Москва, 25 окт - ИА Neftegaz.RU. Киберугрозы для российской промышленности растут как количественно, так и качественно - увеличивается их сложность и продолжительность. Серьезный подход к информационной безопасности (ИБ) компании нефтегазового сектора дает свои плоды - доля компьютеров автоматизированных систем управления (АСУ), на которых были заблокированы вредоносные объекты, существенно ниже среднемировой. Но ландшафт угроз меняется, растет доля атак на цепочки поставок, наблюдается сращивание хактивистов и вымогателей. Как противостоять таким сложным угрозам и какие возможности промышленности дает экосистема промышленной безопасности «Лаборатории Касперского» Kaspersky OT CyberSecurity рассказал эксперт Центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT Владимир Дащенко.
– В ТЭК сложно найти информационную систему или АСУ, которая бы не относилась к объектам критической информационной инфраструктуры, и киберугрозы в этой отрасли очень чувствительный вопрос. Какие изменения в ландшафте угроз для объектов КИИ вы видите в последнее время? Изменились ли векторы атак?
– Произошли изменения, как с точки зрения ландшафта, так и с точки зрения тактик, которыми пользуются злоумышленники. Раньше киберзлоумышленников по большей части можно было отнести либо к хактивистам, либо к вымогателям. Хактивисты ломают для того, чтобы показать себя, проверить свои силы, высказать некий лозунг и т.д. Группировки вымогателей были связаны исключительно с финансовой стороной, т.е. они были условно аполитичны, производя взломы из-за денег. Сейчас же происходит смешение - те группировки, которые были хактивистами, переходят в финансовую плоскость, чтобы зарабатывать. Наблюдается и обратная тенденция - те, кто были финансово мотивированными ребятами, начинают заниматься еще и хактивизмом, т.е. взломом не ради чисто монетизации, а чтобы заявить какие-то политические лозунги.
В секторе ТЭК мы видим взломы до промышленного контура. Через что ломают? Сейчас возрастает доля вектора атак через доверенного партнера или через цепочку поставок. Доверенный партнер - легитимная компания, которая предоставляет сервисы или продукты для какого-либо объекта энергетики, у них есть подписанные контракты, есть регламент работ, регламент удаленного доступа и т.д. Киберзащита объекта ТЭК обычно обеспечивается достаточно надежно - хорошо защищен периметр, реализована защита в плане процедур и процессов, парольные политики и т.п. Но легитимная компания-партнер, которая получает удаленный доступ, как правило имеет уровень кибербезопасности ниже, т.е. она не такая зрелая с точки зрения кибербезопасности. Бывает так, что эту компанию-подрядчика взломали и через нее, через этот легитимный доступ, заходят к заказчику, на его промышленный объект.
Коллеги из нашей команды занимались исследованием инцидента, когда группа злоумышленников проникла вплоть до автоматизированной системы управления (АСУ) и пыталась поменять уставки на ПЛК. Когда анализировали изменения уставок, стало ясно, что злоумышленники рандомно, хаотично пытались просто поменять данные и посмотреть, что произойдет. От каких-то киберфизических последствий уберегло то, что атакующие действовали бездумно, они просто меняли что-то и смотрели, произойдет что-то или нет.
Второй пример, который можно привести, связан с котельной. Там также действовали хактивисты, не имеющие финансовой мотивации, но пользующиеся теми же техниками, тактиками и утилитами, что и финансовые группировки. Злоумышленники получили доступ к котельной и записывали экран, как они меняют параметры котельной, чтобы вызвать какой-то киберфизический эффект либо оставить какое-то количество жителей без отопления.
Суть в том, что хактивизм переходит из плоскости бравады в плоскость транслирования неких политических лозунгов. Также хактивисты стараются каким-то образом монетизировать свою деятельность - либо пошифровать и выкуп попросить, либо данные перепродать. Это очень неприятная тенденция.
– Как вы оцениваете уровень киберзащищенности российского ТЭК? Наблюдается ли рост ИБ-зрелости отрасли?
– Рост зрелости есть однозначно! Компании развиваются с точки зрения кибербезопасности, переходят на новые, более продвинутые продукты для киберзащиты, растут в плане внутренних процессов, в плане технологического обеспечения. С точки зрения защищенности, в целом у нас объекты хорошо защищены, на мировом уровне. Мы видим, конечно, инциденты и ведем их анализ, но тут нужно иметь в виду, что, когда на вас нацелены многие группировки, и вас целенаправленно пытаются подломать, то из-за большого числа итераций попыток взлома с разных точек и углов, так или иначе, по теории вероятности, злоумышленники иногда приходят к цели.
Напрямую уже не ломают, это сложно, потому что компании ТЭК достаточно хорошо защищают периметр, а вот такие вектора атак как через цепочку поставок или доверенного поставщика или подрядчика, такое бывает. Но у крупных компаний из области ТЭК есть собственные стандарты по безопасности, которые они распространяют на своих подрядчиков и партнеров. Все очень просто – они говорят, если вы хотите работать с нами, то выполняйте эти четкие и строгие требования, проходите аудиты, проходите тестирования на проникновение, проводите анализ кода своих продуктов и решений. Компаниям ТЭК важны их ресурсы, их бизнес-процессы, то, как они зарабатывают деньги, поэтому они диктуют свои условия.
– Недавний отчет Kaspersky ICS CERT показал, что в нефтегазовой отрасли во 2-м квартале 2024 г. в России доля атакованных компьютеров АСУ оказалась ниже, чем в мире (16,7% и 21,2% соответственно). Это результат того, что в нефтегазовой отрасли стали серьезнее подходить к вопросам кибербезопасности?
– Да. Промышленный контур, по сути, находится в скорлупе: чтобы туда пробиться – нужно скомпрометировать или атаковать каким-то образом сначала корпоративный ИТ-сегмент и потом уже добраться до промышленного контура. Снижение говорит еще и о том, что стали больше уделять внимания защите как раз ИТ-сегмента, чтобы не было проникновения в промышленный сегмент. Кроме того, нефтегазовые компании активно внедряют более жесткие внутренние правила, касающиеся того, что, например, нельзя приносить флешки или подключать модемы. К сожалению, до сих пор остается история с подключением модемов - 21-й век на дворе, а люди до сих подключают 3G/4G-модемы, чтобы иметь доступ в Интернет. Это может также быть результатом планомерной работы компаний из области ТЭК и нефтегаза по усилению внутреннего контроля за безопасностью.
– Если попытаться создать абсолютно защищенную информационную систему, то она окажется неработоспособной в операционном плане, а недостаточная защита в случае киберинцидента может обернуться для предприятия серьезными убытками, вплоть до выхода из строя дорогостоящего оборудования. Как нефтегазовым компаниям, и шире предприятиям ТЭК, найти баланс в обеспечении ИБ?
– Серебряной пули не существует. Для любой компании построение системы ИБ сродни индивидуальному пошиву костюма. Есть какие-то общие постулаты, условно «в крупную клетку» - прописанные принципы эшелонированной защиты, общие лучшие техники и практики защиты - разграничение сетевого доступа, обеспечение парольной политики и т.д. Но всегда для каждой компании есть своя кастомизация, адаптирование этих общих принципов под свои условия - чем компания занимается, какие внутренние процессы, какие бизнес-процессы, какая культура в компании и т.д. Какого-то золотого стандарта и рецепта не существует.
Самое главное - иметь трезвую голову на плечах, адекватно оценивать ситуацию, что происходит внутри компании, что происходит снаружи, даже геополитическую обстановку. Второе - иметь тренированный, обученный и обучаемый персонал как с точки зрения команды по ИБ, так и в целом по компании. Сейчас для любой компании важно обучать не только своих ИБ-шников, нужно взращивать культуру ИБ во всей компании. Потому что, если, например, рядовой сотрудник откроет фишинговое письмо и перейдет по ссылке, то может произойти заражение конкретного компьютера, что станет первичной точкой входа для развития последующей атаки.
В обеспечении ИБ равнозначны три важнейших компонента - процессы, люди и технологии. С точки зрения технологий сейчас на российском рынке большое количество зрелых решений - на любой вкус, цвет и карман. И в нашем портфолио, и у наших коллег по цеху, выбирай - не хочу, и консультантов сейчас много, можно обратиться к системному интегратору, который подберет из всего портфолио, которое есть на рынке, можно пойти к конкретному вендору и выбрать моновендорное решение. Моновендорный подход сейчас наиболее удобен, потому что предоставляется единая консоль управления, оркестрация всеми решениями по безопасности, что для технологических, что для корпоративных сетей. Благодаря единой консоли управления команда администраторов по безопасности может сразу видеть срабатывания и в промышленном и корпоративном сегменте, корреляцию событию.
– Давайте коснемся специфики, характерной для нефтегазовой отрасли, например, наличия ПК АСУ с устаревшими операционными системами. С этим как справляться?
– Ответом здесь могут быть принципы эшелонированной защиты. Если у вас есть объективно устаревший актив, т.н. legacy, например, ПК с операционной системой Windows XP или даже 95/98, вы можете выстраивать защиту вокруг этой системы - мониторить и фильтровать трафик, выстраивать парольную политику, грамотно прописывать правила на межсетевых экранах и т.д. Т.е. у вас есть технологии и инструменты для того, чтобы снизить риски, связанные с устаревшим активом, который вы не можете сейчас обновить, потому что нет планового останова, не запланирован бюджет на обновления, или вообще нет возможности обновления из-за особенностей технологического процесса. Есть продукты и технологии, которые позволяют выстроить вокруг этого такую систему защиты, чтобы смотреть, есть ли потенциальные срабатывания каких-то продуктов по безопасности, есть ли риск эксплуатации тех или иных векторов атаки и т.д. Т.е. просто нужно аккуратно мониторить ситуацию вокруг этого актива.
– Какие тенденции вы видите в развитии киберугроз для объектов КИИ в будущем и, соответственно, противодействующих им решений? Тренд на рост числа атак на цепочки поставок будет сохраняться?
– Мне кажется да. Существование этой угрозы обусловлено тем, что у крупных компаний ТЭК, нефтегаза, промышленных компаний, да и корпораций вообще, огромное количество небольших компаний, от которых они зависят. Большие компании не способны держать огромное количество сотрудников, чтобы обеспечивать полный цикл производства, это исключено, т.к. нужно сокращать издержки. Они стремятся многое получать as-a-Service, что-то делегировать, что-то отдавать на аутсорс и т.д. Это нормально, это абсолютно здоровый подход. Но реализовывать его нужно таким образом, чтобы это было безопасно. Вопрос о том, как это сделать, сейчас остается открытым, это предмет для обсуждения. Мы приближаемся к решению этой задачи, но конкретного ответа на этот вызов сейчас нет.
С точки зрения развития угроз - есть техники и тактики, связанные с использованием уязвимых драйверов. Атакующая команда, получившая первоначальный доступ и стремящаяся повысить привилегии, приносит легитимный уязвимый драйвер, чтобы он был установлен и уже через эксплуатацию уязвимости в этом драйвере они получают привилегированные права на уровне ядра операционной системы или какие-то системные права и могут дальше развивать атаку. В этом плане развиваются и продукты по защите, чтобы предотвратить это и минимизировать риски. Есть методы детектирования, когда уже прошла эксплуатация, есть методы предотвращения, т.е. составляется жесткий список уязвимых драйверов и они фильтруются, не допуская события возникновения уязвимого драйвера на системе. У компании Microsoft есть список уязвимых драйверов, у Лаборатории Касперского есть свой список уязвимых драйверов, и, без хвастовства, он у нас побольше будет, потому что мы чуть больше секторов смотрим, у нас огромная база знаний в плане уязвимых бинарных файлов.
Время от времени появляются новые вектора атак, новые техники и тактики, которые используют злоумышленники, но чего-то прорывного пока нет. И это хорошо!
– Около года назад Лаборатория Касперского вывела на рынок экосистему промышленной кибербезопасности Kaspersky OT CyberSecurity. Что дает такой комплексный подход предприятиям? Какую роль Kaspersky ICS CERT играет в этой экосистеме?
– Тема конвергенции корпоративных сетей и промышленных давно на повестке. Если мы отмотаем время чуть-чуть назад, то мы увидим, что изначально промышленные компании говорили «нет, у нас строгая изоляция ИТ и OT». Но далее прошли пять стадий - отрицание, гнев, торг, депрессия и, наконец, принятие неизбежного. Промышленность пришла к осознанию того, что соединение сетей ИТ и OT есть, и оно необходимо для развития бизнеса, т.к. оно позволяет получать статистические данные, смотреть тренды и т.д. После этого компании стали выстраивать защиту так, чтобы была защищена и корпоративная часть, и промышленная. Далее возник вопрос с тем, что защиту этих двух типов сетей надо оркестрировать, управлять ею. Складывается сложная и шаткая ситуация, когда есть решения для двух видов решений и две команды безопасников. Ответом стали решения, которые позволяют собирать данные об атаках из корпоративного и промышленного сегментов и в одной консоли управления получать эти данные и смотреть, есть ли атака, откуда она приходит и как развивается, где ее остановить и т.д. Это как раз экосистемный подход, он позволяет больший кусок вашей инфраструктуры охватить и смотреть как оно взаимодействует и функционирует.
Сейчас Лаборатория Касперского представила межсетевой экран нового поколения Kaspersky NGFW - умный межсетевой экран, где вы можете прописывать свои правила. И здесь важную роль играет исследовательская команда Kaspersky ICS CERT, которая является поставщиком информации об угрозах, которые характерны для промышленных сетей, для промышленных объектов, для объектов АСУ. Это не только нефтегаз, это ТЭК, энергетика, промышленность, производство, есть даже угрозы, связанные с умными автомобилями. Мы являемся поставщиком знаний, детектов, индикаторов компрометации.
Мы поставляем еще и отчеты по исследованию угроз, т.е. мы находим какую-то группировку, какую-то новую атаку, которая целится в те или иные промышленные компании или в определенный сектор АСУ. Мы готовим исчерпывающий технический отчет, публикуем индикаторы компрометации, YARA-правила, т.е. правила, которые позволят компании заняться охотой на угрозы в своей сети. Например, если в сети предприятия установлены какие-либо продвинутые защитные продукты нового поколения, то можно использовать эти YARA-правила и индикаторы компрометации, чтобы у себя в сети поискать срабатывания, например, хеш-функции вредоносных бинарных файлов. Правила для межсетевых экранов нового поколения позволяют искать есть ли эта атака, есть ли подозрения на атаку. Мы являемся поставщиком информации, знаний и технологий.
– Ведете ли вы образовательную работу?
– Да, у нас есть курсы и тренинги для промышленных компаний - начиная с обзорного курса по основам кибербезопасности и потом уже более глубокие, технические курсы, например, курсы по поиску уязвимостей для промышленного Интернета вещей, для решений по АСУ ТП. Также у нас есть очень хороший, постоянно обновляемый курс на основе наших исследований угроз, - это курс по компьютерной криминалистике для промышленных компаний, где мы рассказываем, что нужно делать, если у вас произошел инцидент, где искать, и с точки зрения процессов, и с точки зрения технологий, чтобы понять что произошло, как локализовать проблему, откуда собрать индикаторы компрометации, какие-то другие улики.
Кроме этого, у нас многие коллеги из Kaspersky ICS CERT преподают в вузах. В МИФИ, в МГТУ им. Н.Э. Баумана, в МГИМО мы читаем спецкурс по теме киберстрахования для бизнеса и промышленных компаний и управления киберрисками.
