КИИ под ударом

Такие данные приводит "Ростелеком-Солар" в исследовании центра противодействия кибератакам Solar JSOC. "Таким образом, совершить успешную атаку на большинство критически важных для страны инфраструктур могут даже хакеры с низкой квалификацией", - делают вывод эксперты.

В ходе анализа данных с сенсоров команда Solar JSOC CERT отметила наибольшую активность четырех типов вредоносного ПО: Glupteba, PonyStealer, Trojan-Spy.Win32.Windigo и NjRAT. Основные цели Glupteba - кража пользовательских данных и добыча криптовалюты, при этом вредонос тщательно скрывает следы своего присутствия. PonyStealer - ботнет, известный с 2011 г. и предназначенный для похищения паролей учетных записей и другой чувствительной информации. Trojan-Spy.Win32.Windigo рассылает спам, крадет конфиденциальные данные и осуществляет кликфрод. NjRAT (он же Bladabindi) - троян 2012 г., используемый злоумышленниками для удаленного администрирования.

"Это вирусное ПО, несмотря на свою несовременность, несет существенные риски для компании, - отмечают эксперты Solar JSOC. - В случае, если профессиональная группировка захочет развить атаку, ей достаточно приобрести в даркнете доступ к скомпрометированным узлам. Далее с помощью современных инструментов она сможет получить гораздо более глубокий доступ к инфраструктуре и повлиять на непрерывность бизнес-процессов, а также похитить конфиденциальную корпоративную информацию или денежные средства. Остаются актуальными и проблемы защиты периметра. Во многих компаниях встречаются старые, но функциональные уязвимости. Причина этого в том, что процесс обновления ПО отсутствует в более чем 90% организаций, а среднее время установки обновлений составляет более 42 дней. Наиболее распространенные из уязвимостей: появившаяся в 2011 г. Heartbleed, EternalBlue (в 2017 г. она стала причиной распространения шифровальщика WannaCry) и BlueKeep, обнаруженная в 2019 г. Все они активно используются хакерами для реализации кибератак".

Исследование показало, что пандемия также значительно ослабила ИТ-периметры. За последний год более чем на 60% выросло количество автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из интернета. Это увеличивает риски промышленного шпионажа и кибертерроризма.
Кроме того, почти в два раза увеличилось количество хостов с уязвимым протоколом SMB. Это сетевой протокол для общего доступа к файлам, принтерам и другим сетевым ресурсам, который применяется практически в каждой организации. Такие уязвимости особенно опасны, так как позволяют хакерам удаленно запускать произвольный код без прохождения аутентификации, заражая вредоносным ПО все компьютеры, подключенные к локальной сети.

Основной проблемой во внутренних сетях является некорректное управление паролями. Крайне распространены слабые и словарные пароли, которые позволяют злоумышленнику проникнуть во внутреннюю сеть организации.

Директор центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Владимир Дрюков рассказал корреспонденту ComNews, о чем свидетельствует то, что старые уязвимости не закрываются: "В первую очередь это говорит о том, что в организациях не налажен процесс патч-менеджмента. Одна из причин - огромный парк рабочих станций, которые никогда не бывают доступны для обновления одновременно, а у части пользователей еще и невозможна их автоматическая перезагрузка. Помимо этого, патчи ОС и оборудования необходимо тестировать на совместимость с прикладным ПО, специализированными протоколами и т.д., что также занимает немало времени. Плюс к этому для ключевых систем нужно проводить нагрузочное тестирование, чтобы убедиться, что патч не снизил их скорость работы. Запуск обновлений в продуктивную среду тоже требует согласовать время простоя сервисов, что особенно непросто в случае с АСУ ТП. Автоматическое обновление ПО в изолированных от интернета сегментах сети невозможно в принципе, поэтому требуется ручной процесс обновления, который в 90% организаций отсутствует".

Владимир Дрюков отметил, что количество атак на КИИ растет с каждым годом. "За 2020 г., по нашим оценкам, количество таких атак выросло в два раза. Нужно, во-первых, на регулярной основе отслеживать данные о новых уязвимостях и начинать работы по их выявлению и устранению в своей инфраструктуре до появления эксплойта - компьютерной программы, использующаей уязвимости в ПО. Необходимо проверять периметр организации на наличие открытых в интернете сервисов - в идеале проводить регулярное сканирование. При уязвимостях в операционной системе или офисном ПО в зону патчинга необходимо включать в первую очередь рабочие станции - в большинстве атак именно они являются первой точкой поражения. И нельзя успокаиваться, пока патчи не поставлены на всей инфраструктуре, так как векторы доставки ВПО и атаки злоумышленников крайне разнообразны", - рассказал Владимир Дрюков.

Заместитель генерального директор Infosecurity a Softline Company Игорь Сергиенко пояснил, что законодательная база об обеспечении безопасности КИИ введена в РФ прежде всего для того, чтобы на обеспечение ИБ обратили внимание государственные и частные компании, которые не занимались вопросами ИБ в принципе. "Уровень зрелости ИБ субъектов КИИ будет неизбежно повышаться вследствие ужесточения таких нормативных требований, регуляторного давления, принятых в КоАП поправок об увеличении штрафов за нарушения требований в области КИИ. Тенденция атак на объекты КИИ увеличивается прежде всего вследствие перевода многих работников субъектов КИИ на удаленный режим работы и введения карантинных мер в связи с пандемией. Сейчас регулятор принял нормативные требования к обеспечению безопасности при дистанционном режиме работы, что должно улучшить ситуацию с этим", - прокомментировал Игорь Сергиенко.

По его мнению, для борьбы с мошенниками прежде всего необходимо провести предусмотренные законодательством шаги: составить и утвердить перечень объектов КИИ, провести инвентаризацию и категорирование объектов КИИ, разработать организационно-распорядительную документацию, внедрить систему обеспечения информационной безопасности, соответствующую требованиям регулятора, провести приемочные испытания, включающие в том числе анализ уязвимостей и их устранение.