Документ представляет собой обзор текущих киберугроз в области промышленных систем и критической инфраструктуры, подготовленный лабораторией Касперского. Основное внимание уделяется исследованиям уязвимостей, росту осведомленности о кибербезопасности и статистике атак на автоматизированные системы. Указываются также проблемы, связанные с закрытием уязвимостей и выявлением целевых атак на промышленные компании.

1. 1
ЛАНДШАФТ УГРОЗ
KASPERSKY ICS CERT
Георгий Шебулдаев,
Руководитель направления,
Лаборатория Касперского

2. 2
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team — глобальный проект
«Лаборатории Касперского», нацеленный на координацию действий производителей систем
автоматизации, владельцев и операторов промышленных объектов, исследователей
информационной безопасности при решении задач защиты промышленных предприятий и
объектов критически важных инфраструктур.
Официально запущен в конце 2016 года.
 Исследования уязвимостей в промышленном ПО и оборудовании
 Повышение осведомленности о кибербезопасности критических инфраструктур
 Взаимодейстие с регуляторами в международном масштабе
 Реагирование на инциденты

3. 3
90%
9.9%
0.1%
Типовое вредоносное ПО
Целевые атаки
Кибер-оружие
THE NATURE OF
THE THREAT
310 000 Новых угроз в день
ЕЖЕДНЕВНАЯ РАБОТА ЛК

4. 2015
Animal Farm
Spring Dragon
Equation
Blue Termite
Desert
Falcon
s
Wild Neutron
Carbanak
Sofacy
Satellite
Turla
Hellsing
MsnMM Campaigns
Naikon
Darkhotel - part 2.
Duqu 2.0
2014
Energetic Bear /
Crouching Yeti
Epic Turla
Careto /
The Mask
Regin
CosmicDuke
Darkhotel
2013
RedOctober
NetTraveler
TeamSpy
Winnti
Kimsuky
Icefog
Miniduke
2012
Gaus
s
miniFlame
Flame20112010 DuquStuxnet
НАШИ ГЛАВНЫЕ ОТКРЫТИЯ
2011 2012 2013 2014 2015 2016
2010
Duqu
miniFlame
Gaus
s
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear /
Crouching Yeti
RedOctober
CosmicDuke
Darkhotel
Careto /
The Mask
Regin Sofacy
Carbanak
Desert
Falcons
Equation
Naikon
Hellsing
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
Stuxnet
Flame
Darkhotel
MsnMM
Campaigns
Satellite Turla
Wild Neutron
Blue Termite
Spring Dragon
Metel
Adwind
Lazarus
Lurk
Мы находим и пристально изучаем самые сложные в мире угрозы
2015 20162014201320122011
2010

5. 5
25% всех APT,
найденных ЛК в 2016,
были нацелены на
промышленные компании
Мы обнаруживаем больше целевых атак и APT, чем вся остальная индустрия:
>150 отчетов за 2016 год
НАШИ ГЛАВНЫЕ ОТКРЫТИЯ

6. 6
Киберугрозы признаются одними из самых
приоритетных рисков топ-менеджментом
крупнейших компаний мира
ГЛОБАЛЬНАЯ ОСВЕДОМЛЕННОСТЬ РАСТЕТ

7. 7
Киберугрозы признаются одними из самых
приоритетных рисков топ-менеджментом
крупнейших компаний мира
ГЛОБАЛЬНАЯ ОСВЕДОМЛЕННОСТЬ РАСТЕТ

8. 8
ИССЛЕДОВАНИЕ УЯЗВИМОСТЕЙ В АСУТП
KASPERSKY ICS CERT
Kaspersky ICS CERT
Q3-Q4 2016
Выявлено уязвимостей: 75
Закрыто производителями: 30
ICS-CERT (США)
2016
Выявлено уязвимостей: 187
Закрыто производителями: 139

9. 9
ИССЛЕДОВАНИЕ УЯЗВИМОСТЕЙ В АСУТП
70+ 0-days обнаружены в 2016 Q3-Q4
16
45
3
10
1
0
5
10
15
20
25
30
35
40
45
50
RCE DOS Injections File system
acces
Authentication
Типы уязвимостей
2
15
58
0 10 20 30 40 50 60 70
Low ( CVSS v3.0 < 5.0)
Medium (5.1 <= CVSS v3.0 <= 6.9 )
Critical (CVSS v3.0 > 7.0)
Критичность (CVSS v. 3.0)
KASPERSKY ICS CERT

10. 10
ИССЛЕДОВАНИЕ УЯЗВИМОСТЕЙ В АСУТП
80+ 0-days отправлены производителю на сегодня, 30 закрыты
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-284342.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-378531.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-453276.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-946325.pdf
….
https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03
…
KASPERSKY ICS CERT

11. 11
ПРОБЛЕМЫ ЗАКРЫТИЯ УЯЗВИМОСТЕЙ В АСУТП
Некоторые критичные уязвимости остаются незакрытыми более 1,5 лет
KASPERSKY ICS CERT
Приоритеты исправления выявленных уязвимостей в соответствии с их
критичностью отсутствуют;
Обновления безопасности для уже используемого ПО не выпускаются,
уязвимости закрываются в следующем релизе этого ПО;
Уведомления об уязвимостях не осуществляются
Обновления на различные компоненты промышленных систем не
устанавливаются годами
Вендор
Эксплуатант

12. 12
ИССЛЕДОВАНИЕ УЯЗВИМОСТЕЙ АСУТП
% уязвимых АСУТП - статистика KSN (пример)
Vulnerable
19%
Not
vulnerable
81%
CVE-2013-2811
Vulnerable
71%
Not vulnerable
29%
CVE-2014-0750
Vulnerable
100%
Not vulnerable
CVE-2016-2277
KASPERSKY ICS CERT

13. 13
ОБНАРУЖЕНИЕ И АНАЛИЗ УГРОЗ АСУТП - 2016 Q3-Q4
Наиболее часто атакуемые страны (Статистика KSN)
KASPERSKY ICS CERT

14. 14
ОБНАРУЖЕНИЕ И АНАЛИЗ УГРОЗ АСУТП H2 2016
% АСУТП, подвергшихся атакам - статистика KSN
15,51% 15,38%
18,01%
19,95%
21,93%
22,90%
22,26%
0%
5%
10%
15%
20%
25%
% of ICS computers attacked
12%
22,0%
mounthly daily
KASPERSKY ICS CERT

15. 15
АТАКИ НА АСУТП В H2 2016 – WORLD-WIDE
(Статистика KSN)
KASPERSKY ICS CERT
КАЖДЫЙ ПЯТЫЙ
КОМПЬЮТЕР В АСУТП
ПОДВЕРГСЯ АТАКЕ В 2016*
*cреди промышленных компьютеров, защищенных решением ЛК со включенным KSN

16. 16
ОБНАРУЖЕНИЕ И АНАЛИЗ УГРОЗ АСУТП - 2016 Q3-Q4
Мониторинг атак на АСУТП в реальном времени https://ics-cybermap.kaspersky.com
KASPERSKY ICS CERT

17. 17
ИСТОЧНИКИ ЗАРАЖЕНИЙ В АСУТП - 2016 – WORLD-WIDE
Пути проникновения вредоносного ПО в АСУТП - Статистика KSN
22,0%
10,9%
0,7%
0,9%
0,5%
0,2%
0,1%
0% 5% 10% 15% 20% 25%
Internet
Removable devices
Shared folders
Backups
Windows backups
Email
Cloud services
% of attacked ICS computers
KASPERSKY ICS CERT

18. 18
БОТНЕТЫ В АСУТП– H2 2016 Q3-Q4
ТОП Ботнетов, обнаруженных в АСУТП- статистика KSN
0% 5% 10% 15% 20% 25%
hworm
skill.ddos
tinba
bedep
carberp
smoke
sality
betabot
solar-ddos
pony
cryptowall
zeus
andromeda
16%
% Ботнетов среди всех атак на
АСУТП
KASPERSKY ICS CERT

19. 19
ТАРГЕТИРОВАННЫЕ АТАКИ НА АСУТП
Методы проникновения в промышленную сеть на примере известных инцидентов
Эксплуатация
человеческого фактора
(Соц инженерия, Watering hole)
CROUCHING YETI
Атака на КСПД,
«угон» учетных данных
администраторов тех. сети
BLACKENERGY 2
Заражение USB,
распространение и перенос
информации между
компьютерами КСПД и тех. Сети
STUXNET, FLAME,
EQUATION, SAURON
Атака на
Подрядные
организации
или поставщиков

20. 20
КРИТИЧНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИБ АСУТП
УПРАВЛЕНИЕ ЧЕЛОВЕЧЕСКИМ ФАКТОРОМ
- Специализированные курсы для «не специалистов»
- Обучение и тестирование знаний автоматизированными средствами
РАБОТА С УЯЗВИМОСТЯМИ
- Политика установки обновлений в индустриальной сети
- Выбор поставщика ПТК по критерию кибер-безопасности
- Сегментация внутри технологической сети

21. 21
КРИТИЧНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИБ АСУТП
ЗАЩИТА ОТ ТИПОВЫХ АТАК
- «Легкие» и надежные средства защиты узлов
- Сегментация сетей
- Аудит безопасности удаленных подключений
ОБНАРУЖЕНИЕ ЦЕЛЕВЫХ АТАК
- Специализированные промышленне СОВ
- Персонал и центры реагирования

22. 22
КРИТИЧНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИБ АСУТП
95
%
5%
40% Технические средства
40% Инструкции, процедуры
20% Специализированный персонал
50%
50%
Нейтрализуемые
угрозы Защитные меры Затраты

23. 23
СПАСИБО
Georgy.shebuldaev@kaspersky.com