Индустриальные угрозы

Ландшафт угроз для «умных зданий»

Коротко о ситуации в первом квартале 2019 года

На этой неделе в Сочи состоится седьмая по счету конференция, посвященная проблемам промышленной кибербезопасности, Kaspersky Industrial Cybersecurity Conference 2019. В числе прочих на конференции будет обсуждаться вопрос безопасности систем автоматизации зданий — промышленных версий популярных сейчас «умных домов». Обычно такая система состоит из различных датчиков и контроллеров, управляющих лифтами, вентиляцией, отоплением, освещением, электро- и водоснабжением, видеонаблюдением, сигнализацией, оповещением, пожаротушением и т. д. Также в нее входят серверы, отвечающие за управление контроллерами, а так же рабочие станции инженеров и диспетчеров. Используются такие системы автоматизации не только в офисных и жилых зданиях, но и в больницах, торговых центрах, тюрьмах, на транспорте, на промышленном производстве и в других местах, где необходимо держать под контролем большие рабочие и/или жилые площади.

Мы решили посмотреть, какие угрозы актуальны для систем автоматизации зданий и с каким вредоносным ПО столкнулись их владельцы за первые шесть месяцев 2019 года.

Вредоносное ПО и системы-мишени

По данным KSN, в первом полугодии 2019 года продукты «Лаборатории Касперского» заблокировали вредоносные объекты на 37,8% компьютеров систем автоматизации зданий (из случайной выборки, более 40 тыс. источников).


Доля систем «умных зданий», на которых было заблокировано вредоносное ПО, 2018–2019 гг.

Стоит сразу оговориться, что большинство заблокированных угроз не являются ни целевыми, ни специфичными для систем автоматизации зданий. Иначе говоря, это обычные зловреды, которые регулярно встречаются в корпоративных сетях, не связанных с системами автоматизации. Впрочем, это не означает, что такое вредоносное ПО можно игнорировать — у него есть масса побочных эффектов, способных оказать значительное влияние на доступность и целостность систем автоматизации, начиная от шифрования файлов (в т. ч. базы данных) и заканчивая отказом в обслуживании сетевого оборудования и рабочих станций из-за вредоносного трафика и нестабильных эксплойтов. Еще более серьезную угрозу представляют шпионские программы и бэкдоры (ботнет-агенты), поскольку украденные данные аутентификации и предоставляемая ими же возможность удаленного управления могут использоваться для планирования и последующего проведения целевой атаки на систему автоматизации здания.

Чем грозит целевая атака? В первую очередь, нарушением работы компьютеров, управляющих системами автоматизации, и последующим отказом самих систем, поскольку далеко не все из них полностью автономны. Итогом может быть нарушение нормальной работы здания: электричество, водоснабжение и вентиляция, скорее всего, продолжат работу в заданном режиме, а вот с открытием/закрытием дверей или использованием лифта могут возникнуть проблемы. Возможны и проблемы с системой пожаротушения — например, ложное срабатывание или, наоборот, отсутствие срабатывания при возникновении пожара.

Географическое распределение угроз

ТОР 10 стран

Страна %*
Италия 48,5
Испания 47,6
Великобритания 44,4
Чехия 42,1
Румыния 41,7
Бельгия 38,5
Швейцария 36,8
Индия 36,8
Китай 36,0
Бразилия 33,3

* Доля компьютеров, на которых было заблокировано вредоносное ПО

Источники угроз для систем автоматизации зданий

В процессе изучения источников угроз для систем автоматизации зданий мы решили сравнить их с аналогичной статистикой по промышленным системам, которую мы регулярно собираем и публикуем. Вот что у нас получилось:


Источники угроз для систем автоматизации зданий по доле атакованных компьютеров, первое полугодие 2019 года

На графике видно, что у систем автоматизации зданий доля атакованных компьютеров стабильно выше по сравнению с промышленными системами. При этом общая доля атакованных компьютеров за тот же период времени больше у промышленных систем (41,2%). Это связано с тем, что системы автоматизации зданий больше похожи на системы в IT-сегменте: с одной стороны, они лучше защищены по сравнению с промышленными, поэтому общий % ниже; с другой стороны, они имеют большую поверхность атаки (т. е. у них в бОльшем количестве случаев есть доступ в интернет, они чаще используют корпоративную почту и съемные носители), поэтому на каждый компьютер приходится больше угроз из разных источников.


Типы вредоносного ПО, обнаруженного в системах автоматизации зданий, по доле атакованных пользователей, первое полугодие 2019 года

Отметим, что не только сети систем автоматизации конкретных зданий (вокзалов, аэропортов, больниц и т. д.) сталкиваются с угрозами. Как «случайным», так и целевым атакам подвергаются также сети разработчиков, интеграторов и диспетчеров таких систем, у которых есть удаленный (часто привилегированный) доступ к огромному количеству разнообразных объектов. Получив доступ к компьютерам в сети интегратора или диспетчера, злоумышленники (теоретически) могут одновременно атаковать множество удаленных объектов. При этом удаленное подключение к объекту автоматизации со стороны интегратора/диспетчера считается доверенным и зачастую практически не контролируется.

Более подробно ландшафт угроз для «умных зданий» и способы его минимизации будут рассмотрены на конференции. Здесь же хочется отметить важность мониторинга сетевых коммуникаций на периметре и внутри сети систем автоматизации. Даже минимальный мониторинг позволит выявить существующие проблемы и нарушения, устранение которых позволит значительно повысить уровень безопасность объекта.

Ландшафт угроз для «умных зданий»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике