Фокус номера: кибербезопасность в нефтегазовой отрасли
НазадЧего ожидать в 2018 году? Прогнозы кибератак на предприятия энергетического сектора
Прогнозы кибератак на предприятия энергетического сектора
1. Рост числа случайных заражений вредоносным ПО
За редкими исключениями, киберпреступнники пока не нашли простых и надежных схем монетизации атак на промышленные информационные системы. В 2018 году продолжаются случайные заражения и инциденты в промышленных сетях, вызванные «обычным» вредоносным ПО, предназначенным для атак на традиционные мишени, такие как корпоративные «офисные» сети и компьютеры частных лиц. Вероятно, в будущем последствия таких заражений для индустриальных сред будут все более серьезными. Проблема регулярного обновления ПО в промышленных системах по образцу корпоративных сетей остается нерешенной, несмотря на многократные предупреждения экспертов по информационной безопасности.
2. Увеличение риска целевых атак с применением программ-вымогателей
Атаки WannaCry и ExPetr показали как экспертам по безопасности, так и киберпреступникам, что технологические сети могут быть даже более уязвимыми для подобных атак, чем корпоративные, и также могут быть доступны из интернета. Более того, ущерб от активности вредоносного ПО в технологической сети может превышать вред, наносимый этим же ПО в корпоративной сети, а «тушить пожар» в промышленной сети гораздо труднее. Хуже всего, наверное, то, что по опыту инцидентов стало понятно, насколько на промышленных предприятиях плохо организованы и неэффективны действия персонала в случае кибератаки на технологическую инфраструктуру. Все эти факторы делают промышленные системы привлекательными мишенями для атак с применением программ-вымогателей.
3. Рост количества атак кибермошенников на предприятия
В 2016-2017 годах мы наблюдали проявление невиданного ранее интереса кибермошенников к промышленным компаниям и организациям. Удивительно, но факт: особенности бизнес-процессов промышленных предприятий и, соответственно, коммуникации продавцов и покупателей промышленных товаров и услуг, а также продавцов и поставщиков средств промышленного производства оказались очень уязвимыми к отработанным схемам атак кибермошенников. Судя по всему, промышленные компании стали интересной целью для преступников.
Этот неутешительный вывод подтверждают и наши новые находки: методы «нигерийцев» взяли на вооружение преступники и из других стран. Очевидно, что проблема не исчезнет сама собой – в ближайшее время нас ожидает рост количества подобных атак.
4. Увеличение числа инцидентов, связанных с промышленным кибершпионажем
Интерес киберпреступников к целевым атакам на промышленные компании с применением программ-вымогателей может стать локомотивом развития еще одного направления киберпреступной деятельности – кражи данных из промышленных информационных систем для подготовки и реализации целевых атак (в том числе с применением программ-вымогателей).
5. Появление вредоносного ПО, эксплуатирующего уязвимости в компонентах систем автоматизации
В 2017 году на «черном рынке» существенно вырос спрос на эксплойты нулевого дня для систем АСУ ТП. Это говорит о том, что преступники уже сейчас готовят целевые атаки на промышленные предприятия. Что, в целом, не удивительно – в течение последних пяти лет мы наблюдали множество предвестников такого развития событий:
- рост количества целевых атак на ICS (промышленные системы), в которых обычное вредоносное ПО используется для получения удалённого доступа к системам промышленной автоматизации, а сами вредоносные действия осуществляются вручную, при помощи скомпрометированных легитимных средств управления: HMI, инженерной среды и т. д.;
- появление ICS-ориентированных модулей в составе платформ вредоносного ПО (таких, как BlackEnegry);
- появление специализированного ПО, автоматизирующего вредоносные воздействия на промышленные системы (пример CrashOverride);
- рост интереса киберпреступников (даже средней и низкой квалификации) к промышленным компаниям;
- непрерывное увеличение уровня автоматизации промышленных предприятий и, как следствие, рост количества ICS, так или иначе (необязательно напрямую) доступных из интернета
При этом с большей вероятностью, в первую очередь, будут эксплуатироваться уязвимости в «общих» компонентах промышленных систем, разрабатываемых сторонними производителями.
В этом году мы уже видели примеры уязвимостей в продуктах сторонних производителей (hasplms), которые открывают возможности атак сразу на множество различных систем промышленной автоматизации. Вероятно, для реализации атак злоумышленники будут, в первую очередь, использовать как раз такие уязвимости.
6. Появление новых видов вредоносного ПО и вредоносных инструментов
Вероятно, появится новое вредоносное ПО, предназначенное для промышленных сетей и систем. Это ПО будет действовать скрытно, оставаясь в неактивном состоянии в корпоративных сетях, чтобы избежать обнаружения. Оно будет переходить в активный режим в технологической инфраструктуре, уровень защищенности которой значительно ниже. Возможно также появление программ-вымогателей, нацеленных на устройства полевого уровня АСУ ТП и физических систем (насосов, переключателей и т. п.).
7. Использование преступниками результатов анализа угроз, обнародованных исследователями безопасности
В 2017 году исследователи хорошо поработали: мы узнали о множестве новых векторов атак на промышленные системы и инфраструктуру, был проделан глубокий анализ обнаруженного вредоносного инструментария. Всё это, безусловно, полезно для защиты промышленных объектов. Но, возможно, в своем стремлении доказать необходимость защищать системы промышленной автоматизации исследователи ИБ несколько перестарались, детально расписывая обнаруженные векторы атак. Этой информацией вполне могут воспользоваться и преступники.
Например, хактивисты могут использовать опубликованные сведения об инструментах CrashOverride/Industroyer для организации DoS-атак на энергосистемы; преступники могут создать программы-вымогатели, предназначенные для проведения целевых атак или даже придумать новые схемы монетизации сбоев в электроснабжении. Концепт червя для ПЛК может вдохновить преступников на создание полнофункциональных вредоносных червей, распространяющихся с одного ПЛК на другой, а кто-то, возможно, попытается создать вредоносное ПО с помощью одного из стандартных языков программирования для ПЛК.
Возможно даже, что кто-то из злоумышленников разработает вредоносное ПО для ПЛК, работающее на низком уровне, используя подход, продемонстрированный исследователями ИБ. Оба последних подхода, вероятно, могут создать серьёзную проблему для разработчиков существующих защитных решений.
8. Новые сегменты подпольного рынка, обслуживающие атаки на промышленные системы
Внимание злоумышленников к промышленным системам управления неизбежно приведёт к появлению новых сегментов киберкриминального рынка, ориентированных на кражу сведений о конфигурации систем АСУ ТП и данных для доступа к этим системам. Кроме того, возможно, на рынке появятся предложения бот-сетей с «промышленными» узлами.
Подготовка и реализация сложных кибер-атак на физические объекты и системы требует экспертных знаний об АСУ ТП и о специфике отраслей, в которых они применяются. Спрос на такие дефицитные знания, вероятно, приведет к развитию таких услуг, как «вредоносное ПО как сервис», «разработка векторов атаки как сервис», «организация атак на заказ» и т. д., ориентированных именно на атаки на промышленные предприятия.
На примере упомянутых ранее мошеннических атак типа «Business Email Compromise» мы уже сейчас видим, что появилась специализация преступников по различным отраслям промышленности – нефтегазовая отрасль, энергия, металлургия, нефтехимия и так далее. Даже для реализации таких относительно несложных схем атак на промышленные организации преступникам требуются специфические знания из соответствующей отрасли – как минимум, чтобы «общаться» с их потенциальными жертвами на одном языке.
9. Изменения в нормативной базе
В 2018 году вступают в силу многие новые инициативы регуляторов, касающиеся промышленных систем автоматизации. Помимо всего прочего, это заставит компании, владеющие критически важными объектами инфраструктуры и промышленными объектами, уделять больше внимания оценке их киберзащищенности. Можно ожидать, что результатом станет обнаружение новых уязвимостей промышленных систем. Возможно, мы также узнаем об инцидентах на промышленных предприятиях и ранее неизвестных атаках.
10. Формирование рынка страхования промышленных предприятий от кибер-рисков и рост инвестиций в этот вид страхования
Страхование от рисков, связанных с киберугрозами, становится неотъемлемой частью системы управления рисками на промышленных предприятиях. До недавнего времени риски, связанные с инцидентами кибербезопасности, исключались из контрактов страхования – фактически, страховые компании ставили киберинциденты в один ряд с террористическими атаками. Однако ситуация меняется, и появляются новые инициативы – как со стороны компаний, специализирующихся на кибербезопасности, так и со стороны основных игроков страхового бизнеса. Как следствие, в 2018 году вырастет число проводимых аудитов/оценок защищенности промышленных систем автоматизации и число зарегистрированных и исследованных инцидентов кибербезопасности.
11. Использование методов кибератак для совершения традиционных преступлений на промышленных предприятиях
Как уже отмечалось выше, схемы монетизации атак на системы управления технологическим процессом промышленных предприятий сложны и малодоступны для атак киберпреступников «извне» предприятия или отрасли. Очевидно, что заработать деньги на украденной цистерне нефтепродуктов, сидя за компьютером и не используя методов преступников обычных (не «кибер-»), почти невозможно. Однако, это не значит, что «обычные» преступники не используют «кибер-» методов для совершения преступлений. Наш опыт показывает, что значительное количество таких преступлений на промышленных предприятиях совершается с участием людей «изнутри» отрасли – они-то уж знают, что и как делать с неучтённой цистерной горючего. Увеличение степени автоматизации промышленных предприятий делает не только возможным, но и неизбежным применение методов кибератак для осуществления такого рода преступлений. Несомненно, количество таких случаев будет неуклонно расти в ближайшие годы.