элементов промышленных систем управления в России. Более 700 устройств из найденных имеют критические уязвимости. Компания InfoWatch ARMA направила владельцам объектов КИИ, рекомендации по выявлению и устранению уязвимостей. Исследование показало, что доступ к АСУ ТП и промышленной сети злоумышленник может получить через сетевые сервисы без аутентификации и устаревшие версии служб, имеющие уязвимости, позволяющие произвести удаленный доступ. Из-за того, что на открытых портах не настроена аутентификация, киберпреступники могут получить неограниченный доступ уязвимому устройству.

В ряде случаев это дает возможность доступа к сети предприятия, включая SCADA и другие критически важные компоненты АСУ ТП. Из более 4000 найденных устройств, 2000 – коммутационное оборудование, на 500 из которых не настроена авторизация. Оборудование найденных производителей часто используются в критической инфраструктуре, включая электростанции, очистные сооружения и химические заводы.

«Применяемые для исследования инструменты достаточно примитивны для точного выявления компании-собственника оборудования, расположения уязвимого объекта или сферы деятельности владельца. Однако их достаточно для проведения массированной кибератаки или для сбора информации о возможностях проникновения. Уже не раз публиковалась информация о потенциале использования данных инструментов (Shodan, Censys) злоумышленниками.  И пусть среди найденных устройств немало ловушек (honeypot) и оборудования физлиц, предупреждение владельцев даже малого количества реальных объектов КИИ – существенный вклад в повышение уровня их защищенности. Во избежание неприятных последствий промышленным организациям нужно уделять больше времени вопросам сетевой безопасности, что в частности требует 187-ФЗ», — резюмирует Игорь Душа.

InfoWatch

Об авторе InfoWatch

Группа компаний-разработчиков инновационных программных продуктов и комплексных решений для информационной безопасности организаций.
Читать все записи автора InfoWatch

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *