Александр Адамов: Изолирование от сети интернет не является 100% гарантией защиты в случае таргетированной атаки

Александр Адамов: Изолирование от сети интернет не является 100% гарантией защиты в случае таргетированной атаки
Александр Адамов

Гостевой пост

Александр Адамов, руководитель NioGuard Security Lab, специалист по таргетированным атакам.

Отнесение информации о средствах защиты КИИ к государственной тайне — это тоже попытка защитить критическую инфраструктуру. Не секрет, что при планировании таргетированной атаки злоумышленники проводят первым делом разведку с целью определения типа и конфигурации атакуемой системы, включая тип защитного ПО. Это необходимо для создания кибероружия, которое могло бы эффективно проникать, обходя средства защиты, и выполнять заложенный разработчиками деструктивный алгоритм.

Как правило, на объектах критической инфраструктуры, применяется принцип зонирования внутреннего периметра с целью разделение корпоративной сети в соответствии с необходимым уровнем безопасности на сегменты. В связи с этим, SCADA (прим. систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления) сегмент, управляющий производственным процессом, всегда изолируется от остальной корпоративной сети, и тем более от сети интернет, либо с помощью сетевого экрана (файерволла), либо физически.

Однако, как показал опыт, изолирование от сети интернет не является 100% гарантией защиты в случае таргетированной атаки, хотя и затрудняет проникновение во внутренний периметр безопасности, где находится SCADA контроллер. В 2010 мы, совместно с Лабораторией Касперского и компанией Microsoft, анализировали одну из уязвимостей, которую использовал червь Stuxnet (прим. кибероружие, предположительно созданное спецслужбами США и Израиля) в таргетированной атаке на ядерный проект Ирана. Суть уязвимости состояла в заражении Диспетчера очереди принтера и позволяла червю распространятся в локальной сети. Другая уязвимость нулевого дня, в LNK файлах, делала возможным заражение через USB накопители. Кроме того, атака проводилась не на саму Организацию по атомной энергии Ирана (ОАЭИ), а на подрядчиков, которые разрабатывали ПО и оборудование для фабрик по обогащению урана, которое включало центрифуги и контроллеры Siemens, изменение параметров работы которых и являлась конечной целью Stuxnet атаки. Действия червя вызвали увеличение количества оборотов вращения центрифуг, что привело, по данным The Washington Post, к выводу из строя более 1000 центрифуг.

Таким образом, на примере Stuxnet, мы видим, что для проведения успешной атаки не обязательно иметь доступ к критической инфраструктуре через сеть интернет.

Понравилось? Поделись!

Комментарии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *