В некоторых случаях специалисты по безопасности даже не знают, что RAT-инструменты применяются в их компании, и не учитывают такой вектор атаки.
Согласно статистике из Kaspersky Security Network, в первой половине 2018 г. легитимные средства удаленного администрирования были установлены в каждой третьей промышленной системе на базе ОС Windows. Промышленными системами мы называем серверы SCADA, серверы хранения данных (Historian), шлюзы передачи данных, рабочие станции инженеров и операторов промышленного оборудования, а также компьютеры с поддержкой человеко-машинного интерфейса.
Иногда локальные администраторы и инженеры используют RAT-инструменты в повседневной работе. В некоторых случаях третьим лицам, например системным интеграторам или разработчикам ПО для АСУ ТП, требуется удаленный доступ для диагностики, техобслуживания и устранения неполадок. То есть удаленное администрирование порой используется не для производственных нужд, а для снижения расходов на обслуживание. И даже если инструменты RAT необходимы в нормальных технологических процессах, стоит оценить потенциальные риски и, возможно, даже реструктурировать эти процессы, чтобы уменьшить поверхность атаки.
Нельзя исключать и другой сценарий: злоумышленники могут использовать легитимные средства удаленного администрирования во время атаки для того, чтобы обмануть защитное ПО.
В чем главная проблема?
Судя по всему, далеко не все специалисты до конца понимают опасность применения средств удаленного управления в промышленных сетях. Наши коллеги исследовали ряд систем АСУ ТП, и вот какие особенности установленных в них RAT им удалось обнаружить:
— Средства удаленного администрирования часто имеют системные привилегии.
— Они не позволяют администраторам корректно ограничить доступ к системе.
— Они не поддерживают возможность многофакторной аутентификации.
— Не ведут журнал действий клиентов.
— В RAT есть уязвимости — и не всегда неизвестные (иными словами, большинство средств удаленного администрирования не обновляется).
— RAT используют серверы ретрансляции, которые дают возможность обходить механизм NAT и ограничения межсетевого экрана.
— Как правило, для авторизации в средствах удаленного администрирования используются пароли по умолчанию или «вшитые» учетные данные.
В некоторых случаях специалисты по безопасности даже не знают, что RAT-инструменты применяются в их компании, и не учитывают такой вектор атаки.
Но главная проблема в том, что атаки с помощью RAT очень трудно отличить от нормальных действий пользователей. Расследуя инциденты, связанные с АСУ ТП, специалисты из нашего CERT много раз выявляли случаи проникновения в промышленную сеть именно через системы удаленного администрирования.
Как минимизировать риски
Kaspersky Lab ICS CERT рекомендует предпринять следующие шаги для снижения вероятности киберинцидентов:
— Проведите тщательный аудит средств удаленного администрирования, используемых в вашей промышленной сети. Особое внимание следует уделить таким программам, как VNC, RDP, TeamViewer, RMS/Remote Utilities.
— Избавьтесь от всех RAT-инструментов, применение которых не является производственной необходимостью.
— Проанализируйте и отключите все вспомогательное ПО для удаленного администрирования, поставляемое вместе с программным обеспечением АСУ ТП.
— Если использование средств удаленного администрирования является производственной необходимостью, отключите неограниченный доступ к ним. Доступ должен предоставляться только по письменной заявке — и только на короткое время.
— Установите надежный контроль и ведите журнал событий для каждого сеанса удаленного администрирования.
Полный отчет о нашем исследовании вы можете прочесть в блоге Securelist . Дополнительные исследования, уведомления и советы, связанные с промышленными системами, можно найти на веб-сайте Kaspersky Lab ICS CERT .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
"Agro Invitro": Jizzaxda qishloq xo‘jaligi sohasida innovatsion loyiha ishga tushirildi.
Jizzax viloyatida yangi "Agro Invitro" kompleksi ochildi. Bu loyiha Agrobank hamkorligida qishloq xo‘jaligi sohasida yuqori hosildorlikka ega,...
-
Indoneziyada besh metrlik bo‘g‘ma ilon ayolni butunlay yutib yubordi .
O‘rmonga o‘simlik yig‘ish uchun jo‘nagan ayol katta ilonning qurboniga aylandi. .
-
Qish uchun 600 ming tonna ko‘mir va 350 ming tonna mazut zaxirasi yaratiladi.
2024 yilda O‘zbekistonda 14 ta quyosh va shamol elektr stansiyalari ishga tushishi mumkin. Shu bilan birga, hukumat mazut va ko‘mirdan...
-
"Жирона" ўз футболчисини сотиш ниятида эмас
"Жирона"нинг украиналик ярим ҳимоячиси Виктор Циганков "Бавария" ва Англия Премьер-лигасининг бир қанча клублари қизиқишлари доирасида.
-
Elektromobilni uyda quvvatlashni rag‘batlantiradigan tungi tarif joriy qilinadi.
Prezident topshirig‘iga ko‘ra, xonadonida elektromobil quvvatlash uskunasiga hisoblagich o‘rnatgan aholiga tungi vaqtda quvvatlaganlik uchun arzon...
-
Фергюсон "МЮ"га янги бош мураббий танлаб қўйди
"Манчестер Юнайтед" омадсиз мавсумдан сўнг бош мураббийни ўзгартириши мумкин.