- «Безпека АСУ ТП в цифрах - 2016» від Позитив Текнолоджиз
- «Кібербезпека промислових систем: ландшафт загроз» від Лабораторії Касперського
- «Безпека залізниць з відкритих джерел» від Діджитал Сек'юріті
- Інциденти кібербезпеки в АСУ ТП
У цьому місяці вийшло відразу три аналітичних дослідження по темі кібербезпеки промислових систем автоматизації і управління від вітчизняних компаній: від Позитив Текнолоджиз, Лабораторії каперські і Діджитал Сек'юріті. Подивимося, про що ж в них йде мова.
«Безпека АСУ ТП в цифрах - 2016» від Позитив Текнолоджиз
PDF , стаття на Хабре
Фахівці Позитив Текнолоджиз вивчили відкриті джерела (бази) з інформацією про виявлені вразливості в різних компонентах АСУ ТП, а так само здійснили пошук і вивчення компонентів АСУ ТП, доступних з мережі Інтернет. У звіті відзначається збереження з року в рік числа виявлених вразливостей на високому рівні (близько 200), при цьому майже половина (47%) вразливостей мають «високий ступінь ризику», а от відсоток оперативно усунених виробниками вразливостей вкрай низький (52% зовсім неісправлени або про їх виправлення не повідомляється). При цьому, хоча і наголошується, що тільки 5% відомих вразливостей мають опубліковані експлойти, все ж лякає рядком зазначено, що «Серед знайдених в мережі Інтернет компонентів АСУ ТП тільки близько половини можна умовно назвати захищеними«.
«Кібербезпека промислових систем: ландшафт загроз» від Лабораторії Касперського
посилання , PDF зі статистикою вразливостей , PDF зі статистикою по доступності через Інтернет
Даний звіт схожий на звіт від Позитив Текнолоджиз як дві краплі води: ті ж джерела, ті ж методи дослідження, приблизно ті ж діаграми. Цифри трохи розходяться хіба що. Власне, не збираюся вирішувати, хто тут плагіатор і чи є він взагалі, але підсумкові висновки приблизно збігаються, а значить, до результатів, отриманих двома незалежними групами дослідників, довіри ще більше. До слова, матеріали Лабораторії Касперського явно більше розраховані на англомовних аудиторію: обидва PDF з подробицями виключно англійською мовою, та й в російській варіанті звіту на картинках іноземні слова - навіть полінувалися перекласти.
«Безпека залізниць з відкритих джерел» від Діджитал Сек'юріті
стаття на Хабре
Немов би в піку Позитив Текнолоджиз, яка зовсім недавно почала відкрито говорити про свої успіхи в справі підвищення кіберзащіщённості російських залізних дорого, їх одвічні колеги з Діджитал Сек'юріті випустили дослідження на основі відкритих джерел, в якому докладно розглянули пристрій сучасних поїздів і можливі вектори атак на них. Статистики будь-якої не наводиться - швидше демонструється експертиза автора і готовність, якщо дадуть, проводити вже практичні експерименти.
Інциденти кібербезпеки в АСУ ТП
Всі три матеріалу, звичайно, цікаві, але, в цілому, вони говорять лише про гіпотетичні ризики. Мені дуже подобається ось ця gif-картинка, яка пояснює ризик (Risk) через сукупність загрози (Threat), уразливості (Vulnerability) і наслідків (Consequence) і, зокрема, наочно показує, що без потенційних негативних наслідків немає сенсу говорити про ризик.
Risk = Threat x Vulnerability x Consequence
Інформацію про негативні наслідки ж в АСУ ТП і навіть просто про будь-які інциденти в відкритих джерела знайти не так просто. Всі зустрічаються мені в ЗМІ згадки інцидентів в областях ІБ АСУ ТП і інтернету речей колекціоную на майданчику Blogspot (щоб не захаращувати основний блог) в публікаціях з відповідним тегом: http://zlonov.blogspot.ru/search/label/[инцидент] Легко можна переконатися, що їх мало, технічних подробиць майже ніколи немає, та й сама класифікація, тобто коректність віднесення саме до ІБ АСУ ТП, найчастіше теж спірна.
Мабуть, одним з небагатьох джерел подібного роду інформації є щорічний звіт ICS-CERT, в якому вони розкривають знеособлені статистичні дані про відбулися інциденти.
Найсвіжіші дані зараз доступні за 2015 рік, вони були опубліковані в звіті ICS-CERT за листопад-грудень 2015 . Аналізувався фіскальний рік - з жовтня 2014 по вересень 2015. Всього за це період було оброблено 295 різних повідомлень про інциденти в критичних інфраструктурах на території США.
Інциденти в АСУ ТП по галузях у 2015 році
Третина інцидентів довелося на критичний виробництво ( Critical Manufacturing ), Що значно більше, ніж в минулі періоди. Причина: прокотилася в 2015 році серія адресних фішингових атак проти організацій цього сектора.
Додатково приведена статистика по технікам, які використовувалися при спробах проникнення. Примітно, що в 38% випадків інформації для виявлення причини інциденту було недостатньо.
Інциденти в АСУ ТП за типами атак в 2015 році
Нарешті, третя діаграма показує наскільки глибоко вдалося зловмисникам проникнути в інфраструктуру власника АСУ ТП. 69% атак були успішно відбиті або самі по собі не вийшли (хоча спроба була зафіксована). Проте, в 12% випадків ознаки проникнення були виявлені на найнижчому з розглянутих рівнів - в мережах систем управління.
Глибина проникнення при інцидентах в АСУ ТП в 2015 році
Зрозуміло, що ICS-CERT знає далеко не про всі інциденти - кожен власник критичного об'єкта самостійно вирішує, співпрацювати з ними чи ні, обов'язкових вимог по розголошенню не встановлено. Разом з тим, багато хто воліє ділитися інформацією про інциденти в обмін на допомогу з боку фахівців ICS-CERT. Повна анонімність при цьому гарантується.
У нас поки про подібне (розкриття інформації про інциденти) можна тільки мріяти. Кожен сам за себе і бореться з погрозами самостійно. Добре, що хоча б у фінансовій галузі є певні позитивні зміни ( ЦБ зажадав кіберзахисту ), Дивись, в разі успішності, подібну практику і для промислових систем застосують. Повинна ж (хочеться вірити) ГосСОПКА в результаті якось заробити.
оригінал запису Статистика інцидентів і аналітика з кібербезпеки АСУ ТП опублікований на сайті ZLONOV.ru . Підписка на RSS-стрічку: http://bit.ly/zlonov-RSS
