АНБ и CISA объясняют, как злоумышленники планируют и осуществляют атаки на ICS/OT

Правительственные агентства США поделились новым ресурсом по кибербезопасности, который может помочь организациям защитить критически важные системы управления от злоумышленников.

Промышленные системы управления (ICS) и другие системы операционных технологий (OT) могут быть заманчивой мишенью для спонсируемых государством субъектов угроз, киберпреступников и хактивистов, стремящихся получить прибыль. Эти устройства часто остаются незащищенными, и их взлом может иметь серьезные последствия, включая физический ущерб и гибель людей.

АНБ и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) при Министерстве внутренней безопасности (DHS) публикуют ресурсы, помогающие потенциально пострадавшим организациям устранять уязвимости, которые подвергают их таким атакам, и теперь эти два агентства выпустили еще один бюллетень, в котором основное внимание уделяется тому, как субъекты угроз планируют и выполнять свои атаки на критически важные системы управления инфраструктурой.

В совместном бюллетене описываются пять типичных шагов, связанных с планированием и выполнением такой атаки. Агентства считают, что понимание тактики, методов и процедур (TTP) субъектов угроз может быть полезным для реализации средств защиты и противодействия злоумышленникам.

На первом этапе субъекты угрозы устанавливают предполагаемый эффект и выбирают цель. Например, киберпреступники могут атаковать ICS/OT для получения финансовой выгоды, в то время как спонсируемые государством субъекты делают это в политических и/или военных целях. Цели могут включать причинение ущерба или разрушение.

«Например, отключение электросетей в стратегических точках может дестабилизировать экономический ландшафт или поддержать более широкие военные кампании. Нарушение работы водоочистных сооружений или угроза разрушения плотины могут иметь психологические или социальные последствия для населения», — предупредили агентства.

На втором этапе злоумышленники собирают информацию о целевых системах. Это можно сделать с помощью исследований с открытым исходным кодом, внутренних угроз или после компрометации ИТ-сетей и использования этого доступа для получения информации, связанной с АСУ ТП.

Затем злоумышленники используют собранную информацию для разработки методов и инструментов, которые помогут им достичь своих целей.

На последних двух этапах злоумышленники получают первоначальный доступ к целевой системе и используют вышеупомянутые инструменты и методы для достижения желаемого эффекта.

«Они могут открывать или закрывать выключатели, дроссельные клапаны, переполнять резервуары, запускать турбины на превышение скорости или переводить установки в небезопасные условия эксплуатации. Кроме того, киберпреступники могут манипулировать средой управления, скрывая осведомленность оператора и препятствуя восстановлению, блокируя интерфейсы и настраивая мониторы для отображения нормальных условий. Актеры могут даже приостановить функционирование сигнализации, позволяя системе работать в небезопасных условиях, не предупреждая оператора. Даже когда системы физической безопасности должны предотвращать катастрофические физические последствия, возможны более ограниченные эффекты, и их может быть достаточно для удовлетворения намерения субъекта. Однако в некоторых сценариях, если действующее лицо одновременно манипулирует несколькими частями системы, систем физической безопасности может быть недостаточно. Воздействие на систему может быть временным или постоянным, вплоть до физического разрушения оборудования».

Бюллетень также включает некоторые рекомендации, в том числе ограничение раскрытия информации, которая может быть полезна злоумышленнику, идентификация и защита удаленных точек доступа, ограничение доступа к сетевым инструментам и сценариям системы управления, проведение регулярных аудитов безопасности и внедрение динамической сетевой среды.

Консультативный, под названием Защита системы управления: знай противникадоступен на веб-сайте CISA и в качестве PDF.

Связанный: CISA создает список бесплатных инструментов и услуг кибербезопасности для защитников

Связанный: CISA предупреждает об угрозе, которую представляют программы-вымогатели для промышленных систем

Связанный: Оповещение АНБ и CISA подчеркивает срочность безопасности OT

Связанный: Новая специальная группа по интересам стремится улучшить киберзащиту ICS / OT

просмотр счетчика

Эдуард Ковач (англ.@ЭдуардКовач) — пишущий редактор SecurityWeek. Он работал учителем информатики в средней школе в течение двух лет, прежде чем начать карьеру в журналистике в качестве репортера новостей по безопасности в Softpedia. Эдуард имеет степень бакалавра в области промышленной информатики и степень магистра в области компьютерных технологий, применяемых в электротехнике.

Предыдущие колонки Эдуарда Ковача:
Теги:

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.