Верхнее

Отчёт ICS-CERT

Отчёт ICS-CERT за май-июнь

Команда экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT (Industrial Control Systems Cybersecurity Emergency Response Team) выпустила свежий отчёт по итогам прошедших двух месяцев: ICS-CERT Monitor ICS-MM201506.

Данный отчёт в числе прочего содержит статистику по инцидентам за первую половину 2015 финансового года (октябрь 2014 — апрель 2015). Представлена информация по 108 инцидентам (чуть меньше, чем в 2014 году) в разрезах: по отраслям (секторам), по источникам информации и по векторам атак.

Наибольшее число инцидентов в промышленных системах управления в этот период зафиксировано в энергетике, водоснабжении/водоотведении и критическом производстве (Critical Manufacturing) — три этих сектора в сумме составляют 49%.

ICS-CERT Распределение инцидентов по отраслям FY 2015 Mid-Year

ICS-CERT Распределение инцидентов по отраслям FY 2015 Mid-Year

Говоря об источниках информации об инцидентах, команда ICS-CERT отмечает некоторое снижение доли непосредственно владельцев промышленных систем управления, указывая на то, что основными источниками являются партнёры (государственные) ICS-CERT, исследователи и открытые источники информации.

ICS-CERT Распределение инцидентов по источникам FY 2015 Mid-Year

ICS-CERT Распределение инцидентов по источникам FY 2015 Mid-Year

Среди используемых техник/векторов атаки на промышленные системы управления указаны: целевой фишинг (spear phishing), слабая аутентификация, сетевое сканирование и внедрение SQL-кода.

ICS-CERT Распределение инцидентов по векторам атак FY 2015 Mid-Year

ICS-CERT Распределение инцидентов по векторам атак FY 2015 Mid-Year

Помимо статистики в отчёте содержатся и рекомендации. Например, пециалисты ICS-CERT рекомендуют вообще отключать промышленные сети управления от сети Интернет (If You’re Connected, You’re Likely Infected!) и, основываясь на собственном опыте исследований, лучших практиках и анализе инцидентов, дают следующие рекомендации для повышения безопасности при использовании удалённых подключений:

  • Располагайте сети и устройства управления за межсетевыми экранами и изолируйте их от корпоративной сети.
  • Совместно с системным интегратором или администратором сети выявите все удалённые точки доступа в вашей сети, чтобы определить потенциально уязвимые подключения к сети Интернет.
  • Если вам требуется удаленный доступ, используйте безопасные методы, такие как виртуальные частные сети (VPN), но учитывайте, что степень защищённости VPN определяется степенью защищённости подключаемых устройств.
  • Удалите, отключите или переименуйте любые встроенные по умолчанию учётные записи везде, где это возможно.
  • Применяйте политики, требующие использования надёжных паролей.
  • Ведите журналирование и отслеживайте неудачные попытки входа для обнаружения атак методом перебора.
  • Отслеживайте создание привилегированных учётных записей третьими сторонами (поставщики, подрядчики и пр.)

Полностью отчёт доступен по ссылке, архив прошлых отчётов доступен на сайте в разделе ICS-CERT Monitor Newsletters.

Также по теме безопасности промышленных систем управления можно посмотреть:

, , , , , , ,

Trackbacks/Pingbacks

  1. Отчёт ICS-CERT за июль-август - 16.09.2015

    […] Продолжу публикацию постов по ежедвухмесячным отчётам Команды экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT (Industrial Control Systems Cybersecurity Emergency Response Team). Сегодня речь про очередной отчёт, выпущенный по итогам июля-августа: ICS-CERT Monitor ICS-MM201508 (про прошлый отчёт можно почитать здесь). […]

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

%d такие блоггеры, как: