Тренды ИБ

В эпоху глобальной цифровизации экономики и ежегодного существенного развития специализированного программного обеспечения, задействованного в функционировании автоматизированных систем управления процессами промышленных и других предприятий само понятие информации трансформируется, превращаясь в отдельный ресурс. Такой вновь формируемый ресурс обладает четкими уникальными характеристиками. В разрезе кибербезопасности одной из таких характеристик является потенциальная уязвимость.

Любая информация может быть использована легитимно и нелигитимно. Соответственно, к информации может осуществляться санкционированный либо несанкционированный доступ. В большинстве случаев несанкционированный доступ к информации влечет наступление негативных последствий для субъекта хозяйствования. Наибольшие опасения вызывает традиционно банковская сфера, где несанкционированный доступ к компьютерной информации влечет непосредственное завладение денежными средствами держателей счетов. Вместе с тем, всё большее распространение начинают получать «атаки через поставщиков» (supply chain), в ходе которых атакам подвергаются не непосредственные конечные цели в виде предприятий, осуществляющих закупку тех или иных программно-аппаратных ресурсов, а вендоры самих программмных и аппаратных решений, при этом в процессе сборки в код таких решений внедряются вредоносные фрагменты, которые в дальнейшем используются, как правило, для осуществления коммерческого шпионажа.

В последние 4 года таргетированные атаки окончательно вытеснили обычные атаки, преодолев в процентном отношении планку в 50%. В 2020 году более 60% всех атак на предприятия являются именно таргетированными, совершаемыми специально подготовленными группировками атакующих для достижения определенной известной им цели, в ряде случаев такие атаки являются длящимися. Такой целью может являться, например, внедрение бота слежения в ЛВС предприятия и получение непосредственных сведений о проводимых разработках, изобретениях, финансовых потоках и контрагентах предприятия-жертвы. Обладая такой информацией, группа атакующих может действовать в интересах прямых конкурентов данного предприятия и даже правительств ряда заинтересованных стран с учетом геополитической ситуации. Однако для этого продукция и производство промышленного предприятия должны представлять собой интерес для международного сообщества; предприятие должно быть достаточно крупным и известным на международной арене, обладать потенциалом научных разработок и проводить соответствующие исследования. Если же предприятие не обладает перечисленными характеристиками, проведение таргетированных атак в отношении него представляется крайне маловероятным. Однако для любого предприятия представляют угрозу обычные примитивные атаки, совершаемые большим количеством злоумышленников в отношении неопределенного круга жертв: криптеры, локеры, спам-рассылки, фишинг, частные ботсети, майнеры и другое. Разумеется, при очень низком уровне обеспечения ИБ любая ПЭВМ из состава ЛВС может быть подвергнута успешной атаке, после чего функционировать в составе бот-сети, выполняя функции, необходимые злоумышленнику, а не предприятию.

В последнее пятилетие всё большую актуальность приобретает эксплуатация непропатченных уязвимостей самого оборудования. Специалисты по ИБ со всего мира уделяют самое пристальное внимание исследованию всех моделей и линеек специализированного оборудования таких вендоров, как Shneider Electric, Cisco, ABB, Moxa, Siemens и других, зачастую обнаруживая уязвимости на уровне прошивки определенных версий. Сведения о таких обнаруженных уязвимостях становятся известными вендорам, которые в большинстве случаев выпускают специальные патчи (обновления), которые необходимо применить в процессе регулярного обновления ПО. Однако такие сведения становятся известны как вендорам, так и потенциальным злоумышленникам, равно как и специализированным сообществам, занимающимся осуществлением таргетированных атак в интересах крупных корпораций и правительств. Кроме того, такие отчеты можно обнаружить на закрытых ветках специализированных форумов. В дальнейшем с использованием сведений о такой уязвимости можно успешно ее проэксплуатировать удаленно. К примеру, на некоторые уязвимости, обнаруженные еще летом 2019 года, патчей от Cisco и Moxa пока не последовало. Любопытно также и то, что цепочка устранения уязвимости выглядит следующим образом: релиз от вендора – принятие в эксплуатацию – обнаружение уязвимости – опубликование сведений об уязвимости – устранение уязвимости вендором – выпуск вендором патчей по безопасности – имплементация патчей промышленными предприятиями. Срок прохождения такой цепочки составляет от 6 месяцев до 2 и более лет. Таким образом, как минимум полгода потенциальные злоумышленники имеют возможность эксплуатации уязвимости, сведения о которой появляются на специализированных информационных ресурсах задолго до выпуска соответствующего обновления вендором.