В некоторых случаях специалисты по безопасности даже не знают, что RAT-инструменты применяются в их компании, и не учитывают такой вектор атаки.
Согласно статистике из Kaspersky Security Network, в первой половине 2018 г. легитимные средства удаленного администрирования были установлены в каждой третьей промышленной системе на базе ОС Windows. Промышленными системами мы называем серверы SCADA, серверы хранения данных (Historian), шлюзы передачи данных, рабочие станции инженеров и операторов промышленного оборудования, а также компьютеры с поддержкой человеко-машинного интерфейса.
Иногда локальные администраторы и инженеры используют RAT-инструменты в повседневной работе. В некоторых случаях третьим лицам, например системным интеграторам или разработчикам ПО для АСУ ТП, требуется удаленный доступ для диагностики, техобслуживания и устранения неполадок. То есть удаленное администрирование порой используется не для производственных нужд, а для снижения расходов на обслуживание. И даже если инструменты RAT необходимы в нормальных технологических процессах, стоит оценить потенциальные риски и, возможно, даже реструктурировать эти процессы, чтобы уменьшить поверхность атаки.
Нельзя исключать и другой сценарий: злоумышленники могут использовать легитимные средства удаленного администрирования во время атаки для того, чтобы обмануть защитное ПО.
В чем главная проблема?
Судя по всему, далеко не все специалисты до конца понимают опасность применения средств удаленного управления в промышленных сетях. Наши коллеги исследовали ряд систем АСУ ТП, и вот какие особенности установленных в них RAT им удалось обнаружить:
— Средства удаленного администрирования часто имеют системные привилегии.
— Они не позволяют администраторам корректно ограничить доступ к системе.
— Они не поддерживают возможность многофакторной аутентификации.
— Не ведут журнал действий клиентов.
— В RAT есть уязвимости — и не всегда неизвестные (иными словами, большинство средств удаленного администрирования не обновляется).
— RAT используют серверы ретрансляции, которые дают возможность обходить механизм NAT и ограничения межсетевого экрана.
— Как правило, для авторизации в средствах удаленного администрирования используются пароли по умолчанию или «вшитые» учетные данные.
В некоторых случаях специалисты по безопасности даже не знают, что RAT-инструменты применяются в их компании, и не учитывают такой вектор атаки.
Но главная проблема в том, что атаки с помощью RAT очень трудно отличить от нормальных действий пользователей. Расследуя инциденты, связанные с АСУ ТП, специалисты из нашего CERT много раз выявляли случаи проникновения в промышленную сеть именно через системы удаленного администрирования.
Как минимизировать риски
Kaspersky Lab ICS CERT рекомендует предпринять следующие шаги для снижения вероятности киберинцидентов:
— Проведите тщательный аудит средств удаленного администрирования, используемых в вашей промышленной сети. Особое внимание следует уделить таким программам, как VNC, RDP, TeamViewer, RMS/Remote Utilities.
— Избавьтесь от всех RAT-инструментов, применение которых не является производственной необходимостью.
— Проанализируйте и отключите все вспомогательное ПО для удаленного администрирования, поставляемое вместе с программным обеспечением АСУ ТП.
— Если использование средств удаленного администрирования является производственной необходимостью, отключите неограниченный доступ к ним. Доступ должен предоставляться только по письменной заявке — и только на короткое время.
— Установите надежный контроль и ведите журнал событий для каждого сеанса удаленного администрирования.
Полный отчет о нашем исследовании вы можете прочесть в блоге Securelist . Дополнительные исследования, уведомления и советы, связанные с промышленными системами, можно найти на веб-сайте Kaspersky Lab ICS CERT .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Surxondaryoda qishloqqa kelib qolgan ayiq otib o‘ldirildi.
Yirtqich maktab hududiga kirib, o‘quvchilar hayotiga xavf tug‘dirgan. Shuningdek, ayiqni zararsizlantirish jarayonida u IIB xodimlaridan biriga...
-
16 may kuni qisqa muddatli yomg‘ir yog‘adi.
«O‘zgidromet» 16 may, payshanba kuni kuzatiladigan ob-havo to‘g‘risida ma’lumot berdi..
-
Голиафы: самые большие и сильные жуки размером с авокадо
Жук-голиаф на человеческой ладони. Источник фотографии: apus.ru На Земле существует более 1 миллиона видов насекомых, то есть это один из...
-
"Барселона": Араухо, де Йонг ва Рафинья сотилади...
Каталониянинг "Барселона" клуби ёзги трансферлар ойнасида таркибида ислоҳотлар олиб бормоқчи.
-
«ПСЖ» Хави учун чиқиш эшикларини ёпди
«ПСЖ» жорий мавсум «РБ Лейпциг»да ижара асосида ўйнаётган 21 ёшли ярим ҳимоячи Хави Симонс бўйича ёзда таклифларни қабул...
-
Почему у утконосов нет желудка и никогда не будет
Утконосы являются самыми странными животными в мире, и сейчас вы в этом убедитесь. Источник фотографии: feverup.com Самым странным животным в...